Documentation survey

監査

SUSE Managerでは、一連の監査タスクを通じてクライアントを追跡できます。 クライアントがすべてのパブリックセキュリティパッチ(CVE)を適用して最新の状態になっていることを確認し、サブスクリプションマッチングを実行して、OpenSCAPを使用して仕様のコンプライアンスを確認できます。

SUSE Manager Web UIで、[監査]に移動して、監査タスクを実行します。

1. CVE監査

CVE (共通脆弱性識別子)は、一般に知られているセキュリティの脆弱性に対する修正です。

CVEが利用可能になったらすぐにクライアントに適用する必要があります。

各CVEには、識別番号、脆弱性の説明、および詳細情報へのリンクが含まれています。 CVE識別番号は、CVE-YEAR-XXXXの形式を使用します。

SUSE Manager Web UIで、監査  CVE監査に移動して、すべてのクライアントとその現在のパッチステータスのリストを表示します。

デフォルトでは、パッチデータは毎日23:00に更新されます。 CVE監査を開始する前に、データを更新して最新のパッチが適用されていることを確認することをお勧めします。

プロシージャ: パッチデータの更新

  1. SUSE Manager Web UIで、管理  タスクスケジュールに移動し、cve-server-channels-defaultスケジュールを選択します。

  2. cve-server-channels-bunchをクリックします。

  3. 一回のみの実行スケジュールをクリックして、タスクをスケジュールします。 CVE監査を続行する前に、タスクを完了させてください。

プロシージャ: パッチステータスの確認

  1. SUSE Manager Web UIで、監査  CVE監査に移動します。

  2. 特定のCVEのパッチステータスを確認するには、[CVE番号]フィールドにCVE IDを入力します。

  3. 検索するパッチステータスを選択するか、すべてのステータスをオンのままにしてすべてを検索します。

  4. 監査サーバをクリックしてすべてのシステムを確認するか、監査イメージをクリックしてすべてのイメージを確認します。

このページで使用されるパッチステータスアイコンの詳細については、CVE 監査を参照してください。

各システムについて、[アクション]列には、脆弱性に対処するために実行する必要がある情報が表示されます。 該当する場合は、候補チャンネルまたはパッチのリストも表示されます。 さらにバッチ処理を行うためにシステムを[システムセット]に割り当てることもできます。

SUSE Manager APIを使用して、クライアントのパッチステータスを確認できます。 audit.listSystemsByPatchStatus APIメソッドを使用します。 このメソッドの詳細については、『SUSE Manager API ガイド』を参照してください。

2. OVAL

チャンネルデータからCVE情報を取得する機能に加え、SUSE Managerには現在、OVALファイルからCVEの詳細をフェッチする実験的な機能が含まれています。 この機能は現在、*テクノロジプレビュー*として提供されています。

ユーザは、この機能を試してフィードバックを共有することが推奨されます。 ただし、テスト環境での徹底的なテストを行わずに、運用環境で使用することは推奨されません。

CVE監査操作は、チャンネルとOVAL (Open Vulnerability and Assessment Language)という2つの主要なデータソースに依存しています。 これらの2つのソースは、CVE監査を実施するためのメタデータを提供し、それぞれが異なる目的を果たします。

チャンネル

チャンネルには、パッチを含む更新されたソフトウェアパッケージが含まれており、脆弱性に対処するために必要な重要なパッチに関する洞察を提供します。

OVAL (テクノロジプレビュー)

対照的に、OVALデータは、脆弱性そのものに関する情報、およびシステムをCVEに対して脆弱にするパッケージに関する情報を提供します。

CVE監査はチャンネルデータのみを使用して実施できますが、OVALデータを同期させることで、特に、ゼロデイ脆弱性や部分的にパッチが適用された脆弱性に関連するケースで、結果の精度が向上します。

OVALデータはチャンネルデータよりもはるかに軽量です。 たとえば、openSUSE Leap 15.4のOVALデータは約50MB です。

OVALデータを同期しただけで、すでに CVE 監査を実施し、システムがCVEに対して脆弱かどうかを確認できます。ただし、パッチはチャンネルから取得されるため、パッチを適用することはできません。

OVAL機能の主な特徴は次のとおりです。

  • デフォルトで無効化: この機能はデフォルトでオフになっており、ユーザが設定ファイルrhn.confを更新し、関連するサービスを再起動することで明示的に有効化する必要があります。

  • 元に戻せる: 問題が発生した場合、ユーザは標準のチャンネルベースのCVE監査に戻すことができます。

  • パフォーマンスに関する考慮事項: 初期テストは実施済みですが、パフォーマンスに関する懸念がまだあり、さらなる最適化が必要になる場合があります。

  • デフォルトでは、OVALデータは毎日23:00に更新されます。 CVE監査を開始する前に、データを更新して最新の脆弱性メタデータが適用されていることを確認することをお勧めします。
プロシージャ: OVALデータサポートを有効にする

  1. rhn.confに次の設定を追加または編集します。

    java.cve_audit.enable_oval_metadata=true

  2. TomcatおよびTaskomaticサービスを再起動します。

    systemctl restart tomcat taskomatic

問題が発生し、デフォルトの動作に戻す必要がある場合は、次のように設定してこの機能を無効にしてください。

プロシージャ: OVALデータサポートの無効化

  1. rhn.confに次の設定を追加または編集します。

    java.cve_audit.enable_oval_metadata=false

  2. TomcatおよびTaskomaticサービスを再起動します。

    systemctl restart tomcat taskomatic
プロシージャ: OVALデータの更新

  1. SUSE Manager Web UIで、管理  タスクスケジュールに移動し、oval-data-sync-defaultスケジュールを選択します。

  2. oval-data-sync-bunchをクリックします。

  3. 1 回のみの実行スケジュールをクリックして、タスクをスケジュールします。

CVE監査を続行する前に、タスクを完了させてください。

2.1. CPEの収集

特定のクライアントに適用される脆弱性を正確に特定するには、そのクライアントが使用しているオペレーティングシステム製品を特定する必要があります。そのため、クライアントのCPE (Common Platform Enumeration)をsalt grainとして収集し、データベースに保存します。

新規登録されたクライアントのCPEは、自動的に収集され、データベースに保存されます。 ただし、既存のクライアントについては、少なくとも1回パッケージリストの更新アクションを実行する必要があります。

プロシージャ: パッケージリストの更新

  1. SUSE Manager Web UIで、システム  システム一覧  すべてに移動して、クライアントを選択します。

  2. ソフトウェア]タブに移動し、[パッケージ]サブタブを選択します。

  3. Update Packages List(パッケージリストの更新)をクリックして、クライアントのCPEを収集します。

2.2. OVALソース

OVALデータの完全性と最新性を確保するため、SUSE Managerは、すべての製品の公式メンテナーから提供されるOVALデータを排他的に使用します。以下に、OVALデータソースのリストを示します。

Table 1. OVALソース
製品 ソースURL

openSUSE Leap

https://ftp.suse.com/pub/projects/security/oval

openSUSE Leap Micro

SUSE Linux Enterprise Server

SUSE Linux Enterprise Desktop

SUSE Linux Enterprise Micro

RedHat Enterprise Linux

https://www.redhat.com/security/data/oval/v2

Debian

https://www.debian.org/security/oval

Ubuntu

https://security-metadata.canonical.com/oval

OVALメタデータは、CVE監査でクライアントのサブセット、すなわち、openSUSE Leap、SUSEエンタープライズ製品、RHEL、Debian、またはUbuntuを使用するクライアントのみに使用されます。これは、他の製品にはOVAL脆弱性定義メタデータが存在しないためです。

3. CVEステータス

クライアントのCVEステータスは通常、影響を受けています影響を受けません、またはパッチ適用済みのいずれかです。 これらのステータスは、SUSE Managerで使用できる情報にのみ基づいています。

SUSE Manager内で、次の定義が適用されます。

特定の脆弱性の影響を受けるシステム

脆弱性がマークされた関連パッチ内の同じパッケージのバージョンより前のバージョンのパッケージがインストールされているシステム。

特定の脆弱性の影響を受けないシステム

脆弱性がマークされた関連パッチにも含まれているパッケージがインストールされていないシステム。

特定の脆弱性に対するパッチが適用されたシステム

脆弱性がマークされた関連パッチ内の同じパッケージのバージョン以上のバージョンのパッケージがインストールされているシステム。

関連パッチ

関連するチャンネルでSUSE Managerによって知られているパッチ。

関連するチャンネル

システムに割り当てられたSUSE Managerによって管理されるチャンネル、システムに割り当てられたクローンチャンネルのオリジナルチャンネル、システムにインストールされている製品にリンクされたチャンネル、またはシステムの過去または将来のサービスパックチャンネル。

SUSE Manager内で使用されている定義のため、状況によってはCVE監査結果が正しくない場合があります。 たとえば、管理されていないチャンネル、管理されていないパッケージ、または準拠していないシステムが誤って報告される可能性があります。