脆弱性インテリジェンスのフィルター
[脆弱性インテリジェンス] ページと [脆弱性プロファイル] ページにあるクエリビルダーを使用して結果を絞り込み、対応する必要がある CVE、検出結果、または影響を受ける資産のみを表示します。
次の表に、使用できるフィルターを示します。
| フィルター | 説明 |
|---|---|
| ACR |
Tenable が定義した ACR (資産重要度の格付け) の 1 から 10 までの数値。 |
| AES (ベータ版) |
(Tenable One または Tenable Lumin ライセンスが必要) 新しいアルゴリズムを使用する、Tenable 定義の AES (資産のエクスポージャースコア)。このメトリクスは、資産の VPR (脆弱性優先度格付け) と ACR (資産重要度の格付け) を評価し、1 ~ 1000 の数値を割り当てます。値が大きいほど、資産がリスクにさらされていることを示しています。詳細については、Scoring (Beta) (スコアリング (ベータ版)) を参照してください。 |
| AES |
Tenable が定義した AES (資産のエクスポージャースコア) の 0 から 1000 までの数値。 |
| ACR (ベータ版) |
(Tenable One または Tenable Lumin のライセンスが必要) 資産プロファイルに基づく新しいアルゴリズムを使用する、Tenable 定義の資産重要度の格付け。ビジネスやデバイス機能別に資産をクラスに割り当てます。このメトリクスは、組織にとっての資産の重要度を 1 から 10 の数値で評価します。値が高いほど重要な資産になります。詳細は、Scoring (スコアリング) および ACR (資産重要度の格付け) を参照してください。 |
| 資産名 | 資産名 (例: IPv4 アドレス 206.206.136.40)。 |
| カテゴリ | 脆弱性カテゴリ に記載されている、脆弱性のカテゴリ。 |
| コモンネーム |
脆弱性のコモンネーム (例: Log4Shell)。すべての脆弱性にコモンネームが付いているわけではありません。 |
| CVE ID |
共通脆弱性識別子 (CVE) ID (例: CVE-2002-2024)。 |
| CVSSv2 基本値 | 脆弱性の CVSSv2 スコア (例: 5.2)。NVD から取得できない場合、Tenable がこのスコアを決定します。詳細については、CVSS と VPR を参照してください。 |
| CVSSv3 攻撃条件の複雑さ |
攻撃者が脆弱性を悪用することの困難さを定義する攻撃条件の複雑さ。オプションには、[高]、[低] があります。 |
| CVSSv3 攻撃元区分 |
攻撃の場所を定義する攻撃元区分。オプションには、[隣接]、[ネットワーク]、[ローカル]、[物理] があります。 |
| CVSSv3 可用性 |
影響を受ける資産の可用性への影響を定量化します。オプションには、[高] (資産が完全に利用できない)、[低] (いくつかの資産でパフォーマンスの低下または可用性の中断)、[なし] (資産の可用性に影響なし) があります。 |
| CVSSv3 基本値 | 脆弱性の CVSSv3 スコア (例: 4.3)。NVD から取得できない場合、Tenable がこのスコアを決定します。詳細については、CVSS と VPR を参照してください。 |
| CVSSv3 機密性 |
影響を受ける資産の情報の機密性が失われた場合に想定される影響。オプションには、[高]、[低]、[なし] があります。たとえば、機密性が [高] の影響を受ける資産は、所属組織や顧客に壊滅的な悪影響を与える可能性があります。 |
| CVSSv3 完全性 |
影響を受ける資産のデータの完全性が失われた場合に想定される影響。オプションには、[高]、[低]、[なし] があります。 |
| CVSSv3 必要な特権レベル |
攻撃者が脆弱性を悪用するために必要なアクセス許可レベル。オプションには、[高]、[低]、[なし] があります。たとえば、[なし] は、攻撃者が環境内でアクセス許可を必要とせず、認証されていなくても脆弱性を悪用できることを意味します。 |
| CVSSv3 スコープ |
脆弱性により、影響を受ける資産の通常の認証権限を超えて攻撃者がリソースを侵害できるかどうか。オプションには、[変更なし]、[変更済み] があります。たとえば、[変更あり] は、脆弱性によって影響を受ける資産の権限を増大させていることを意味します。 |
| CVSSv3 ユーザ関与レベル |
攻撃者が脆弱性を使用するために他のユーザー (エンドユーザーなど) が必要かどうか。オプションには、[必須]、[なし] があります。[なし] の場合、追加のユーザー操作が不要であるため、深刻度が高くなります。 |
| EPSS スコア |
サードパーティの Exploit Prediction Scoring System (EPSS) に基づく、脆弱性が悪用される可能性のパーセンテージ。数値を 0 から 100 までで小数点以下 3 桁まで入力します。例: 75.599。 |
| エクスプロイトの成熟度 |
巧妙さと可用性に基づくエクスプロイトの成熟度。この情報は、Tenable の独自の調査や主要な外部情報源から得たものです。オプションには、[高]、[機能性]、[PoC]、[未検証] があります。 |
| 最初の検出 |
検出結果に対応する脆弱性が最初に特定された日付。 |
| 最初の機能的エクスプロイト |
脆弱性が悪用されたことが最初に判明した日付。 |
| 最初の概念実証 |
脆弱性の最初の概念実証が見つかった日付。 |
| プラグイン ID |
脆弱性が検出された Tenable プラグインの ID (例: 157288)。プラグインの説明を表示するには、ID をクリックするか、Tenable を参照してください。 |
| プラグイン名 |
脆弱性が検出された Tenable プラグインの名前 (例: TLS バージョン 1.1 プロトコルは廃止予定)。 |
| 利用可能なプラグイン |
現在、脆弱性を検出する Tenable プラグインがあるかどうか。オプションには、[はい]、[いいえ] があります。 |
| タグ | 影響を受ける資産のタグ。詳細については、タグをご覧ください。 |
| VPR |
Tenable が計算した VPR (脆弱性優先度格付け) スコアの 1 から 10 までの数値。このスコアは、脆弱性を特定したプラグインの VPR に基づいています。プラグインが複数の脆弱性に関連付けられている場合は、最も高い VPR が表示されます。 |
| VPR 脅威の深刻度 |
脅威イベントの数と頻度に基づく、Tenable が計算した脆弱性の脅威の深刻度。オプションには、[最低]、[低]、[中]、[高]、[最高] があります。 |
| 武器化 |
脆弱性がサイバー攻撃で使用される状態であると判断されたかどうか。オプションには、[APT 攻撃]、[ボットネット]、[マルウェア]、[ランサムウェア]、[ルートキット] があります。 |
| ゼロデイ |
[はい] の場合 - この脆弱性は当初、ゼロデイ脆弱性として特定されました。この値は、脆弱性が公開された後に修正プログラムが利用可能になった場合でも、[はい] と表示されます。 [いいえ] の場合 - この脆弱性には、脆弱性が一般に公開される前または悪用されることが知られる前に存在していた、一般に利用可能な修正プログラムがあります。 |