Iniciar nova verificação para a integração de vulnerabilidade Rapid7

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 7 min. de leitura

    • Inicie novas verificações na plataforma Rapid7 para verificar se os itens vulneráveis foram corrigidos entre os ciclos de verificação programados.

    Antes de Iniciar

    Nota:
    Novas verificações para Rapid7 itens vulneráveis de data warehouse não são compatíveis.

    Você pode iniciar novas verificações nos espaços da Resposta a vulnerabilidades. Para obter mais informações, consulte Verificar novamente registros e tarefas de correção no Espaço do gerenciador de vulnerabilidades e Verificar novamente itens vulneráveis e tarefas de correção no Espaço de correção de problemas de TI.

    Funções necessárias: funções necessárias: sn_vul.write_all ou sn_vul.write_assigned

    Por Que e Quando Desempenhar Esta Tarefa

    Para novas verificações no ambiente clássico, consulte as seções a seguir.

    Novas verificações são compatíveis. Você pode iniciar uma nova verificação sob demanda para itens vulneráveis importados de integrações Rapid7 InsightVM da sua instância Now Platform®.
    Nota:
    O scanner Rapid7 está desativado por padrão na aplicação Resposta a vulnerabilidades. Se você tentar executar uma nova verificação a partir dos itens vulneráveis ou tarefas de correção que tenham a aplicação Rapid7 como origem, o botão Verificar novamente não estará disponível.

    Para ajudar a reduzir a sobrecarga e o volume envolvidos nas verificações completas programadas, responsáveis pela correção, especialistas em TI, analistas de vulnerabilidade ou gerentes de vulnerabilidade podem iniciar novas verificações direcionadas sob demanda para vulnerabilidades específicas em ativos (itens de configuração) em seus ambientes. Você pode iniciar novas verificações a partir de itens vulneráveis (VI), tarefas de correção (RT), entradas de terceiros (TPE) ou registros de itens descobertos da sua instância Now Platform®.

    As novas verificações permitem que você verifique se suas atividades de correção, patches e outras ações corrigiram vulnerabilidades específicas em seus itens de configuração (ICs).

    Por exemplo, todo o ambiente é verificado uma vez a cada três semanas. A verificação completa mais recente foi concluída há uma semana, mas você aplicou um patch ontem para corrigir uma vulnerabilidade crítica. Devido à natureza desta vulnerabilidade, você não pode esperar duas semanas pela próxima verificação programada para verificar se ela foi corrigida. Para verificar se o patch corrigiu com sucesso uma vulnerabilidade crítica descoberta durante uma verificação anterior, você pode iniciar uma nova verificação direcionada a partir de seus Now Platform para Rapid7 itens vulneráveis. Você pode exibir resultados atualizados em seus itens vulneráveis com a próxima importação agendada de Rapid7 InsightVM Integrações de vulnerabilidade e item vulnerável.

    Procedimento

    1. Navegar até Todos > Resposta a vulnerabilidades > Itens vulneráveis.
    2. Localize o registro de item vulnerável a partir do qual você deseja acionar uma nova verificação e abra-o.
      Nota:
      Inicie novas verificações de IVs com Rapid7 como origem. Verifique se Rapid7 é exibido na coluna Origem nas exibições de lista de VI ou nos campos Origem em registros individuais. Você pode usar o construtor de condições para agrupar IVs por origem. Ou, se a coluna Origem não for exibida na exibição Lista de VI, no canto superior esquerdo da lista, clique no ícone de engrenagem e mova a Origem de Disponível para Selecionado.

      Ao iniciar novas verificações, evite acionar simultaneamente verificações para um ID de origem de várias origens. A solicitação de verificação mais recente gerará erro.

      Por exemplo, se você iniciar uma nova verificação de um VI a partir de um registro de VI e também solicitar outra nova verificação a partir de um registro de tarefa de correção que contém o mesmo VI, é provável que a segunda solicitação falhe.

      Campo de origem realçado no VI
    3. Como alternativa, navegue até Resposta a vulnerabilidades > Tarefas de correção ou Resposta a vulnerabilidades > Bibliotecas > terceiro para a tarefa de correção ou registros de entrada de terceiros, respectivamente, que você deseja usar para a nova verificação.

      Dependendo da sua escolha, o botão Verificar novamente está disponível nos seguintes registros:

      • Em um único registro de VI, o VI deve ser do produto Rapid7 e estar em qualquer estado diferente de Encerrado. Para vários registros de VI, todos os IVs selecionados na exibição de lista devem ser do produto Rapid7 e estar em qualquer estado diferente de Encerrado.
      • Em um registro de tarefa de correção, a tarefa de correção pode estar em qualquer estado diferente de Encerrado e todos os IVs associados devem ser do produto Rapid7.
      • Em um registro de entrada de terceiros (TPE), o registro deve ter pelo menos um registro VI associado do produto Rapid7 em qualquer estado diferente de Fechado.
      • Em um registro de item descoberto, o VI deve ser do produto Rapid7 e estar em qualquer estado diferente de Closed.
    4. No canto superior direito do registro, clique em Verificar novamente.
      Para exibições de lista, selecione os IVs na lista que você deseja verificar novamente e, na lista Ação nas linhas selecionadas, selecione Verificar novamente.
    5. No pop-up exibido, confirme a nova verificação.
      Uma mensagem é exibida indicando que a verificação está sendo processada (Em fila). Na mensagem, clique no link Exibir detalhes para verificar o status da nova verificação (verificação secundária) e exibir outras verificações iniciadas a partir do registro. O status de todas as novas verificações pode ser encontrado a qualquer momento na lista relacionada Verificações na parte inferior do VI, tarefa de correção, TPE e registros de itens descobertos que você usa para iniciar as novas verificações.

      Quando a verificação está em andamento, o campo Estado muda para Verificaçãoe o campo Mensagem de status exibe A verificação está em andamento.

      Nota:
      Cada nova verificação oferece suporte a 500 ativos por verificação. Se sua solicitação tiver mais de 500 ativos, mais verificações secundárias serão solicitadas.

      Sua instância Now Platform® rastreia o status da nova verificação até que ela seja concluída com sucesso ou até que o período de acompanhamento definido expire, o que acontecer primeiro.

      Figura 1. Nova verificação em andamento
      Campos de mensagem de status e estado realçados

      O tempo limite não interrompe a verificação. O tempo limite se refere a quando o Now Platform® parou de rastrear seu status de nova verificação, não quando a nova verificação real parou. Todos os IVs que fizeram ou farão a transição para Encerrado/Corrigido são importados com a próxima importação agendada das Rapid7 integrações.

      Figura 2. Nova verificação concluída
      Informações de verificação concluída realçadas

      Como alternativa, você pode iniciar uma nova verificação sob demanda para uma vulnerabilidade específica em um ativo específico. Você pode exibir os resultados dessas verificações depois que a verificação for concluída no VI atualizado, na tarefa de correção, no TPE e nos registros de itens descobertos a partir dos quais você iniciou a verificação.

      O valor do campo Estado nos registros de Verificação de vulnerabilidades é importado de Rapid7. Quando a verificação é concluída com sucesso, o estado é definido como Concluído. Se a verificação não for concluída com sucesso, um valor de erro será exibido.

      Verificações automáticas e verificações programadas

      Como gerente ou analista de vulnerabilidade, você pode especificar e programar quando novas verificações são iniciadas para IVs e RTs. Você também pode habilitar verificações automáticas para IVs e tarefas de correção definidas para resolver.

    6. Para modificar os parâmetros de integração na instância de integração, navegue até Integração com Rapid7 Vulnerability > Administração > Configuração.
    7. No registro de configuração do Rapid7, se não estiver selecionado, na lista Tipo de integração, selecione Rapid7 InsightVM.
    8. À direita do campo Instância de integração, clique no ícone de informações e, em seguida, em Abrir registro.
    9. No registro da Instância de integração do Rapid7 InsightVM, localize os parâmetros para programar verificações e edite conforme necessário.
      parâmetros de verificação

      scan_on_resolved indica se a verificação é iniciada quando uma vulnerabilidade é resolvida. O padrão é falso (desabilitado).

      Se este parâmetro estiver definido como verdadeiro, sempre que um VI ou RT for definido como Resolvido, o fluxo de trabalho para verificar novamente o respectivo VI e a tarefa de correção será acionado automaticamente.

      scan_start_time
      Defina a hora de início da verificação em HH:mm (formato de 24 horas) no fuso horário UTC para a hora de início da janela em que você deseja que novas verificações estejam disponíveis.

      O valor padrão é 00:00.

      scan_end_time
      Defina a hora de término da verificação em HH:mm (formato de 24 horas) no fuso horário UTC para a hora de término da janela de verificação disponível.

      O valor padrão é 23:59.

      Se uma verificação for iniciada dentro da janela de tempo programada, ela será iniciada instantaneamente. Se a verificação for iniciada fora da janela, ela será enfileirada para a próxima janela programada.

      Por exemplo, se você inserir uma hora de início de 00:00 para o parâmetro scan_start_time e uma scan_end_time de 10:00 AM na mesma manhã, as verificações programadas ou iniciadas manualmente fora da janela de tempo da meia-noite às 10 AM serão enfileiradas e iniciadas na hora de início da janela de tempo do dia seguinte 00:00.

      No mesmo exemplo, se você iniciar manualmente uma nova verificação às 11h, a nova verificação não será iniciada imediatamente, pois está fora dos tempos de verificação configurados disponíveis. A solicitação de verificação permanece na fila até o início da janela de tempo do dia seguinte, neste exemplo 00:00.