CVE
[脆弱性インテリジェンスの概要] ページの [CVE] タブには、Tenable のデータベースの脆弱性が表示されます。デフォルトではすべての脆弱性が表示されますが、脆弱性カテゴリとクエリビルダーを使用して結果を絞り込むことができます。
ヒント: 資産に影響を与えている CVE のみを表示するには、チェックボックスを選択します。
[CVE] タブの表には次の列があり、表をカスタマイズするの説明に従って表示または非表示にすることができます。
|
列 |
説明 |
|---|---|
|
CVE ID |
CISA が支援している CVE プログラムによって割り当てられた、脆弱性の共通脆弱性識別子 (CVE)。 |
|
コモンネーム |
脆弱性の非公式な名前 (例: Log4Shell)。すべての脆弱性にコモンネームが付いているわけではありません。 |
|
VPR |
脆弱性の VPR スコア。この 脆弱性優先度格付け (VPR) スコアは Tenable によって 0.1 から 10 の範囲で計算されます。 |
| VPR (ベータ版) | 脆弱性の VPR (ベータ版) スコア。この更新された脆弱性優先度格付け (VPR) スコアは Tenable によって 0.1 から 10 の範囲で計算されます。 |
|
CVSSv2 |
脆弱性の CVSSv2 スコア。NVD から取得できない場合、Tenable がこのスコアを決定します。詳細については、CVSS と VPR を参照してください。 |
|
CVSSv3 |
脆弱性の CVSSv3 スコア。NVD から取得できない場合、Tenable がこのスコアを決定します。 |
| CVSSv4 |
脆弱性の CVSSv4 スコア。NVD から取得できない場合、Tenable がこのスコアを決定します。 |
|
エクスプロイトの成熟度 |
脆弱性に対する最高レベルのエクスプロイト成熟度 (未実証、概念実証 (POC)、機能的、または 高)。Tenable の調査や主要な外部情報源から得たものです。 |
|
EPSS |
サードパーティの Exploit Prediction Scoring System (EPSS) に基づく、脆弱性が積極的に悪用される可能性。 |
|
最初の検出 |
脆弱性が最初に特定された日時。 |
|
最初のエクスプロイト |
脆弱性が最初に悪用された日付。 |
|
最初の PoC |
脆弱性の最初の概念実証 (PoC) が発見された日時。 |
| ゼロデイ |
[はい] の場合 - この脆弱性は当初、ゼロデイ脆弱性として特定されました。この値は、脆弱性が公開された後に修正プログラムが利用可能になった場合でも、[はい] と表示されます。 [いいえ] の場合 - この脆弱性には、脆弱性が一般に公開される前または悪用されることが知られる前に存在していた、一般に利用可能な修正プログラムがあります。 |
|
プラグイン ID |
脆弱性を検出した Tenable プラグインの ID。 |
影響を受ける資産
任意の行で、ドロップダウン [>] をクリックして、その CVE が表示されている資産のテーブルを表示します。テーブルには下記の列が含まれます。テーブルのカスタマイズの説明に従って列を表示または非表示にすることができます。
|
列 |
説明 |
|---|---|
| 本来の深刻度 | ローカル変更ルールまたは組織のリスクルールが適用される前に、プラグイン作者またはサードパーティソース (CVSS など) によって脆弱性に割り当てられた最初の深刻度評価。 |
| ポート | スキャンで脆弱性が検出された資産にスキャナーが接続するために使用したポート。 |
| プロトコル | ネットワーク通信中にデータをフォーマットして処理するために資産によって使用される、標準化された一連のルール (TCP、UDP、ICMP など)。 |
|
資産名 |
エージェント名、ローカルホスト名、NetBIOS 名、DNS (FQDN) (完全修飾ドメイン名)、IPv4 アドレス、IPv6 アドレスの属性の有無に基づいて Tenable により割り当てられる一意の識別子。 |
| オペレーティングシステム | 資産で実行されているオペレーティングシステム (例: Linux Kernel 3.13)。 |
|
IPv4 アドレス |
資産の IPv4 アドレス。 |
|
IPv6 アドレス |
資産の IPv6 アドレス。 |
| プラグインカウント | 資産に関する CVE を特定したプラグインの数。 |
|
ACR |
(Tenable One / Tenable Lumin のライセンスが必要) Tenable 定義の ACR (資産重要度の格付け) の 1 から 10 までの整数。 |
|
AES |
(Tenable One / Tenable Lumin のライセンスが必要) Tenable 定義の AES (資産のエクスポージャースコア)、0 から 1000 までの整数。 |
|
最終確認日 |
資産が最後にスキャンに表示された日付。 |
| ソース | Nessus のネットワークベースの評価など、検出結果を識別したスキャナーまたはセンサー。 |
|
タグ |
Tenable Vulnerability Management で適用した資産タグ。 |
| 製品タイプ | 資産のソフトウェアまたはハードウェアカテゴリの上位分類 (オペレーティングシステム、ウェブサーバー、データベースなど)。 |
| ベンダー | 資産で識別されたソフトウェアまたはハードウェアを開発、製造、またはブランド化した組織またはエンティティの名前。 |
| 製品 | 資産で検出されたソフトウェアアプリケーション、フレームワーク、またはハードウェアモデルの特定の名前。 |
| バージョン | 開発反復を追跡するためにベンダーが製品に割り当てた、特定のリリース識別子 (数値、英数字、または日付ベース)。 |
| 脆弱性 SLA の日付 | 所属組織のサービスレベル契約 (SLA) ポリシーへの準拠を維持するため、脆弱性を修正しなければならない期限。 |