Falso-positivo visão geral
Um falso positivo é uma condição em que o scanner relata que existe uma vulnerabilidade no sistema, mas, na realidade, não há vulnerabilidade. Pode haver vários motivos, como classificação incorreta, lógica inadequada ou algoritmo no scanner. O responsável pela correção pode marcar itens vulneráveis (VIS) ou tarefas de correção (RTS) como falsos positivos.
Ciclo de vida de um falso positivo
- Significado de falso positivo
- O scanner às vezes dá um aviso, quando na realidade não há vulnerabilidade. Por exemplo, se um item de configuração tiver sido desativado, mas o scanner ainda estiver levantando um problema relacionado a ele, marque-o como falso positivo.
- Marcação como falso positivo
- Para obter detalhes sobre como marcar um VI ou RT como falso positivo, consulte Marcar como falso positivo.
- Trabalhar com o falso positivo
- Quando um VI ou RT é marcado como falso positivo, o estado é atualizado para Encerrado e o subestado é alterado para Falso positivo. As ações a seguir podem ser realizadas:
- Reabrir
- Excluir
- Atualize a data em Até campo. Essa data é usada como a data de vencimento do falso positivo.
Nota:Se não for aprovado, o VI ou RT reverterá para seu estado anterior. - Aprovar um falso positivo
- O aprovador pode aprovar o falso positivo do fluxo de trabalho de aprovação.Nota:
A partir do Vulnerability Response v15.0, se você estiver implantando a aplicação de VR pela primeira vez, o Flow Designer para gestão de exceções será habilitado por padrão. Se você já estiver usando o fluxo de trabalho, poderá atualizar para o Flow Designer. Em ambos os casos, você não pode alterá-lo de volta para o fluxo de trabalho. Para configurar regras de aprovação para gestão de exceções e falso positivo, consulte Configure regras de aprovação para Gestão de exceções.
- Reabrindo um falso positivo
- Um VI ou RT em um subestado falso positivo pode ser reaberto a qualquer momento.
- Acompanhamento de um falso positivo
- Use Aprovações de mudança de estado seção para rastrear o status do falso positivo. Uma vez aprovado, o estado do VI ou RT é atualizado para Encerrado e o motivo é Falso positivo.
- Vencimento de um falso positivo
- Somente o aprovador de falso positivo pode definir uma data até para o falso positivo, para que o VI ou RT expire. Além disso, somente falsos positivos para os quais o aprovador forneceu uma data Até podem expirar. Esta data pode ser fornecida após a aprovação do falso positivo.Um falso positivo sem uma data até é um falso positivo permanente. Depois que o falso positivo expira, o estado do VI ou VR volta para Aberto.Nota:
A partir de v21.0 de Resposta a vulnerabilidades, você pode configurar os intervalos de tempo para aprovar falsos positivos e exceções, junto com notificações por e-mail para o aprovador e o solicitante após um número definido de dias. Quando uma solicitação é gerada, o item vulnerável muda para o status Em revisão e um registro de mudança de estado é criado. Se o aprovador não responder dentro do intervalo de tempo configurado, o item vulnerável ou a tarefa de correção será revertido para o status Aberto. O estado anterior é armazenado em backup_state campo. Para obter mais informações, consulte Configure regras de aprovação para Gestão de exceções.
Figura 1. Processo de aprovação de falso positivo anterior à v15 .0 O processo de aprovação será automático se todos os VIS forem aprovados na próxima verificação. O VIS fecha automaticamente, independentemente do estado atual. O VIS ou, quando aplicável, o RT Estado os campos mudam para Encerrado com o subestado Corrigido.
Para obter mais informações, consulte Marcar e aprovar um falso positivo.