에서 부실 탐지 자동 종결 Vulnerability Response

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 부실 탐지 자동 종결을 활성화하여 외부 공급업체 통합에서 최근에 발견하지 못한 부실 취약한 탐지를 자동으로 종결합니다.

    시작하기 전에

    필요한 역할: sn_vul.vulnerability_admin 또는 sn_vuln.admin(사용하지 않음) 또는 sn_vul.manage_auto_close_stale_vi 세분화된 역할이 있는 취약성 관리자

    이 기능, 주요 용어 및 탐지 데이터를 가져오는 타사 통합에 필요할 수 있는 설정에 대한 자세한 내용은 을 참조하십시오 에서 부실 탐지 종결 Vulnerability Response .

    프로시저

    1. 다음으로 이동 Vulnerability Response > 관리 > 자동 종결 구성 > 부실 탐지레이블이 표시됩니다.
      부실 구성 자동 종결 양식이 표시됩니다.
    2. 필드에 내용을 입력합니다.
    3. 부실 탐지 기준 자동 종결 필드의 경우 검색 옵션 하나를 선택합니다.

      두 검색 모두 오래된 오래된 오래된 탐지의 연령(일 수)을 스캐너에서 제공한 날짜와 일치시킵니다.

      • 마지막으로 발견된 탐지입니다. 이 옵션은 스캐너에서 탐지를 다시 찾은 가장 최근 또는 최근 날짜를 검색합니다.
        주:
        Microsoft 및 TVM 사용자의 경우 Rapid7 현재 탐지 정보 요구에 대한 경고 메시지가 표시됩니다.

        검색의 기준으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 포괄적인 취약한 항목 통합 중 Rapid7 하나의 성공적인 통합 실행이 필요합니다.

        검색의 기반으로 마지막으로 발견된 탐지 를 선택하는 경우 이 기능을 사용하려면 지난 7일 이내에 Microsoft TVM 컴퓨터 취약성 통합(전체 가져오기)의 성공적인 통합 실행이 필요합니다.

      • 마지막으로 스캔한 자산입니다. 이 옵션은 외부 공급업체 스캐너에서 자산을 마지막으로 스캔한 가장 최근 날짜를 검색합니다.
    4. Microsoft 및 TVM 사용자의 경우 Rapid7 필요한 통합이 활성화되어 있는지 확인합니다.
      자세한 내용은 및를 Microsoft Threat and Vulnerability Management 취약성 통합 이해 참조하십시오Rapid7 Vulnerability Integration 이해.
    5. 모듈을 활성화하려면 활성 확인란을 클릭하여 선택합니다.
    6. 마지막으로 발견된 탐지(며칠 전) 필드에 오래된 오래된 오래된 탐지의 기간을 일 수로 입력합니다.

      기본값은 90일입니다. 일 수에 대한 양수 값을 입력할 수 있습니다. 이 값은 스캐너에서 제공한 날짜를 일치시키는 데 사용됩니다. 90 및 마지막으로 발견된 탐지 가 표시되면 지난 90일 동안 발견되지 않은 모든 탐지가 자동으로 종결됩니다. 90 및 마지막으로 검사한 자산 이 표시되면 지난 90일 동안 검사되지 않은 자산과 관련된 모든 탐지가 자동으로 종결됩니다.

      주:

      이 기능에 대한 마지막으로 발견된 탐지/마지막으로 검사한 자산(일 전) 필드와 Rapid7 포괄적인 취약한 항목 통합 - API 및 Microsoft TVM 머신 취약성 통합의 다음 이후 임포트 필드 간에는 관계가 있습니다.

      이러한 통합의 경우 구성 페이지의 임포트 필드 는 기본적으로 비어 있습니다.

      값을 입력하지 않거나 필드에 값이 없는 경우 마지막으로 발견된 탐지/마지막으로 스캔한 자산(일 전) 필드에 구성된 일 수에 대한 데이터가 사용됩니다.

      예를 들어 자동 종결 구성 양식에 정의된 일수가 90이고 통합 구성 페이지의 다음 이후 임포트 필드가 비어 있는 경우 첫 번째 통합 실행 시 지난 90일 동안의 데이터를 임포트합니다. 포괄적인 취약한 항목 통합 - API 및 Microsoft TVM 머신 취약성 통합에 대한 Rapid7임포트 이후 필드는 편집할 수 있으므로 원하는 값을 제공할 수도 있습니다. 자동 종결 기능이 가양성을 종결하지 않도록 필드가 비어 있는 경우 90일 값이 기본값으로 제공됩니다.

      이러한 필드 간의 관계는 첫 번째 통합 실행에만 적용됩니다. 그런 다음 부실 취약한 탐지 자동 종결 양식에서 마지막으로 발견된 탐지/마지막으로 스캔한 자산(며칠 전) 필드를 변경해도 통합 구성 페이지의 다음 이후 가져오기 필드에 영향을 주지 않습니다. 필드가 첫 번째 실행의 시작 시간으로 변경되어 후속 통합 실행에서는 델타 정보만 임포트합니다.

    7. 옵션: 지연된 VI에 대한 부실 탐지 무시 확인란을 선택하여 지연된 VI 또는 현재 지연을 위해 검토 중인 VI에 매핑된 부실 탐지를 무시합니다.

      이 옵션을 비활성화된 상태로 두면 지연된 VI 또는 지연을 위해 검토 중인 VI에 매핑되는 기준과 일치하는 모든 탐지가 종결됩니다. 이러한 탐지에 해당하는 지연된 VI 또는 검토 중인 VI도 롤업 논리에 따라 자동으로 종결됩니다. 롤업 로직에 대한 자세한 내용은 을 참조하십시오 에서 부실 탐지 종결 Vulnerability Response.

      이 옵션을 활성화하면 지연된 VI 또는 지연을 위해 검토 중인 VI에 매핑되는 기준과 일치하는 탐지는 자동 종결 중에 건너뜁니다.

    8. 옵션: 닫힌 VI에 대한 부실 탐지 무시 확인란의 선택을 취소합니다.
      기본적으로 이 확인란은 닫힌 VI와 관련된 새로운 감지가 식별될 때 닫힌 VI가 다시 열리지 않도록 선택되어 있습니다.

      롤업 로직에 대한 자세한 내용은 을 참조하십시오 에서 부실 탐지 종결 Vulnerability Response.

    9. 변경 사항을 저장하려면 업데이트를 클릭합니다.

      예약된 작업인 부실 탐지 자동 종결은 매일 실행됩니다. 이 작업은 탐지가 마지막으로 발견된 날짜를 선택했는지 또는 자산을 마지막으로 스캔한 날짜를 선택했는지 식별합니다. 해당 탐지는 부실로 전환됩니다. 부실 탐지 자동 종결 기능은 활성 통합 인스턴스에 대한 부실 탐지만 종결합니다. 활성 통합 인스턴스와 연결된 취약한 항목 및 탐지가 종결됩니다.

      탐지가 부실로 표시된 후 스캐너가 해당 탐지를 다시 발견했다고 보고하면 탐지의 상태 필드가 미결로 전환됩니다. 탐지의 해당하는 취약한 항목도 다시 열립니다.

      또한 탐지가 부실로 표시되고 스캐너가 고정됨임을 발견하면 탐지가 종결로 전환됩니다. 또한 상태는 VI로 롤업됩니다.