Resposta a vulnerabilidades regras de destino de correção

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • As regras de destino de correção definem o intervalo de tempo esperado para corrigir itens vulneráveis (VI), assim como os SLAs fornecem um intervalo de tempo para corrigir a própria vulnerabilidade. Por exemplo, se um ativo contiver dados PCI (dados de cartão de crédito), a vulnerabilidade nesse item precisará ser corrigida em 30 dias de acordo com o PCI DSS.

    Os gerentes de vulnerabilidade podem criar regras de meta de correção definindo:
    • A meta de correção
    • O destino do lembrete
    • Os destinatários do lembrete e da notificação - que devem ser notificados quando os itens vulneráveis (IVs) passarem da data de meta de lembrete ou correção e não tiverem sido corrigidos.

    Os analistas e gerentes de vulnerabilidade podem ver a data da meta de correção no formulário do item de vulnerabilidade e nas exibições de lista, desde que os itens vulneráveis não estejam no estado Adiado, Resolvidoou Encerrado. As regras de destino de correção são executadas na importação e executadas novamente se um IV for reaberto.

    A data da meta de correção é codificada por cores na exibição de lista VI como pontos, da seguinte forma:
    • Itens vulneráveis que não atingiram a data de notificação são mostrados em verde.
    • Itens vulneráveis que se aproximam da data de meta de correção são mostrados em laranja.
    • Itens vulneráveis após a data de meta de correção são mostrados em vermelho.

    Um e-mail de resumo, por regra de meta de correção, é enviado quando um ou mais IVs estão se aproximando da data de meta de correção ou quando a data de meta de correção já passou.

    As regras de destino de correção podem ser desativadas ou excluídas

    Quando uma regra é desativada, as datas de meta de correção atuais dos IVs aos quais ela foi aplicada são apagadas. Se um VI atender a qualquer regra ativa, essa regra será aplicada, caso contrário, o VI não terá uma regra ou data de destino e seu status será No Target.

    Quando as regras são excluídas, a data de meta de correção e os campos relacionados em IVs encerrados, adiados ou resolvidos são preservados. A data de meta de correção e os campos relacionados em IVs não encerrados são limpos e todas as regras dependentes são reaplicadas.

    Cenário da regra de meta de correção

    Quando várias regras de destino de correção são aplicadas ao mesmo item vulnerável, a regra mais restritiva é aplicada.
    Nota:
    As metas de correção são calculadas a partir da data da última abertura mais o número de dias (medidos como incrementos de 24 horas).

    A partir da V17.1, as metas de correção são calculadas a partir da meta de (data). O valor padrão permanece Data da última abertura.

    Por exemplo, se um item vulnerável atender à condição de duas regras de meta de correção:

    Cenário: item vulnerável aberto pela última vez em 01/03/2018 às 10:00:00.
    • Regra de meta de correção 1: Aberto pela última vez em 03/07/2018; a meta de correção é de 15 dias desde que foi aberta pela última vez; A data da meta de correção calculada é 16/03/2018 10:00:00.
    • Regra de meta de correção 2: Aberto pela última vez em 10/03/2018; a meta de correção é de 10 dias desde que foi aberta pela última vez; A data da meta de correção calculada é 11/03/2018 10:00:00.
    Neste cenário, a Regra de meta de correção 2 se aplica ao item vulnerável, já que ele tem a data mais restritiva. 10 dias desde que o item vulnerável foi identificado pela primeira vez versus 15 dias.
    Nota:
    Depois que a regra de meta de correção é definida, as datas de meta de correção são calculadas pelo trabalho agendado Evaluate remediation targets .

    Sobre o trabalho agendado Avaliar metas de correção

    Evaluate remediation targets é executado uma vez às 4:00:00 diariamente.

    Ele itera por meio de todas as regras de vulnerabilidade ativas, começando com as regras com a data de meta de correção mais antiga. Ele verifica todos os itens vulneráveis que:
    • Não estão em um estado Encerrado, Adiadoou Resolvido.
    • Não têm data de meta de correção.
    • Ter uma data de meta de correção posterior à data na regra de meta de correção.

    Evaluate remediation targets adiciona uma data de meta de correção, se não existir uma, ou se uma regra resultar em uma data anterior à do registro, ele atualizará a data de meta existente. Por fim, ele atualiza os campos Meta de correção e Status da correção no formulário de item vulnerável.

    Depois que o Evaluate remediation targets é executado, as notificações disponíveis são enviadas.

    Evaluate remediation targets limpa os campos de correção no IV e interrompe o envio de notificações.

    A partir da versão Resposta a vulnerabilidades v19.0, a propriedade sn_sec_cmn.evaluate_targetmissed_records, quando habilitada, evita que o trabalho agendado Remediation Target Rules ] avalie IVs ausentes. Esta propriedade está habilitada por padrão.

    Reaplicar regras de destino de correção

    Ao alterar uma regra de destino de correção, use o botão Aplicar mudanças na página da lista Regras de destino de correção para executar novamente todas as regras alteradas em todos os VIs abertos ativos, exceto aqueles no estado Encerrado, Adiado ou Resolvido. Dependendo de quantos IVs você tiver, isso pode levar algum tempo.
    Nota:

    Se o trabalho agendado, Evaluate remediation targets estiver em execução, você não poderá iniciar um processo de reaplicação. No entanto, se um processo de reaplicação já estiver em execução e o trabalho agendado que ele acionou, eles serão executados em paralelo.

    Os processos de reaplicação em Resposta a vulnerabilidades e Resposta a vulnerabilidades de aplicações são independentes e podem ser executados em paralelo.

    Importante:
    Como administrador e analista de vulnerabilidades, você pode obter a data da meta de correção mais recente para itens vulneráveis selecionados no Vulnerability Manager Workspace. Este método é mais eficiente do que executar as Regras de destino de correção para todos os itens vulneráveis na IU clássica, que é um processo demorado. Para obter mais informações, consulte Reavaliar as propriedades de correção dos registros no Vulnerability Manager Workspace.