Fechando detecções obsoletas em Resposta a vulnerabilidades
O módulo Encerrar detecções obsoletas ajuda você a limpar automaticamente detecções vulneráveis mais antigas e obsoletas que não foram encontradas recentemente por suas integrações de terceiros. Mover essas detecções para Encerradas reduz o número de itens vulneráveis ativos e tarefas de correção no Now PlatformE ajuda a reconciliar ativos no CMDB.
Visão geral e termos-chave
Para acumular dados de detecção com mais precisão para seus itens vulneráveis, o módulo Fechar detecções obsoletas ajuda a limpar detecções de itens vulneráveis mais antigas e obsoletas que não foram encontradas recentemente por suas integrações de terceiros. Para obter mais informações sobre este recurso, consulte o caso de uso abaixo e o. Detecções obsoletas de fechamento automático [KB 0958638] artigo.
Em versões anteriores de Resposta a vulnerabilidades, O módulo Fechar itens vulneráveis automaticamente fez a transição automática de itens vulneráveis que não foram recentemente encontrados ou atualizados pelas integrações de scanner de terceiros para Encerrado - obsoleto.
Antes de habilitar o recurso Encerrar detecções obsoletas automaticamente, revise os termos a seguir, como os estados são acumulados em itens vulneráveis e tarefas de correção e os pré-requisitos para suas integrações de terceiros que importam dados de detecção.
Para habilitar o recurso, consulte Encerre automaticamente detecções obsoletas em Resposta a vulnerabilidades.
Termos principais
- Detecções obsoletas
- Refere-se a detecções associadas a itens vulneráveis em seu Now Platform®instâncias que estão envelhecidas e não foram encontradas, atualizadas ou detectadas por verificações de integração de terceiros por um período significativo.
- Últimas detecções encontradas
- Esta opção de pesquisa usa uma data e hora fornecidas pelo scanner de terceiros. Este termo se refere à data e hora mais atuais ou mais recentes em que as detecções foram encontradas novamente pelo scanner.
- Ativos verificados pela última vez
- Esta opção de pesquisa usa uma data e hora fornecidas pelo scanner de terceiros. Este termo se refere à data e hora mais atuais em que um ativo foi verificado pela última vez por um scanner de terceiros.
Caso de uso
Às vezes, os ativos (itens de configuração) podem ser desativados em seu ambiente ou limpos por verificadores de terceiros, e suas detecções associadas não são atualizadas por detecções de itens vulneráveis. Como resultado, as detecções e seus itens vulneráveis relacionados não são atualizados no Resposta a vulnerabilidadese eles se tornam inativos (obsoletos).
Para encerrar essas detecções antigas que têm dados de item vulnerável inalterados e reduzir o número de IVs ativos e tarefas de correção (RTS), habilite Encerrar detecções obsoletas automaticamente. Este recurso fecha automaticamente detecções de item vulnerável que não foram recentemente encontradas ou atualizadas pelas integrações de scanner de terceiros com base nos critérios de pesquisa e em uma idade em número de dias que você definiu.
Por exemplo, suponha que um item de configuração (IC) específico tenha vários IDs de ativo e um desses IDs não tenha sido importado em uma detecção de um scanner de terceiros nos últimos 90 dias. Este recurso fecha automaticamente esta detecção que não tem novos dados de vulnerabilidade para que o IV associado possa ser encerrado.
Como uma IV pode ter mais de uma detecção associada a ela, esse recurso só faz a transição das detecções determinadas como obsoletas pelos parâmetros definidos. Por exemplo, se uma IV tiver quatro detecções associadas a ela e duas detecções estiverem obsoletas, ou seja, nenhum novo dado de vulnerabilidade tiver sido importado nos últimos 90 dias, esse recurso fechará somente as detecções obsoletas. Antes que a VI possa ser fechada, você deve primeiro corrigir as outras duas detecções em aberto.
Acúmulo de estados de detecção para IVs
Para diferenciar as detecções encerradas automaticamente das detecções encerradas por scanners de terceiros, um novo valor para o campo Status, obsoleto, foi adicionado. Os valores possíveis para este campo são Aberto, Encerrado e obsoleto. Obsoleto indica que uma detecção foi encerrada pelo recurso de detecção de fechamento automático.
Precedência de estado: Aberto > Encerrado > obsoleto.
- Se houver detecções abertas, o estado de VI associado permanecerá aberto.
- Se nenhuma detecção estiver aberta, algumas estiverem encerradas e outras obsoletas, o estado de VI associado mudará para Encerrado - Corrigido.
- Se todas as detecções estiverem obsoletas, o estado de VI associado mudará para Encerrado - obsoleto.
Começando com Resposta a vulnerabilidades20,0, Se a detecção estiver obsoleta e seu VI associado estiver no estado fechado, o estado do VI não fará a transição para Encerrado - obsoleto. Isso serve para evitar que o IV seja reaberto quando uma nova detecção for identificada, para que você possa evitar passar por todo o processo de solicitação e aprovação de falso positivo. Para reverter esse comportamento, desmarque Ignorar detecções obsoletas para IVs encerrados Caixa de seleção no formulário de Configuração de fechamento automático. Para obter mais informações, consulte Encerre automaticamente detecções obsoletas em Resposta a vulnerabilidades.
Acúmulo de estados de VI para tarefas de correção (VUL)
Precedência de estado: Aberto > Encerrado - Fixo > Encerrado - obsoleto.
- Se algum IVs em um VUL (tarefa de correção) estiver aberto, o estado DO VUL não será alterado.
- Se pelo menos um VI estiver encerrado - fixo e o restante estiver encerrado - obsoleto, o estado DO VUL mudará para encerrado - fixo.
- Se todos os IVs em um VUL estiverem encerrados - obsoletos, o estado do VUL mudará para Encerrado - Cancelado.
Requisitos de integração de terceiros e detecções de fechamento automático
Usuários do Microsoft TVM e fechamento automático de detecções obsoletas
| Item de check-list | Descrição |
|---|---|
| A Integração de vulnerabilidades do Microsoft TVM | Com a Integração de vulnerabilidades do Microsoft TVM, se você selecionar Últimas detecções encontradas Para basear sua pesquisa, este recurso requer uma execução bem-sucedida da Integração de vulnerabilidades de máquina do Microsoft TVM (importação completa) nos últimos sete dias. Esta integração é executada semanalmente. Se as detecções obsoletas de fechamento automático estiverem habilitadas e configuradas para Últimas detecções encontradas E a Integração de vulnerabilidades da máquina do Microsoft TVM estiver desabilitada ou uma importação de dados não for concluída com sucesso nos últimos sete dias, o trabalho agendado para encerrar detecções ainda será executado diariamente, mas algumas detecções obsoletas podem não ser encerradas conforme esperado. Se você selecionar Ativos verificados pela última vez Para basear sua pesquisa, a execução de Integração de vulnerabilidades de máquina do Microsoft TVM não é necessária. Para ativar esta integração:
|
| (Opcional) Implemente várias instâncias das integrações do Microsoft TVM em seu ambiente. | Opcionalmente, você pode implantar várias instâncias das integrações em seu ambiente. O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em todo o seu ambiente. As detecções obsoletas são transferidas automaticamente para obsoletas em instâncias que concluíram execuções de integração com sucesso. Se o fechamento automático de detecções obsoletas estiver habilitado e você desabilitar as integrações executadas semanalmente em uma instância, o trabalho agendado para encerrar detecções ainda será executado diariamente, mas algumas detecções podem não passar para obsoletas automaticamente, conforme esperado. |
Qualys Itens vulneráveis obsoletos e Encerrar automaticamente
- Qualquer ativado Qualysas integrações de terceiros que recuperam dados de detecção podem ser executadas com este módulo. Não há específico Qualysaplicações necessárias.
- Opcionalmente, você pode implantar várias instâncias do Qualysintegrações em todo o seu ambiente.
- O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em todo o seu ambiente. Detecções obsoletas são transferidas automaticamente para obsoletas em todas as instâncias.
Rapid7 Detecções obsoletas de usuários e Fechamento automático
| Item de check-list | Descrição |
|---|---|
| . Rapid7Integração de vulnerabilidades | Se você selecionar Últimas detecções encontradas para basear sua pesquisa, este recurso requer uma execução bem-sucedida de um dos Rapid7Integrações abrangentes de item vulnerável nos últimos sete dias. Essas integrações abrangentes são executadas semanalmente:
Se Fechar detecções obsoletas automaticamente estiver habilitado e configurado para Últimas detecções encontradas e o. Rapid7As integrações abrangentes de item vulnerável estão desabilitadas ou uma importação de dados não foi concluída com sucesso nos últimos sete dias, o trabalho agendado para encerrar detecções ainda é executado diariamente, mas algumas detecções obsoletas podem não ser encerradas como esperado. Se você selecionar Ativos verificados pela última vez para basear sua pesquisa, não abrangente Rapid7a execução de integração é necessária. Para ativar estas integrações:
Nota: Além dessas integrações que são executadas semanalmente, Rapid7 Nexposee. Rapid7 InsightVMCada um tem integrações de VI que são executadas diariamente, a Integração de item vulnerável do Rapid7 e a Integração de item vulnerável do Rapid7 - API. Se diariamente e semanalmente Rapid7as integrações estão habilitadas, somente uma integração é executada por vez. Se um desses trabalhos de integração estiver em execução, o trabalho da outra integração será ignorado até o próximo trabalho agendado. |
| (Opcional) Implemente várias instâncias do Rapid7integrações em seu ambiente. | Opcionalmente, você pode implantar várias instâncias das integrações abrangentes em seu ambiente. O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em todo o seu ambiente. As detecções obsoletas são transferidas automaticamente para obsoletas em instâncias que concluíram execuções de integração com sucesso. Se Fechar detecções obsoletas automaticamente estiver habilitado e você desabilitar as integrações executadas semanalmente em uma instância, o trabalho agendado para encerrar detecções ainda será executado diariamente, mas algumas detecções podem não passar para obsoletas automaticamente, conforme esperado. |
Integração de vulnerabilidades da Tenable e fechamento automático de itens vulneráveis obsoletos
- Todas as integrações ativadas da Integração de vulnerabilidades do Tenable que recuperam dados de detecção podem ser executadas com este módulo. Não há integrações de vulnerabilidade específicas do Tenable necessárias.
- Opcionalmente, você pode implantar várias instâncias da Integração de vulnerabilidades do Tenable em seu ambiente.
- O fechamento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em todo o seu ambiente. Detecções obsoletas são transferidas automaticamente para Obsoleto em todas as instâncias.
Depois de verificar se suas integrações estão configuradas corretamente, consulte Encerre automaticamente detecções obsoletas em Resposta a vulnerabilidadespara habilitar o recurso.
Atualize as informações de Fechar automaticamente itens vulneráveis obsoletos para Fechar automaticamente detecções obsoletas
- O valor do número de dias que você inseriu para Ativos verificados pela última vez A opção de Fechar automaticamente itens vulneráveis obsoletos é preservada automaticamente para Ativos verificados pela última vez Em Encerrar detecções obsoletas automaticamente.
- O valor do número de dias que você inseriu para Itens vulneráveis encontrados pela última vez A opção de Fechar automaticamente itens vulneráveis obsoletos é preservada automaticamente para Últimas detecções encontradas Em Encerrar detecções obsoletas automaticamente.
- Detecções em aberto existentes com itens vulneráveis como encerrados - obsoletos serão transferidas para obsoletos de acordo com as definições de configuração de fechamento automático quando Auto-Close Stale Detectionso trabalho agendado é executado após o upgrade.
Acúmulo de informações
- Se um item vulnerável foi encerrado - obsoleto antes do upgrade, e todas as detecções forem marcadas como obsoleto após o upgrade, o estado de VI permanecerá encerrado - obsoleto.
- Se um item vulnerável foi encerrado - obsoleto antes do upgrade, e somente algumas de suas detecções forem marcadas como obsoletas após o upgrade e o restante for encerrado pelo scanner, o item vulnerável passará para Encerrado - corrigido de acordo com a lógica de rollup.