Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

10.2. 一般的なタスク:

このセクションでは、Vulnerability Management Dashboard ビューから実行できる共通タスクを紹介します。

10.2.1. インフラストラクチャーに影響する重大な CVE の検索

Vulnerability Management ビューを使用して、プラットフォームに最適な CVE を特定します。

手順

  1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
  2. Vulnerability Management ビューヘッダーで CVE を選択します。
  3. CVE ビューで、Env Impact 列ヘッダーを選択し、環境の影響に基づいて CVE を降順 (最も高いもの) に配置します。

10.2.2. 最も脆弱なイメージコンポーネントの検索

Vulnerability Management ビューを使用して、脆弱なイメージコンポーネントを特定します。

手順

  1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
  2. Vulnerability Management ビューヘッダーから、Application & Infrastructure Components の順に選択します。
  3. Components ビューで CVEs 列ヘッダーを選択し、CVE 数に基づいてコンポーネントを降順 (一番大きいもの) に配置します。

10.2.3. 脆弱性のあるコンテナーイメージ層の特定

Vulnerability Management ビューを使用して、脆弱なコンポーネントと、そのコンポーネントが表示されるイメージ層を特定します。

手順

  1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
  2. Top Riskiest Images ウィジェットからイメージを選択します。
  3. Image の詳細ビューで、Image Findings セクションの下にある Dockerfile タブを選択します。
  4. Image Findings セクションの Dockerfile タブで、展開アイコンを選択して、イメージコンポーネントの概要を表示します。
  5. 特定のコンポーネントの展開アイコンを選択して、選択したコンポーネントに影響する CVE の詳細を取得します。

10.2.4. 修正可能な CVE のみの詳細表示

Vulnerability Management ビューを使用して、修正可能な CVE をフィルターリングして表示します。

手順

  1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
  2. Vulnerability Management ビューヘッダーから、Filter CVEs Fixable の順に選択します。

10.2.5. ベースイメージのオペレーティングシステムの特定

Vulnerability Management ビューを使用して、ベースイメージのオペレーティングシステムを特定します。

手順

  1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
  2. Vulnerability Management ビューヘッダーから Images を選択します。
  3. Image OS 列の下に、すべてのイメージのベースオペレーティングシステム (OS) および OS バージョンを表示します。
  4. イメージを選択して、その詳細を表示します。ベースオペレーティングシステムは、Image Summary Details and Metadata セクションでも利用できます。
注記

Red Hat Advanced Cluster Security for Kubernetes は、以下のいずれかの場合に、Image OSunknown として一覧表示します。

  • オペレーティングシステム情報が利用できない場合、または
  • 使用中のイメージスキャナーでこの情報が提供されない場合。

Docker Trusted Registry、Google Container Registry、および Anchore では、この情報を提供されません。

10.2.6. リスクの高いオブジェクトの特定

Vulnerability Management ビューを使用して、環境内の主要なリスクオブジェクトを特定します。Top Risky ウィジェットは、環境内のトップリスクのイメージ、デプロイメント、クラスター、および namespace に関する情報を表示します。このリスクは、脆弱性の数と CVSS スコアに基づいて決定されます。

手順

  1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。

  2. Top Risky ウィジェットヘッダーを選択して、リスクイメージ、デプロイメント、クラスター、および namespace の中から選択します。

    グラフの小さな円は、選択したオブジェクト (イメージ、デプロイメント、クラスター、namespace) を表します。円にマウスをかざし、その円が表すオブジェクトの概要を確認します。円を選択して、選択したオブジェクト、その関連エンティティー、およびエンティティー間の接続に関する詳細情報を表示します。

    たとえば、Top Risky Deployments by CVE Count and CVSS score を表示する場合には、グラフの各円はデプロイメントを表します。

    • デプロイメントにカーソルを合わせると、デプロイメントの概要が表示されます。これには、デプロイメント名、クラスターと namespace の名前、重大度、リスクの優先度、CVSS、および CVE カウント (修正可能を含む) が含まれます。
    • デプロイメントを選択すると、選択したデプロイメントの Deployment ビューが開きます。Deployment ビューには、デプロイメントの詳細情報が表示され、そのデプロイメントのポリシー違反、共通脆弱性、CVE、およびリスクイメージに関する情報が含まれます。
  3. ウィジェットヘッダーで View All を選択して、選択したタイプのオブジェクトをすべて表示します。たとえば、Top Risky Deployments by CVE Count and CVSS score を選択した場合には、View All を選択して、インフラストラクチャー内のすべてのデプロイメントに関する詳細情報を表示できます。

10.2.7. 最もリスクの高いイメージとコンポーネントの特定

Top Risky と同様に、Top Riskiest ウィジェットには、最もリスクの高いイメージとコンポーネントの名前が一覧表示されます。このウィジェットには、リストされたイメージ内の CVE の総数と修正可能な CVE の数も含まれています。

手順

  1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。

  2. Top Riskiest Images ウィジェットヘッダーを選択して、リスクイメージとコンポーネントを選択します。Top Riskiest Images を表示する場合は、以下を実行します。

    • リスト内のイメージにカーソルを合わせると、イメージの概要が表示されます。これには、イメージ名、スキャン時間、CVE の数、重大度 (クリティカル、高、中、低) が含まれます。
    • イメージを選択すると、選択したイメージの Image ビューが開きます。Image ビューには、イメージの詳細が表示され、CVSS スコア別の CVE、最もリスクの高いコンポーネント、修正可能な CVE、およびイメージの Dockerfile に関する情報が含まれます。
  3. ウィジェットヘッダーで View All を選択して、選択したタイプのオブジェクトをすべて表示します。たとえば、Top Riskiest Components を選択した場合は、View All を選んでインフラストラクチャー内のすべてのコンポーネントに関する詳細情報を表示できます。

10.2.8. イメージの Dockerfile の表示

Vulnerability Management ビューを使用して、イメージの脆弱性の根本的な原因を検索します。Dockerfile を表示して、Dockerfile 内のどのコマンドが脆弱性を導入したか、およびその単一のコマンドに関連付けられているすべてのコンポーネントを正確に見つけることができます。

Dockerfile タブには、以下の情報が表示されます。

  • Dockerfile のすべてのレイヤー
  • 各レイヤーの命令とその値
  • 各レイヤーに含まれるコンポーネント
  • 各レイヤーのコンポーネントの CVE 数

特定のレイヤーで導入されたコンポーネントがある場合は、展開アイコンを選択してコンポーネントの概要を表示できます。これらのコンポーネントに CVE がある場合は、個別のコンポーネントの展開アイコンを選択して、そのコンポーネントに影響を与える CVE の詳細を取得できます。

手順

  1. RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
  2. Top Riskiest Images ウィジェットからイメージを選択します。
  3. Image の詳細ビューで、Image Findings セクションの下にある Dockerfile タブを選択します。

10.2.9. ノードの脆弱性の識別の無効化

ノードの脆弱性の識別は、デフォルトで有効にされています。RHACS ポータルから無効にできます。

手順

  1. RHACS ポータルで、Platform Configuration Integrations に移動します。
  2. Image Integrations セクションで StackRox Scanner を選択します。
  3. スキャナーの一覧から StackRox スキャナーを選択して詳細を表示します。
  4. Types から Node Scanner オプションを削除します。
  5. Save を選択します。

10.2.10. アクティブではないイメージのスキャン

Red Hat Advanced Cluster Security for Kubernetes は、4 時間ごとにアクティブな (デプロイされた) イメージをすべてスキャンし、イメージスキャンの結果を更新して最新の脆弱性定義を反映します。

また、Red Hat Advanced Cluster Security for Kubernetes を設定して、アクティブではない (デプロイされていない) イメージを自動的にスキャンすることもできます。

手順

  1. Vulnerability Management ビューヘッダーで Images を選択し、すべてのイメージの一覧を表示します。
  2. Images ビューヘッダーで、Watch Images を選択します。
  3. Manage Inactive Images ダイアログで、有効化する (イメージ ID ではなく) アクティブではないイメージの名前を入力します。
  4. Add Image を選択します。次に、Red Hat Advanced Cluster Security for Kubernetes はイメージをスキャンし、エラーまたは成功のメッセージが表示されます。
  5. Return to Image list を選択して、Images ビューを表示します。

10.2.11. 特定の CVE をブロックするポリシーの作成

Vulnerability Management ビューから、新しいポリシーを作成したり、既存のポリシーに特定の CVE を追加したりすることができます。

手順

  1. Vulnerability Management ビューヘッダーから CVE をクリックします。
  2. 1 つ以上の CVE のチェックボックスを選択し、Add selected CVEs to Policy (add アイコン) をクリックします。または、リストの CVE にマウスを移動して、右側の Add アイコンを選択します。

  3. Policy Name の場合:

    • 既存のポリシーに CVE を追加するには、ドロップダウンリストから既存のポリシーを選択します。
    • 新規ポリシーを作成するには、新規ポリシーの名前を入力し、Create <policy_name> を選択します。
  4. Severity の値を選択します (CriticalHighMedium、または Low のいずれか)。
  5. ポリシーを適用する Lifecycle Stage を、Build または Deploy から選択します。また、ライフサイクルステージの両方を選択することもできます。
  6. Description ボックスに、ポリシーの詳細を入力します。
  7. ポリシーを作成して後で有効にする場合は、Enable Policy トグルをオフにします。Enable Policy トグルはデフォルトでオンになっています。
  8. このポリシーに含まれる CVE を確認してください。
  9. Save Policy をクリックします。

10.2.12. 最近検出された脆弱性の表示

Vulnerability Management ビューの Recently Detected Vulnerabilities ウィジェットには、スキャン時間と CVSS スコアに基づいて、スキャンイメージで最近検出された脆弱性の一覧が表示されます。また、CVE の影響を受けるイメージの数と、お使いの環境への影響 (パーセンテージ) に関する情報も含まれます。

  • リスト内の CVE にカーソルを合わせると、CVE の概要が表示されます。これには、スキャン時間、CVSS スコア、説明、影響、および CVSSv2 と v3 のどちらを使用してスコアリングされたかが含まれます。
  • CVE を選択すると、選択した CVE の詳細ビューが開きます。CVE の詳細ビューには、表示される CVE およびコンポーネント、イメージ、デプロイメントおよびデプロイメントの詳細が表示されます。
  • Recently Detected Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE の一覧を表示します。CVE の一覧をフィルターリングすることもできます。

10.2.13. 最も一般的な脆弱性の表示

Vulnerability Management ビューの Mosty Common Vulnerabilities ウィジェットには、CVSS スコアで配置されたデプロイメントやイメージの最大数に影響を与える脆弱性の一覧が表示されます。

  • リスト内の CVE にカーソルを合わせると、CVE の概要が表示されます。これには、スキャン時間、CVSS スコア、説明、影響、および CVSSv2 と v3 のどちらを使用してスコアリングされたかが含まれます。
  • CVE を選択すると、選択した CVE の詳細ビューが開きます。CVE の詳細ビューには、表示される CVE およびコンポーネント、イメージ、デプロイメントおよびデプロイメントの詳細が表示されます。
  • Most Common Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE の一覧を表示します。CVE の一覧をフィルターリングすることもできます。CVE を CSV ファイルとしてエクスポートするには、Export Download CVES as CSV の順に選択します。

10.2.14. 最も深刻なポリシー違反があるデプロイメントの特定

Vulnerability Management ビューのDeployments with most severe policy violations ウィジェットには、デプロイメントに影響する脆弱性の重大度の一覧が表示されます。

  • 一覧のデプロイメントにカーソルを合わせると、デプロイメントの概要が表示されます。これには、デプロイメント名、クラスターの名前、デプロイメントが存在する namespace、失敗したポリシーとその重大度の数が含まれます。
  • デプロイメントを選択すると、選択したデプロイメントの Deployment ビューが開きます。Deployment ビューには、デプロイメントの詳細情報が表示され、そのデプロイメントのポリシー違反、共通脆弱性、CVE、およびリスクイメージに関する情報が含まれます。
  • Most Common Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE の一覧を表示します。CVE の一覧をフィルターリングすることもできます。CVE を CSV ファイルとしてエクスポートするには、Export Download CVES as CSV の順に選択します。

10.2.15. Kubernetes および Istio の脆弱性の多くのクラスターの検索

Vulnerability Management ビューを使用して、環境内の Kubernetes および Istio の脆弱性の多くのクラスターを特定します。

Clusters with most K8S & Istio Vulnerabilities ウィジェットには、各クラスターの Kubernetes と Istio の脆弱性の数でランク付けされたクラスターのリストが表示されます。リストの一番上にあるクラスターは、脆弱性の数が最も多いクラスターです。

手順

  1. 一覧からクラスターの 1 つをクリックして、クラスターの詳細を表示します。Cluster ビューには以下が含まれます。

    • Cluster Details セクションには、クラスターの詳細とメタデータ、最もリスクの高いオブジェクト (デプロイメント、名前空間、およびイメージ)、最近検出された脆弱性、最もリスクの高いイメージ、および最も重大なポリシー違反のあるデプロイメントが表示されます。
    • Cluster Findings セクション。これには、失敗したポリシーの一覧および修正可能な CVE の一覧が含まれます。
    • Related Entities セクション。クラスターに含まれる namespace、デプロイメント、ポリシー、イメージ、コンポーネント、CVE の数が表示されます。これらのエンティティーを選択して、詳細情報を表示できます。
  2. ウィジェットヘッダーの View All をクリックして、すべてのクラスターの一覧を表示します。

10.2.16. ノードの脆弱性の特定

Vulnerability Management ビューを使用して、ノードの脆弱性を特定できます。特定された脆弱性には、以下のような脆弱性が含まれます。

  • コア Kubernetes コンポーネント。

  • コンテナーランタイム (Docker、CRI-O、runC、および containerd)。

    注記
    • Red Hat Advanced Cluster Security for Kubernetes では、OpenShift Container Platform のノードの脆弱性の特定機能はサポートされません。

    • Red Hat Advanced Cluster Security for Kubernetes は以下のオペレーティングシステムの脆弱性を特定できます。

      • Amazon Linux 2
      • CentOS
      • Debian
      • Garden Linux (Debian 11)
      • Red Hat Enterprise Linux (RHEL)
      • Ubuntu(AWS、Azure、GCP、および GKE 固有のバージョン)

手順

  1. Vulnerability Management ビューヘッダーで Nodes を選択し、ノードに影響するすべての CVE の一覧を表示します。

  2. 一覧からノードを選択し、そのノードに影響するすべての CVE の詳細を表示します。

    1. ノードを選択すると、選択したノードの Node の詳細パネルが開きます。Node ビューには、ノードの詳細が表示され、CVSS スコア別の CVE およびそのノードの修正可能な CVE に関する情報が含まれます。
    2. 選択したノードのすべての CVE のリストを表示するには、CVEs by CVSS score で、View All を選択します。CVE の一覧をフィルターリングすることもできます。
    3. 修正可能な CVE を CSV ファイルとしてエクスポートするには、Node Findings セクションで Export as CSV を選択します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.