Fechando detecções obsoletas em Resposta a vulnerabilidades

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 9 min. de leitura

    • O módulo Encerramento automático de detecções obsoletas ajuda a limpar automaticamente detecções vulneráveis mais antigas e obsoletas não encontradas recentemente por suas integrações de terceiros. Mover essas detecções para Encerradas reduz o número de itens vulneráveis ativos e tarefas de correção em seu ServiceNow AI Platform E ajudam a reconciliar ativos no CMDB.

    Visão geral e termos principais

    Para acumular dados de detecção com mais precisão para seus itens vulneráveis, o módulo Fechar detecções obsoletas ajuda a limpar detecções de itens vulneráveis mais antigas e obsoletas que não foram encontradas recentemente por suas integrações de terceiros. Para obter mais informações sobre esse recurso, consulte o caso de uso abaixo.

    Em versões anteriores de Resposta a vulnerabilidades, O módulo Fechar itens vulneráveis automaticamente fez a transição automática de itens vulneráveis não encontrados recentemente ou atualizados por suas integrações de scanner de terceiros para Encerrado - obsoleto.

    Antes de habilitar o recurso Encerrar detecções obsoletas automaticamente, revise os termos a seguir, como os estados se acumulam em itens vulneráveis e tarefas de correção e os pré-requisitos para suas integrações de terceiros que importam dados de detecção.

    Para habilitar o recurso, consulte Fechar automaticamente detecções obsoletas em Resposta a vulnerabilidades.

    Termos principais

    Detecções obsoletas
    Refere-se a detecções associadas a itens vulneráveis em seu ServiceNow AI Platform® instâncias que estão envelhecidas e não foram encontradas, atualizadas ou detectadas por verificações de integração de terceiros por um período significativo.
    Últimas detecções encontradas
    Esta opção de pesquisa usa uma data e hora fornecidas pelo scanner de terceiros. Este termo se refere à data e hora mais atuais ou mais recentes em que as detecções foram encontradas novamente pelo scanner.
    Ativos verificados pela última vez
    Esta opção de pesquisa usa uma data e hora fornecidas pelo scanner de terceiros. Este termo se refere à data e hora mais atuais em que um ativo foi verificado pela última vez por um scanner de terceiros.

    Caso de uso

    Às vezes, os ativos (itens de configuração) podem ser desativados em seu ambiente ou limpos por scanners de terceiros, e suas detecções associadas não são atualizadas por detecções de itens vulneráveis. Como resultado, as detecções e seus itens vulneráveis relacionados não são atualizados no Resposta a vulnerabilidades e eles se tornam inativos (obsoletos).

    Para fechar essas detecções antigas que têm dados de item vulnerável inalterados e reduzir o número de tarefas de correção (RTS) e VIS ativas, habilite Encerramento automático de detecções obsoletas. Este recurso fecha automaticamente as detecções de item vulnerável que não foram recentemente encontradas ou atualizadas por suas integrações de scanner de terceiros com base nos critérios de pesquisa e em uma idade em número de dias que você definiu.

    Por exemplo, suponha que um item de configuração (IC) específico tenha vários IDs de ativo e um desses IDs não tenha sido importado em uma detecção de um scanner de terceiros nos últimos 90 dias. Este recurso fecha automaticamente esta detecção que não tem novos dados de vulnerabilidade para que o VI associado possa ser encerrado.

    Como uma VI pode ter mais de uma detecção associada a ela, esse recurso só faz a transição das detecções determinadas como obsoletas pelos parâmetros definidos. Por exemplo, se uma VI tiver quatro detecções associadas a ela e duas detecções estiverem obsoletas, ou seja, nenhum novo dado de vulnerabilidade tiver sido importado nos últimos 90 dias, este recurso fechará somente as detecções obsoletas. Antes que o VI possa ser fechado, você deve primeiro corrigir as outras duas detecções em aberto.

    Acúmulo de estados de detecção para VIS

    Para diferenciar as detecções encerradas automaticamente das detecções encerradas por scanners de terceiros, um novo valor para o campo Status, obsoleto, foi adicionado. Os valores possíveis para este campo são Aberto, Encerrado e obsoleto. Obsoleto indica que uma detecção foi encerrada pelo recurso de detecção de fechamento automático.

    Precedência de estado: Aberto > Encerrado > obsoleto.

    1. Se alguma detecção estiver aberta, o estado de VI associado permanecerá aberto.
    2. Se nenhuma detecção estiver aberta, algumas estiverem encerradas e outras obsoletas, o estado do VI associado mudará para Encerrado - Corrigido.
    3. Se todas as detecções estiverem obsoletas, o estado de VI associado será transferido para Encerrado - obsoleto.

      Começando com Resposta a vulnerabilidades20,0, Se a detecção estiver obsoleta e seu VI associado estiver no estado Encerrado, o estado do VI não fará a transição para Encerrado - obsoleto. Evitar que o VI seja reaberto quando uma nova detecção for identificada, para que você possa evitar passar por todo o processo de solicitação e aprovação de falso-positivo. Para reverter esse comportamento, desmarque Ignorar detecções obsoletas para VIS encerrados Caixa de seleção no formulário Configuração de fechamento automático. Para obter mais informações, consulte Fechar automaticamente detecções obsoletas em Resposta a vulnerabilidades.

    Acúmulo de estados de VI para tarefas de correção (VUL)

    Precedência de estado: Aberto > Encerrado - Fixo > Encerrado - obsoleto.

    1. Se algum VIS em um VUL (tarefa de correção) estiver aberto, o estado DO VUL não será alterado.
    2. Se pelo menos um VI estiver encerrado - fixo e o restante estiver encerrado - obsoleto, o estado VUL mudará para Encerrado - fixo.
    3. Se todos os VIS em um VUL estiverem encerrados - obsoletos, o estado do VUL mudará para Encerrado - Cancelado.
    4. Se algum VIS for fechado como Encerrado - Falso positivo, o VUL não fechará automaticamente.

    Para obter mais informações sobre cenários de rollup e rolldown de estado, consulte, Cenários de roll-up e roll-down de estado.

    Detecções de fechamento automático e requisitos de integração de terceiros

    Usuários do Microsoft TVM e Fechamento automático de detecções obsoletas

    Item de check-list Descrição
    Microsoft TVM Vulnerability Integration Com o Microsoft TVM Vulnerability Integration, se você selecionar Detecções encontradas pela última vez Para basear sua pesquisa, este recurso requer uma execução bem-sucedida da Integração de vulnerabilidades de máquina do Microsoft TVM (importação completa) nos últimos sete dias. Esta integração é executada semanalmente.

    Se as detecções obsoletas de Fechamento automático estiverem habilitadas e configuradas para Detecções encontradas pela última vez E a Integração de vulnerabilidades de máquina do Microsoft TVM estiver desabilitada ou uma importação de dados não for concluída com sucesso nos últimos sete dias, o trabalho agendado para fechar detecções ainda será executado diariamente, mas algumas detecções obsoletas podem não ser encerradas conforme o esperado.

    Se você selecionar Ativos verificados pela última vez Para basear sua pesquisa, a execução de Integração de vulnerabilidades de máquina do Microsoft TVM não é necessária.

    Para ativar esta integração:

    1. Navegar até Integração de vulnerabilidade Microsoft VTM > Administração > Integração.
    2. Localize e habilite o. Microsoft TVM Machine Vulnerabilities Integration (importação completa) .
    (Opcional) Implemente várias instâncias das integrações do Microsoft TVM em seu ambiente. Opcionalmente, você pode implantar várias instâncias das integrações em seu ambiente.

    O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. Detecções obsoletas são transferidas automaticamente para obsoletas em instâncias que concluíram execuções de integração com sucesso.

    Se o Fechamento automático de detecções obsoletas estiver habilitado e você desabilitar as integrações executadas semanalmente em uma instância, o trabalho agendado para fechar detecções ainda será executado diariamente, mas algumas detecções podem não passar para obsoletas automaticamente conforme o esperado.

    Qualys Itens vulneráveis obsoletos e Fechamento automático

    • Ativado Qualys integrações de terceiros que recuperam dados de detecção podem ser executadas com este módulo. Não há específico Qualys aplicações necessárias.
    • Opcionalmente, você pode implantar várias instâncias do Qualys integrações em seu ambiente.
    • O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. Detecções obsoletas são transferidas automaticamente para obsoletas em todas as instâncias.

    Rapid7 Usuários e Fechamento automático de detecções obsoletas

    Item de check-list Descrição
    . Rapid7 Integração de vulnerabilidades Se você selecionar Detecções encontradas pela última vez para basear sua pesquisa, este recurso requer uma execução bem-sucedida de um dos Rapid7 Integrações abrangentes de itens vulneráveis nos últimos sete dias. Estas integrações abrangentes são executadas semanalmente:
    • Para Rapid7 Nexpose depósito de dados, uma execução bem-sucedida do Rapid7 A integração abrangente de item vulnerável é necessária.
    • Para Rapid7 InsightVM, uma execução bem-sucedida do Rapid7 Integração abrangente de item vulnerável - A API é necessária.

    Se Fechar detecções obsoletas automaticamente estiver habilitado e configurado para Detecções encontradas pela última vez e Rapid7 As Integrações abrangentes de item vulnerável estão desabilitadas ou uma importação de dados não foi concluída com sucesso nos últimos sete dias, o trabalho agendado para fechar detecções ainda é executado diariamente, mas algumas detecções obsoletas podem não ser encerradas conforme o esperado.

    Se você selecionar Ativos verificados pela última vez para basear sua pesquisa, não abrangente Rapid7 a execução de integração é necessária.

    Para ativar estas integrações:

    1. Navegar até Integração com Rapid7 Vulnerability > Administração > Integração.
    2. Localize e habilite o. Rapid7 Integração abrangente de item vulnerável de que você precisa.
    Nota:

    Além dessas integrações que são executadas semanalmente, Rapid7 Nexpose e. Rapid7 InsightVM Cada um tem integrações de VI que são executadas diariamente, a integração de item vulnerável do Rapid7 e a API de integração de item vulnerável do Rapid7.

    Diariamente e semanalmente Rapid7 as integrações estão habilitadas, somente uma integração é executada por vez. Se um desses trabalhos de integração estiver em execução, o trabalho da outra integração será ignorado até o próximo trabalho agendado.
    (Opcional) Implanta várias instâncias do Rapid7 integrações em seu ambiente. Opcionalmente, você pode implantar várias instâncias das integrações abrangentes em seu ambiente.

    O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. Detecções obsoletas são transferidas automaticamente para obsoletas em instâncias que concluíram execuções de integração com sucesso.

    Se Fechar detecções obsoletas automaticamente estiver habilitado e você desabilitar as integrações executadas semanalmente em uma instância, o trabalho agendado para fechar detecções ainda será executado diariamente, mas algumas detecções podem não fazer a transição para obsoletas automaticamente conforme o esperado.

    Usuários do Tenable Vulnerability Integration e fechamento automático de itens vulneráveis obsoletos

    • Quaisquer integrações ativadas da Integração de vulnerabilidades do Tenable que recuperam dados de detecção podem ser executadas com este módulo. Não há integrações de vulnerabilidade específicas do Tenable necessárias.
    • Opcionalmente, você pode implantar várias instâncias da Integração de vulnerabilidades do Tenable em seu ambiente.
    • O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. Detecções obsoletas são transferidas automaticamente para Obsoleto em todas as instâncias.

    Depois de verificar se suas integrações estão configuradas corretamente, consulte Fechar automaticamente detecções obsoletas em Resposta a vulnerabilidades para habilitar o recurso.

    Atualize as informações de Fechar automaticamente itens vulneráveis obsoletos para Fechar automaticamente detecções obsoletas

    Para o módulo Fechar detecções obsoletas automaticamente, se você usou anteriormente Fechar itens vulneráveis obsoletos automaticamente:
    • O valor do número de dias que você inseriu para Ativos verificados pela última vez A opção de Fechar itens vulneráveis obsoletos automaticamente é preservada automaticamente para Ativos verificados pela última vez Em Fechamento automático de detecções obsoletas.
    • O valor do número de dias que você inseriu para Itens vulneráveis encontrados pela última vez A opção de Fechar itens vulneráveis obsoletos automaticamente é preservada automaticamente para Detecções encontradas pela última vez Em Fechamento automático de detecções obsoletas.
    • Detecções em aberto existentes com itens vulneráveis como encerrados - obsoletos serão transferidas para obsoletos de acordo com as definições de configuração de fechamento automático quando Auto-Close Stale Detectionso trabalho agendado é executado após o upgrade.

    Acúmulo de informações

    • Se um item vulnerável foi encerrado - obsoleto antes do upgrade e todas as detecções forem marcadas como obsoleto após o upgrade, o estado VI permanecerá encerrado - obsoleto.
    • Se um item vulnerável foi encerrado - obsoleto antes do upgrade, e somente algumas de suas detecções estiverem marcadas como obsoletas após o upgrade e o restante tiver sido encerrado pelo scanner, o item vulnerável será transferido para Encerrado - corrigido de acordo com a lógica de rollup.