[古い検出を自動クローズ] を有効にすると、サードパーティ統合によって最近検出されなかった古い脆弱性検出が自動的にクローズされます。
このタスクについて
古い検出は、重大なリスクの脆弱性一致アイテム (VIT) を対象とした修復に起因する可能性が高く、 オープン ステータスの重要度の低い複数の VIT にも対処しています。これらの VIT を [クローズ済み] に移動すると、 ServiceNow AI Platform インスタンス内のアクティブな VIT と脆弱性グループの数が減少します。
手順
-
移動先 .
[古い構成を自動クローズ (Auto-Close Stale Configuration)] フォームが表示されます。
-
フィールドに入力します。
-
[ 古い検出を自動クローズする基準 ] フィールドで、リストで [最後に発見された検出] を選択します。
このオプションは、スキャナーによって検出が再度見つかった最新の日付を検索します。
注: [ 前回スキャンされたデバイス] オプションは、OT スキャナーには適用されません。
脆弱性対応 の v22.0 以降では、検索の追加オプションを設定できるようになりました。詳細については、「Create auto-close rules」を参照してください。
-
モジュールを有効にするには、[ アクティブ] チェックボックスをオンにします。
-
[最後に発見された検出 (日前)] フィールドに、古くなった検出の経過日数を入力します。
デフォルトは 90 日です。日数には任意の正の値を入力できます。この値は、 Microsoft Defender for IoT によって提供された最後の検出日を照合するために使用されます。[90] と [ 最後に発見された検出] が表示されている場合、過去 90 日間に検出されなかった脆弱性一致アイテムは自動的にクローズされます。
- オプション:
保留された VIT または現在保留についてレビュー中の VIT にマッピングされている古い検出を無視するには、[ 保留された VI の古い検出を無視する] チェックボックスをオンにします。
このオプションを無効のままにすると、保留された VIT または保留についてレビュー中の VIT にマッピングされた、基準に一致するすべての検出がクローズされます。保留された VIT (これらの検出に対応するレビュー中の VIT) も、ロールアップロジックに基づいて自動的にクローズされます。ロールアップロジックの詳細については、「
Closing stale detections in Vulnerability Response」を参照してください。
このオプションを有効にすると、保留された VIT または保留についてレビュー中の VIT にマッピングされる基準に一致するすべての検出は、自動クローズ時にスキップされます。
- オプション:
[クローズされている VI の古い検出を無視する] チェックボックスをオフにします。
-
[Update (更新)] を選択します。
スケジュール済みジョブ [Auto-Close Stale Detections] を毎日実行します。このジョブでは、選択された日付が「最後に検出があった日付」と「最後に資産がスキャンされた日付」のどちらであるかを判断します。当該検出のステータスが [古い] に移行します。[古い検出を自動クローズ] 機能では、アクティブな統合インスタンスにおいて古い検出をクローズするだけであるということがポイントです。アクティブな統合インスタンスに関連付けられている脆弱性一致アイテムや検出はクローズされます。脆弱性対応 の v21.1 以降、共通テーブル [sn_vul_cmn_auto_close_rule] を考慮するようにスケジュール済みジョブが変更されています。
検出が [古い] とマークされた後、スキャナーがその検出の発見を再度報告すると、検出の [ステータス] フィールドは [オープン] に移行します。検出の対応する脆弱性一致アイテムも再オープンされます。
また、検出が [古い] とマークされていて、スキャナーがそれを [修正済み] であると判断した場合、検出は [クローズ済み] に移行します。ステータスは VIT にもロールアップされます。