Fechando detecções obsoletas em Resposta a vulnerabilidades

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 9 min. de leitura

    • O módulo Encerrar automaticamente detecções obsoletas ajuda a limpar automaticamente detecções vulneráveis mais antigas e obsoletas que não foram encontradas recentemente por suas integrações de terceiros. Mover essas detecções para Encerrado reduz o número de itens vulneráveis ativos e tarefas de correção em sua instância Now Platform e ajuda a reconciliar ativos em seu CMDB.

    Visão geral e termos-chave

    Para acumular dados de detecção com mais precisão para seus itens vulneráveis, o módulo de fechamento automático de detecções obsoletas ajuda a limpar detecções de itens vulneráveis mais antigas e obsoletas que não foram encontradas recentemente por suas integrações de terceiros. Para obter mais informações sobre esse recurso, consulte o caso de uso abaixo e o artigo Encerramento automático de detecções obsoletas [KB 0958638].

    Nas versões anteriores do Resposta a vulnerabilidades, o módulo de fechamento automático de itens vulneráveis fazia a transição automática de itens vulneráveis não encontrados recentemente ou atualizados por suas integrações de scanner de terceiros para o estado Encerrado - Obsoleto.

    Antes de habilitar o recurso de fechamento automático de detecções obsoletas, revise os termos a seguir, como os estados são acumulados para itens vulneráveis e tarefas de correção e os pré-requisitos para suas integrações de terceiros que importam dados de detecção.

    Para habilitar o recurso, consulte Fechar automaticamente detecções obsoletas no Resposta a vulnerabilidades.

    Termos principais

    Detecções obsoletas
    Refere-se a detecções associadas a itens vulneráveis em sua instância Now Platform® que são antigos e não foram encontrados, atualizados ou detectados por verificações de integração de terceiros por um período significativo.
    Últimas detecções encontradas
    Esta opção de pesquisa usa uma data e hora fornecidas pelo scanner de terceiros. Este termo se refere à data e hora mais atuais ou mais recentes em que as detecções foram encontradas novamente pelo scanner.
    Última verificação de ativos
    Esta opção de pesquisa usa uma data e hora fornecidas pelo scanner de terceiros. Este termo se refere à data e hora mais atuais em que um ativo foi verificado pela última vez por um scanner de terceiros.

    Caso de uso

    Às vezes, os ativos (itens de configuração) podem ser desativados em seu ambiente ou limpos por scanners de terceiros, e as detecções associadas não são atualizadas pelas detecções de itens vulneráveis. Como resultado, as detecções e os itens vulneráveis relacionados não são atualizados na aplicação Resposta a vulnerabilidades e se tornam inativos (obsoleto).

    Para fechar essas detecções antigas que têm dados de item vulnerável inalterados e reduzir o número de IVs ativos e tarefas de correção (RTs), habilite o fechamento automático de detecções obsoletas. Este recurso fecha automaticamente as detecções de itens vulneráveis que não foram encontrados ou atualizados recentemente por suas integrações de scanner de terceiros com base nos critérios de pesquisa e em uma duração em número de dias que você define.

    Por exemplo, suponha que um item de configuração (IC) específico tenha vários IDs de ativo e um desses IDs não tenha sido importado em uma detecção de um scanner de terceiros nos últimos 90 dias. Este recurso fecha automaticamente esta detecção que não tem novos dados de vulnerabilidade para que o VI associado possa ser fechado.

    Como um VI pode ter mais de uma detecção associada a ele, este recurso faz a transição somente das detecções determinadas como obsoletas pelos parâmetros definidos. Por exemplo, se um VI tiver quatro detecções associadas a ele e duas detecções forem obsoletas, ou seja, nenhum novo dado de vulnerabilidade foi importado nos últimos 90 dias, este recurso fechará somente as detecções obsoletas. Antes que o VI possa ser encerrado, você deve primeiro corrigir as outras duas detecções em aberto.

    Acúmulo de estados de detecção para IVs

    Para diferenciar as detecções encerradas automaticamente das detecções encerradas por scanners de terceiros, um novo valor para o campo Status, Obsoleto, foi adicionado. Os valores possíveis para este campo são Aberto, Fechado e Obsoleto. Obsoleto indica que uma detecção foi encerrada pelo recurso de detecção de fechamento automático.

    Precedência de estado: Aberto > Fechado > Obsoleto.

    1. Se alguma detecção estiver Aberta, o estado de VI associado permanecerá Aberto.
    2. Se nenhuma detecção estiver Aberta, algumas estiverem Encerradas e algumas estiverem Obsoletas, o estado de VI associado passará para Fechado - Fixo.
    3. Se todas as detecções forem obsoletas, o estado de VI associado passará para Encerrado - obsoleto.

      A partir de Resposta a vulnerabilidades 20.0, se a detecção for Obsoleta e o VI associado estiver no estado Encerrado, o estado do VI não fará a transição para Encerrado - Obsoleto. Isso evita que o VI seja reaberto quando uma nova detecção for identificada para que você possa evitar passar por todo o processo de aprovação e solicitação de falso-positivo. Para reverter esse comportamento, desmarque a caixa de seleção Ignorar detecções obsoletas para IVs encerrados no formulário Configuração de fechamento automático. Para obter mais informações, consulte Fechar automaticamente detecções obsoletas no Resposta a vulnerabilidades.

    Acúmulo de estados de VI para tarefas de correção (VUL)

    Precedência de estado: Aberto > Encerrado - Fixo > Encerrado - Obsoleto.

    1. Se algum IV em uma VUL (tarefa de correção) estiver Aberto, o estado da VUL não será alterado.
    2. Se pelo menos um VI for Encerrado - Fixo e o restante for Encerrado - Obsoleto, o estado do VUL passará para Encerrado - Fixo.
    3. Se todos os IVs em uma VUL forem Encerrado - Obsoleto, o estado da VUL passará para Encerrado - Cancelado.

    Detecções de fechamento automático e requisitos de integração de terceiros

    Usuários do Microsoft TVM e fechamento automático de detecções obsoletas

    Item de check-list Descrição
    Integração de vulnerabilidade do Microsoft TVM Com a integração de vulnerabilidade do Microsoft TVM, se você selecionar Últimas detecções encontradas para basear sua pesquisa, esse recurso exigirá uma execução bem-sucedida da integração de vulnerabilidades da máquina do Microsoft TVM (importação completa) nos últimos sete dias. Esta integração é executada semanalmente.

    Se o fechamento automático de detecções obsoletas estiver habilitado e configurado para Últimas detecções encontradas, e a integração de vulnerabilidades da máquina com Microsoft TVM estiver desabilitada ou uma importação de dados não tiver sido concluída com sucesso nos últimos sete dias, o trabalho programado para fechar detecções ainda será executado diariamente, mas alguns detecções obsoletas podem não ser encerradas conforme o esperado.

    Se você selecionar Últimos ativos verificados para basear sua pesquisa, a execução da integração de vulnerabilidades de máquina com Microsoft TVM não será necessária.

    Para ativar esta integração:

    1. Navegar até Integração de vulnerabilidade Microsoft VTM > Administração > Integração.
    2. Localize e habilite a integração de vulnerabilidades da máquina com Microsoft TVM (importação completa).
    (Opcional) Implante várias instâncias das integrações do Microsoft TVM em seu ambiente. Opcionalmente, você pode implantar várias instâncias das integrações em seu ambiente.

    O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. As detecções obsoletas são transicionadas automaticamente para obsoletas nas instâncias que concluíram com sucesso as execuções de integração.

    Se o fechamento automático de detecções obsoletas estiver habilitado e você desabilitar as integrações que são executadas semanalmente em uma instância, o trabalho agendado para fechar detecções ainda será executado diariamente, mas algumas detecções podem não fazer a transição para obsoleto automaticamente como esperado.

    Qualys usuários e fechamento automático de itens vulneráveis obsoletos

    • Todas as integrações de terceiros ativadas Qualys que recuperam dados de detecção podem ser executadas com este módulo. Não há aplicações Qualys específicas necessárias.
    • Opcionalmente, você pode implantar várias instâncias das integrações Qualys em seu ambiente.
    • O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. As detecções obsoletas são transicionadas automaticamente para obsoletas em todas as instâncias.

    Rapid7 usuários e fechamento automático de detecções obsoletas

    Item de check-list Descrição
    A Rapid7 integração de vulnerabilidade Se você selecionar Últimas detecções encontradas para basear sua pesquisa, este recurso exigirá uma execução bem-sucedida de uma das Rapid7 integrações de item vulnerável abrangentes nos últimos sete dias. Essas integrações abrangentes são executadas semanalmente:
    • Para o Rapid7 Nexpose data warehouse, é necessária uma execução bem-sucedida da Rapid7 Integração Abrangente de Item Vulnerável.
    • Para Rapid7 InsightVM, é necessária uma execução bem-sucedida da Rapid7 Integração Abrangente de Item Vulnerável - API.

    Se o fechamento automático de detecções obsoletas estiver habilitado e configurado para Últimas detecções encontradas, e as Rapid7 integrações de itens vulneráveis abrangentes estiverem desabilitadas ou uma importação de dados não tiver sido concluída com sucesso nos últimos sete dias, o trabalho programado para fechar detecções ainda será executado diariamente, mas algumas detecções obsoletas podem não ser encerradas conforme o esperado.

    Se você selecionar Ativos verificados pela última vez para basear sua pesquisa, nenhuma execução de integração abrangente Rapid7 será necessária.

    Para ativar essas integrações:

    1. Navegar até Integração com Rapid7 Vulnerability > Administração > Integração.
    2. Localize e habilite a Rapid7 Integração Abrangente de Item Vulnerável necessária.
    Nota:

    Além dessas integrações que são executadas semanalmente, Rapid7 Nexpose e Rapid7 InsightVM têm integrações de VI que são executadas diariamente, a integração de item vulnerável do Rapid7 e a integração de item vulnerável do Rapid7 - API.

    Se as integrações diária e semanal Rapid7 estiverem habilitadas, somente uma integração será executada por vez. Se um desses trabalhos de integração estiver em execução, o trabalho da outra integração será ignorado até o próximo trabalho agendado.
    (Opcional) Implante várias instâncias das integrações Rapid7 em seu ambiente. Opcionalmente, você pode implantar várias instâncias das integrações abrangentes em seu ambiente.

    O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. As detecções obsoletas são transicionadas automaticamente para obsoletas nas instâncias que concluíram com sucesso as execuções de integração.

    Se o fechamento automático de detecções obsoletas estiver habilitado e você desabilitar as integrações que são executadas semanalmente em uma instância, o trabalho agendado para fechar detecções ainda será executado diariamente, mas algumas detecções podem não fazer a transição para obsoleto automaticamente como esperado.

    Usuários de integração de vulnerabilidade da Tenable e itens vulneráveis obsoletos com fechamento automático

    • Todas as integrações ativadas da integração de vulnerabilidade da Tenable que recuperam dados de detecção podem ser executadas com este módulo. Não há integrações de vulnerabilidade específicas da Tenable necessárias.
    • Opcionalmente, você pode implantar várias instâncias da integração de vulnerabilidade da Tenable em seu ambiente.
    • O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. As detecções obsoletas são transicionadas automaticamente para obsoletas em todas as instâncias.

    Depois de verificar se suas integrações estão configuradas corretamente, consulte Fechar automaticamente detecções obsoletas no Resposta a vulnerabilidades para habilitar o recurso.

    Informações de upgrade de itens vulneráveis obsoletos de fechamento automático para fechamento automático de detecções obsoletas

    Para o módulo Encerramento automático de detecções obsoletas, se você já usou o Encerramento automático de itens vulneráveis obsoletos:
    • O valor do número de dias que você inseriu para a opção Ativos verificados pela última vez em Encerrar automaticamente itens vulneráveis obsoletos é preservado automaticamente para Ativos verificados pela última vez em Detecções obsoletas de encerramento automático.
    • O valor do número de dias que você inseriu para a opção Itens vulneráveis encontrados pela última vez em Fechar automaticamente itens vulneráveis obsoletos é preservado automaticamente para Detecções encontradas pela última vez em Detecções obsoletas de fechamento automático.
    • As detecções em aberto existentes com itens vulneráveis como Encerrado - Obsoleto passarão para Obsoleto de acordo com as definições de configuração de fechamento automático quando o trabalho agendado Auto-Close Stale Detections for executado após o upgrade.

    Informações de acúmulo

    • Se um item vulnerável foi Encerrado - Obsoleto antes do upgrade e todas as suas detecções forem marcadas como Obsoleto após o upgrade, o estado do IV permanecerá Encerrado - Obsoleto.
    • Se um item vulnerável foi Encerrado - Obsoleto antes do upgrade e somente algumas de suas detecções forem marcadas como Obsoleto após o upgrade e o restante tiver sido encerrado pelo scanner, o item vulnerável passará para Encerrado - Corrigido de acordo com a lógica de acúmulo.