ウェブアプリケーションの検出結果の詳細

必要な Tenable Vulnerability Management ユーザーロール: 基本、スキャンオペレーター、標準、スキャンマネージャー、または管理者

検出結果の詳細の表示 を行う際の [検出結果の詳細] ページは、検出結果タイプによって異なります。ウェブアプリケーションの検出結果の場合、説明、推奨されるソリューション、影響を受けている資産の詳細が含まれます。

ウェブアプリケーションの検出結果の [検出結果の詳細] ページには、次のセクションがあります。

注意: Tenable Vulnerability Management は空のセクションを非表示にするため、これらのセクションは表示されない場合があります。

セクション 説明
説明

検出結果で検出された脆弱性を特定した Tenable プラグインの説明です。
ソリューション

検出結果で検出された脆弱性の修正方法に関する概要です。このセクションは、公式のソリューションが使用可能な場合にのみ表示されます。
AI インベントリ 検出結果が AI 関連の場合、このセクションには Tenable のプラグインによって検出された AI/LLM 関連のツールが一覧表示されます。
その他の関連項目 検出結果で検出された脆弱性についての役立つ情報を含む外部ウェブサイトへのリンクです。
資産情報

影響を受けている資産に関する情報。以下が含まれます。

  • 資産 ID - スキャンで脆弱性が検出された資産の UUID。この値は Tenable Vulnerability Management に対して一意です。

  • Name - 影響を受けている資産の名前。名前のリンクをクリックすると、影響を受けている資産の詳細がウェブアプリケーションの詳細ページに表示されます。

  • IPV4 アドレス - 資産の IPv4 アドレス

  • パブリック - 資産がパブリックであるかどうかを示します。
資産スキャン情報

脆弱性を検出したスキャンに関する情報。次の情報が含まれます。

  • 初回確認日 - スキャンが最初に資産を特定した日時。

  • 最終確認日 - スキャンの際に資産が最後に確認された日時。

  • 最終ライセンススキャン日 - 資産が「ライセンス済み」と見なされ、Tenable のライセンス制限にカウントされた最後のスキャンの日時。ライセンススキャンでは、検出以外のプラグインを使用して脆弱性を特定できます。非検出プラグインを実行する非認証スキャンでは、[最終ライセンススキャン日] フィールドは更新されますが、[最終認証スキャン日] フィールドは更新されません。ライセンスの仕組みの詳細については、Tenable Vulnerability Management のライセンス を参照してください。

  • 最終認証スキャン日 - 資産に対する認証スキャンが実行された直近の日時。検出プラグインのみを使用する認証スキャンでは、[最終認証スキャン日] フィールドは更新されますが、[最終ライセンススキャン日] フィールドは更新されません。

  • ソース - 影響を受けている資産の脆弱性を検出したスキャンのソース。
識別

検出結果で検出された脆弱性のプラグインの識別方法に関する情報で、次のものが含まれます。

  • URL - スキャナーによって脆弱性が検出された対象 URL

  • Proof - 影響を受けている資産で脆弱性が悪用されることを証明する脆弱性を検証しようとするスキャナーからの出力

  • Input Type - 攻撃者が悪意のあるコード (フォームやセッション Cookie など) を挿入する可能性のある資産のコンポーネントこのセクションは、資産がインジェクション攻撃に対して脆弱である場合にのみ表示されます。

  • Input Name - 攻撃者が悪意のあるコードを挿入する可能性のある資産コンポーネントの名前このセクションは、資産がインジェクション攻撃に対して脆弱である場合にのみ表示されます。

  • Output - スキャン中に検出された脆弱性に関するプラグインからのより詳細な情報
HTTP 情報

スキャナーとウェブアプリケーション間の HTTP メッセージに関する情報で、次のものが含まれます。

  • HTTP リクエスト - 脆弱性を特定したスキャナーがウェブアプリケーションに対して行った HTTP 要求。

  • HTTP 応答 - 脆弱性を特定したスキャナーにウェブアプリケーションが送信した HTTP 応答
添付ファイル 検出結果で検出された脆弱性に関する詳細を含むプラグインの添付ファイルです。このセクションは、添付ファイルが使用可能な場合にのみ表示されます。
VPR (脆弱性優先度格付け) Tenable によって計算された脆弱性の VPR (脆弱性優先度格付け) です。
検出結果の状態 検出結果で検出された脆弱性の状態。詳細は、脆弱性の状態を参照してください。
脆弱性の情報

プラグインが特定した脆弱性に関する情報です。次のものが含まれます。

  • 深刻度 - 脆弱性の深刻度を示すアイコン。

  • 悪用される可能性 - 脆弱性の潜在的な悪用可能性において考慮される、脆弱性の特性
  • 悪用される - 脆弱性が悪用される可能性のある特に一般的な方法。
検出

Tenable Vulnerability Management が検出結果で検出された脆弱性を最初に検出した時に関する情報。次のものが含まれます。

  • 初回確認日 - スキャンが資産上で初めて脆弱性を検出した日付。

  • 最終確認日 - スキャンが資産上で脆弱性を検出した直近の日付。

  • 経過日数 - ネットワーク内の資産上で、スキャンによってその脆弱性が最初に検出されてから経過した日数。
プラグインの詳細

検出結果で検出された脆弱性を検出したプラグインに関する情報で、次のものが含まれます。

  • 公開日 - 脆弱性を特定したプラグインが公開された日付

  • 変更日 - プラグインが変更された直近の日付

  • ファミリー - 脆弱性を特定したプラグインのファミリー

  • リスクファクター - プラグインに関連する CVSS に基づくリスクファクター

  • プラグイン ID - 脆弱性を特定したプラグインの ID でフィルタリングします。
リスク情報

影響を受けている資産に脆弱性が与える相対リスクに関する情報で、次のものが含まれます。

  • リスクファクター - プラグインに関連する CVSS に基づくリスクファクター

  • CVSSV3 基本値 - CVSSv3 基本値 (時間の経過やユーザー環境によって変化しない、本質的で基本的な脆弱性の特性)。

  • CVSSV3 ベクトル - 脆弱性に関するその他の CVSSv3 基準。

  • CVSSV2 基本値 - CVSSv2 基本値 (時間の経過やユーザー環境によって変化しない、本質的で基本的な脆弱性の特性)。

  • CVSS2 手法 - 脆弱性に関するその他の CVSSv2 基準。
参照情報

Tenable Vulnerability Management によって検出結果で検出された脆弱性に関する追加情報を提供する業界リソースには、次のようなものが含まれます。

  • OWASP - 脆弱性の存在について OWASP (Open Web Application Security Project) が提供するトップ 10 リストへの 1 つまたは複数のリンク

  • OWASP API - 脆弱性の存在に関する OWASP API トップ 10 リストへの 1 つまたは複数のリンク

  • WASC - 脆弱性の脅威分類に関して WASC (Web Application Security Consortium) が提供する説明へのリンク

  • CWE - 脆弱性の CWE スコアが分かる共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) の説明へのリンク
アクション

右上の [アクション] ボタンをクリックしてドロップダウンを表示し、次の操作を実行できます。

  • エクスポート - 調査の表からのエクスポートで説明されているように、CSV または JSON にエクスポートします。

  • レポートを生成 - レポートで説明されているように、テンプレートからレポートを生成します。

  • 変更検出結果から変更ルールを作成するで説明されているように、検出結果の深刻度を変更または承認します。

  • 変更検出結果から変更ルールを作成するで説明されているように、検出結果の深刻度を変更または承認します。

  • すべての検出結果を表示資産の詳細の表示で説明されているように、資産のすべての検出結果を表示します。

  • すべての詳細を表示検出結果の詳細の表示で説明されているように、検出結果の詳細をすべて表示します。

  • 新しいタブですべての詳細を表示 — 資産の完全な詳細をブラウザの新しいタブに表示します。