監査
SUSE Multi-Linux Managerでは、一連の監査タスクを通じてクライアントを追跡できます。 クライアントがすべてのパブリックセキュリティパッチ(CVE)を適用して最新の状態になっていることを確認し、サブスクリプションマッチングを実行して、OpenSCAPを使用して仕様のコンプライアンスを確認できます。
In the SUSE Multi-Linux Manager Web UI, navigate to Audit to perform auditing tasks.
1. CVE audits
CVE (共通脆弱性識別子)は、一般に知られているセキュリティの脆弱性に対する修正です。
|
CVEが利用可能になったらすぐにクライアントに適用する必要があります。 |
Each CVE contains an identification number, a description of the vulnerability, and links to further information. CVE identification numbers use the form CVE-YEAR-XXXX.
SUSE Multi-Linux Manager Web UIで、に移動して、すべてのクライアントとその現在のパッチステータスのリストを表示します。
デフォルトでは、パッチデータは毎日23:00に更新されます。 CVE監査を開始する前に、データを更新して最新のパッチが適用されていることを確認することをお勧めします。
In the SUSE Multi-Linux Manager Web UI, navigate to and select the
cve-server-channels-defaultschedule.cve-server-channels-bunchをクリックします。
一回のみの実行スケジュールをクリックして、タスクをスケジュールします。 CVE監査を続行する前に、タスクを完了させてください。
SUSE Multi-Linux Manager Web UIで、に移動します。
To check the patch status for a particular CVE, type the CVE identifier in the
CVE Numberfield.検索するパッチステータスを選択するか、すべてのステータスをオンのままにしてすべてを検索します。
監査サーバをクリックしてすべてのシステムを確認するか、監査イメージをクリックしてすべてのイメージを確認します。
このページで使用されるパッチステータスアイコンの詳細については、CVE 監査を参照してください。
For each system, the Actions column provides information about what you need to do to address vulnerabilities. If applicable, a list of candidate channels or patches is also given. You can also assign systems to a System Set for further batch processing.
You can use the SUSE Multi-Linux Manager API to verify the patch status of your clients. Use the audit.listSystemsByPatchStatus API method. For more information about this method, see the SUSE Multi-Linux Manager API Guide.
2. OVAL
CVE監査操作は、チャンネルとOVAL (Open Vulnerability and Assessment Language)という2つの主要なデータソースに依存しています。 これらの2つのソースは、CVE監査を実施するためのメタデータを提供し、それぞれが異なる目的を果たします。
- チャンネル
-
チャンネルには、パッチを含む更新されたソフトウェアパッケージが含まれており、脆弱性に対処するために必要な重要なパッチに関する洞察を提供します。
- OVAL
-
対照的に、OVALデータは、脆弱性そのものに関する情報、およびシステムをCVEに対して脆弱にするパッケージに関する情報を提供します。
CVE監査はチャンネルデータのみを使用して実施できますが、OVALデータを同期させることで、特に、ゼロデイ脆弱性や部分的にパッチが適用された脆弱性に関連するケースで、結果の精度が向上します。
OVALデータはチャンネルデータよりもはるかに軽量です。 たとえば、openSUSE Leap 15.4のOVALデータは約50MB です。
OVALデータを同期しただけで、すでに CVE 監査を実施し、システムがCVEに対して脆弱かどうかを確認できます。ただし、パッチはチャンネルから取得されるため、パッチを適用することはできません。
|
OVAL機能の主な特徴は次のとおりです。
|
The following procedures can be used to enable, disable, or update OVAL data.
Add or modify the following setting in file
/etc/rhn/rhn.confin the container:java.cve_audit.enable_oval_metadata=trueTomcatおよびTaskomaticサービスを再起動します。
systemctl restart tomcat taskomatic
Alternatively, use the procedure for disabling OVAL data support.
Add or modify the following setting in
rhn.conf:java.cve_audit.enable_oval_metadata=falseTomcatおよびTaskomaticサービスを再起動します。
systemctl restart tomcat taskomatic
In the SUSE Multi-Linux Manager Web UI, navigate to and select the
oval-data-sync-defaultschedule.oval-data-sync-bunchをクリックします。
1 回のみの実行スケジュールをクリックして、タスクをスケジュールします。
CVE監査を続行する前に、タスクを完了させてください。
2.1. CPEの収集
To be able to accurately identify what vulnerabilities apply to a certain client, we need to identify the operating system product that client uses. To do that, we collect the CPE (Common Platform Enumeration) of the client as a Salt grain, then we save it to the database.
The CPE of newly registered clients will be automatically collected and saved to the database. However, for existing clients, it is necessary to execute the Update Packages List action at least once.
SUSE Multi-Linux Manager Web UIで、に移動して、クライアントを選択します。
Then go to the
Softwaretab and select thePackagessub-tab.Update Packages List(パッケージリストの更新)をクリックして、クライアントのCPEを収集します。
2.2. OVALソース
OVALデータの完全性と最新性を確保するため、SUSE Multi-Linux Managerは、すべての製品の公式メンテナーから提供されるOVALデータを排他的に使用します。以下に、OVALデータソースのリストを示します。
| Product | Source URL | OVAL supported versions in SUSE Multi-Linux Manager |
|---|---|---|
openSUSE Leap |
||
openSUSE Leap Micro |
||
SUSE Linux Enterprise Server |
SUSE Linux Enterprise Server 16 |
|
SUSE Linux Enterprise Desktop |
SUSE Linux Enterprise Desktop 15 |
|
SUSE Linux Enterprise Micro |
SUSE Linux Enterprise Micro 5.5 |
|
SUSE Linux Micro |
SUSE Linux Micro 6.2 |
|
SUSE Liberty Linux |
SUSE Liberty Linux 10 |
|
RedHat Enterprise Linux |
RedHat Enterprise Linux 9 |
|
Debian |
Debian 13 |
|
Ubuntu |
Ubuntu 24.04 |
|
AlmaLinux |
AlmaLinux 10 |
|
Oracle Linux |
Oracle Linux 10 |
|
OVALメタデータは、CVE監査でクライアントのサブセット、すなわち、openSUSE Leap、SUSEエンタープライズ製品、RHEL、Debian、またはUbuntuを使用するクライアントのみに使用されます。これは、他の製品にはOVAL脆弱性定義メタデータが存在しないためです。 |
3. CVEステータス
The CVE status of clients is usually either affected, not affected, or patched. These statuses are based only on the information that is available to SUSE Multi-Linux Manager.
SUSE Multi-Linux Manager内で、次の定義が適用されます。
- 特定の脆弱性の影響を受けるシステム
-
脆弱性がマークされた関連パッチ内の同じパッケージのバージョンより前のバージョンのパッケージがインストールされているシステム。
- 特定の脆弱性の影響を受けないシステム
-
脆弱性がマークされた関連パッチにも含まれているパッケージがインストールされていないシステム。
- 特定の脆弱性に対するパッチが適用されたシステム
-
脆弱性がマークされた関連パッチ内の同じパッケージのバージョン以上のバージョンのパッケージがインストールされているシステム。
- 関連パッチ
-
関連するチャンネルでSUSE Multi-Linux Managerによって知られているパッチ。
- 関連するチャンネル
-
システムに割り当てられたSUSE Multi-Linux Managerによって管理されるチャンネル、システムに割り当てられたクローンチャンネルのオリジナルチャンネル、システムにインストールされている製品にリンクされたチャンネル、またはシステムの過去または将来のサービスパックチャンネル。
|
SUSE Multi-Linux Manager内で使用されている定義のため、状況によってはCVE監査結果が正しくない場合があります。 たとえば、管理されていないチャンネル、管理されていないパッケージ、または準拠していないシステムが誤って報告される可能性があります。 |