Vulnerability Response Korrekturzielregeln

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Korrekturzielregeln definieren den erwarteten Zeitrahmen für die Korrektur von angreifbaren Elementen (VI, Vulnerable Items), ähnlich wie SLAs einen Zeitrahmen für die Korrektur der Schwachstelle selbst bieten. Wenn ein Asset beispielsweise PCI-Daten (Kreditkartendaten) enthält, muss die Schwachstelle für dieses Element gemäß PCI DSS innerhalb von 30 Tagen behoben werden.

    Schwachstellenmanager können Korrekturzielregeln erstellen, indem sie Folgendes definieren:
    • Das Nachbesserungsziel
    • Das Erinnerungsziel
    • Die Empfänger der Erinnerung und der Benachrichtigung – Wer benachrichtigt werden soll, wenn die angreifbaren Elemente (VIs) das Erinnerungs- oder Korrekturzieldatum überschritten haben und nicht korrigiert wurden.

    Schwachstellenanalysten und -manager können das Zieldatum für die Nachbesserung im Formular für angreifbare Elemente und in den Listenansichten anzeigen, sofern sich die angreifbaren Elemente nicht im Status „ Zurückgestellt“, „Gelöst“oder „Geschlossen “ befinden. Korrekturzielregeln werden beim Import ausgeführt und erneut ausgeführt, wenn ein VI erneut geöffnet wird.

    Das Zieldatum der Korrektur ist in der VI-Listenansicht als Punkte wie folgt farbcodiert:
    • Angreifbare Elemente, deren Benachrichtigungsdatum noch nicht erreicht wurde, werden grün angezeigt.
    • Angreifbare Elemente, deren Korrekturzieldatum näher rückt, werden orange angezeigt.
    • Angreifbare Elemente, deren Nachbesserungszieldatum verstrichen ist, werden rot angezeigt.

    Pro Korrekturzielregel wird eine Zusammenfassungs-E-Mail gesendet, wenn mindestens ein AEs sich dem Korrekturzieldatum nähert oder das Korrekturzieldatum verstrichen ist.

    Korrekturzielregeln können deaktiviert oder gelöscht werden

    Wenn eine Regel deaktiviert wird, werden die aktuellen Korrekturzieldaten für die VIs gelöscht, auf die sie angewendet wurde. Wenn ein AE eine aktive Regel erfüllt, wird diese Regel angewendet. Andernfalls hat das AE keine Regel oder kein Zieldatum, und sein Status ist Kein Ziel.

    Wenn Regeln gelöscht werden, werden das Zieldatum der Korrektur und zugehörige Felder für geschlossene, zurückgestellte oder gelöste VIs beibehalten. Das Zieldatum der Korrektur und zugehörige Felder für nicht geschlossene VIs werden gelöscht, und alle abhängigen Regeln werden erneut angewendet.

    Szenario für Korrekturzielregel

    Wenn mehrere Korrekturzielregeln auf dasselbe angreifbare Element angewendet werden, wird die restriktivste Regel angewendet.
    Hinweis:
    Korrekturziele werden aus dem Datum von „ Zuletzt geöffnet “ plus der Anzahl der Tage (gemessen in 24-Stunden-Schritten) berechnet.

    Ab V17.1 werden Korrekturziele anhand des Ziels ab (Datum)berechnet. Der Standardwert bleibt Datum der letzten Öffnung.

    Beispiel: Wenn ein angreifbares Element die Bedingung für zwei Korrekturzielregeln erfüllt:

    Szenario: Angreifbares Element wurde zuletzt am 01.03.2018 um 10:00:00 geöffnet.
    • Korrekturzielregel 1: Zuletzt geöffnet am 03.07.2018; Korrekturziel ist 15 Tage seit dem letzten Öffnen; Das berechnete Zieldatum der Korrektur ist der 16.03.2018 10:00:00.
    • Korrekturzielregel 2: Zuletzt geöffnet am 10.03.2018; Korrekturziel ist 10 Tage seit dem letzten Öffnen; Das berechnete Zieldatum der Korrektur ist der 11.03.2018 10:00:00.
    In diesem Szenario gilt die Korrekturzielregel 2 für das angreifbare Element, da sie über das restriktivere Datum verfügt. 10 Tage seit der ersten Identifizierung des angreifbaren Elements im Vergleich zu 15 Tagen.
    Hinweis:
    Sobald die Korrekturzielregel definiert ist, werden Korrekturzieldaten von der geplanten Aufgabe Evaluate remediation targets berechnet.

    Über die geplante Aufgabe „Korrekturziele auswerten“

    Evaluate remediation targets wird einmal täglich um 4:00:00 ausgeführt.

    Es durchläuft alle aktiven Schwachstellenregeln, beginnend mit den Regeln mit dem frühesten Korrekturzieldatum. Es untersucht alle angreifbaren Elemente, die:
    • befinden sich nicht im Status „ Geschlossen“, „Zurückgestellt“oder „Gelöst“.
    • Hat kein Korrekturzieldatum.
    • Ein Korrekturzieldatum aufweisen, das nach dem Datum in der Korrekturzielregel liegt.

    Evaluate remediation targets fügt ein Korrekturzieldatum hinzu. Wenn keines vorhanden ist oder wenn eine Regel zu einem früheren Datum als dem im Datensatz angegebenen führt, wird das vorhandene Zieldatum aktualisiert. Abschließend werden die Felder Korrekturziel und Korrekturstatus im Formular für angreifbare Elemente aktualisiert.

    Sobald Evaluate remediation targets ausgeführt wird, werden verfügbare Benachrichtigungen gesendet.

    Evaluate remediation targets löscht die Korrekturfelder im AE und sendet keine Benachrichtigungen mehr.

    Ab Vulnerability Response v19.0 verhindert die Eigenschaft sn_sec_cmn.evaluate_targetmissed_records, wenn sie aktiviert ist, dass die geplante Aufgabe Remediation Target Rules ] versäumte AEs bewertet. Diese Eigenschaft ist standardmäßig aktiviert.

    Korrekturzielregeln werden erneut angewendet

    Wenn Sie eine Korrekturzielregel ändern, klicken Sie auf die Schaltfläche Changes übernehmen auf der Listenseite für Korrekturzielregeln, um alle geänderten Regeln für alle aktiven offenen AEs mit Ausnahme der Status Geschlossen, Zurückgestellt oder Gelöst erneut auszuführen. Je nachdem, wie viele VIs Sie haben, kann dies einige Zeit dauern.
    Hinweis:

    Wenn die geplante Aufgabe Evaluate remediation targets ausgeführt wird, können Sie keinen Prozess zum erneuten Anwenden initiieren. Wenn jedoch bereits ein Prozess zum erneuten Anwenden ausgeführt wird und die regelmäßige Aufgabe, die durch ihn ausgelöst wurde, ausgeführt wird, werden sie parallel ausgeführt.

    Die Prozesse zum erneuten Anwenden in Vulnerability Response und Application Vulnerability Response sind unabhängig und können parallel ausgeführt werden.

    Wichtig:
    Als Schwachstellenadministrator und -analyst können Sie das neueste Nachbesserungszieldatum für ausgewählte angreifbare Elemente unter Vulnerability Manager Workspaceabrufen. Diese Methode ist effizienter als die Ausführung der Korrekturzielregeln für alle angreifbaren Elemente in der klassischen Anwenderoberfläche, was ein zeitaufwändiger Prozess ist. Weitere Informationen finden Sie unter Bewerten Sie die Korrektureigenschaften der Datensätze in neu Vulnerability Manager Workspace.