監査

SUSE Managerでは、一連の監査タスクを通じてクライアントを追跡できます。 クライアントがすべてのパブリックセキュリティパッチ(CVE)を適用して最新の状態になっていることを確認し、サブスクリプションマッチングを実行して、OpenSCAPを使用して仕様のコンプライアンスを確認できます。

SUSE Manager Web UIで、[監査]に移動して、監査タスクを実行します。

1. CVE監査

CVE (共通脆弱性識別子)は、一般に知られているセキュリティの脆弱性に対する修正です。

CVEが利用可能になったらすぐにクライアントに適用する必要があります。

各CVEには、識別番号、脆弱性の説明、および詳細情報へのリンクが含まれています。 CVE識別番号は、CVE-YEAR-XXXXの形式を使用します。

SUSE Manager Web UIで、監査  CVE監査に移動して、すべてのクライアントとその現在のパッチステータスのリストを表示します。

デフォルトでは、CVEデータは毎日2300に更新されます。 CVE監査を開始する前に、データを更新して最新のパッチが適用されていることを確認することをお勧めします。

プロシージャ: CVEデータの更新
  1. SUSE Manager Web UIで、管理  タスクスケジュールに移動し、cve-server-channels-defaultスケジュールを選択します。

  2. cve-server-channels-bunchをクリックします。

  3. 1 回のみの実行スケジュールをクリックして、タスクをスケジュールします。 CVE監査を続行する前に、タスクを完了させてください。

プロシージャ: パッチステータスの確認
  1. SUSE Manager Web UIで、監査  CVE監査に移動します。

  2. 特定のCVEのパッチステータスを確認するには、[CVE番号]フィールドにCVE IDを入力します。

  3. 検索するパッチステータスを選択するか、すべてのステータスをオンのままにしてすべてを検索します。

  4. 監査サーバをクリックしてすべてのシステムを確認するか、監査イメージをクリックしてすべてのイメージを確認します。

このページで使用されるパッチステータスアイコンの詳細については、CVE 監査を参照してください。

各システムについて、[次の動作]列には、脆弱性に対処するために実行する必要がある情報が表示されます。 該当する場合は、候補チャンネルまたはパッチのリストも表示されます。 さらにバッチ処理を行うためにシステムを[システムセット]に割り当てることもできます。

SUSE Manager APIを使用して、クライアントのパッチステータスを確認できます。 audit.listSystemsByPatchStatus APIメソッドを使用します。 このメソッドの詳細については、『SUSE Manager API ガイド』を参照してください。

2. CVEステータス

クライアントのCVEステータスは通常、影響を受けています影響を受けません、またはパッチ適用済みのいずれかです。 これらのステータスは、SUSE Managerで使用できる情報にのみ基づいています。

SUSE Manager内で、次の定義が適用されます。

特定の脆弱性の影響を受けるシステム

脆弱性がマークされた関連パッチ内の同じパッケージのバージョンより前のバージョンのパッケージがインストールされているシステム。

特定の脆弱性の影響を受けないシステム

脆弱性がマークされた関連パッチにも含まれているパッケージがインストールされていないシステム。

特定の脆弱性に対するパッチが適用されたシステム

脆弱性がマークされた関連パッチ内の同じパッケージのバージョン以上のバージョンのパッケージがインストールされているシステム。

関連パッチ

関連するチャンネルでSUSE Managerによって知られているパッチ。

関連するチャンネル

システムに割り当てられたSUSE Managerによって管理されるチャンネル、システムに割り当てられたクローンチャンネルのオリジナルチャンネル、システムにインストールされている製品にリンクされたチャンネル、またはシステムの過去または将来のサービスパックチャンネル。

SUSE Manager内で使用されている定義のため、状況によってはCVE監査結果が正しくない場合があります。 たとえば、管理されていないチャンネル、管理されていないパッケージ、または準拠していないシステムが誤って報告される可能性があります。