Ausnahmeverwaltung in Container Vulnerability Response

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

3 Minuten Lesedauer

Wenn Ihre Organisation eine veröffentlichte Schwachstellenmanagement- oder Sicherheitsrichtlinie, einen Standard oder eine Leitlinie nicht einhalten kann, können Sie eine Ausnahme anfordern. Die Ausnahmeverwaltung umfasst das Anfordern, Überprüfen, Genehmigen oder Ablehnen von Ausnahmen für ein angreifbares Containerelement (CVIT), das gemäß der Richtlinie nicht behoben werden kann.

Für einige Container-Schwachstellen (CVIT) ist möglicherweise kein Patch, keine Korrektur oder keine Lösung vorhanden. Wenn eine Ausnahme genehmigt wird, bedeutet dies auch, dass Sie ein Risiko akzeptieren, da Sie die Konsequenzen der Nichtbehebung der Schwachstelle anerkennen und akzeptieren.

Lebenszyklus einer Ausnahme

Definition einer Ausnahme: Eine Ausnahme ist eine Anforderung, die Korrektur einer CVIT oder RT für einen bestimmten Zeitraum zurückzustellen. Beispielsweise können Sie als Korrekturbesitzer eine Ausnahme anfordern, wenn ein Patch für einen Computer nicht verfügbar ist.
Eine Ausnahme wird angefordert: Als Korrekturbesitzer können Sie mithilfe des Ausnahmeverwaltungsprozesses eine Befreiung für eine CVIT oder RT beantragen. Nachdem der Ausnahmegenehmiger diese Anforderung genehmigt hat, wird die CVIT oder RT in den Status „Zurückgestellt“ versetzt.
Eine Ausnahmeanforderung wird genehmigt: CVIT oder RTs, die nicht sofort korrigiert werden können, werden von Schwachstellenanalysten überprüft, auf Risiko bewertet und zur Zurückstellung genehmigt, bis sie korrigiert werden können. Die Genehmigung einer Ausnahmeanforderung kann ein zweistufiger Workflow sein. Wenn nur der Genehmiger der ersten Ebene anwesend ist, kann die Ausnahme angefordert und genehmigt werden. Wenn jedoch kein Genehmiger der ersten Ebene vorhanden ist, kann keine Ausnahme angefordert werden. Weitere Informationen finden Sie unter Fügen Sie einen Ausnahmegenehmiger hinzu.

Hinweis:

Wenn Sie ab Vulnerability Response v15.0 die VR-Anwendung zum ersten Mal bereitstellen, ist der Flow Designer für die Ausnahmeverwaltung standardmäßig aktiviert. Wenn Sie den Workflow bereits verwenden, können Sie auf den Flow Designer aktualisieren. In beiden Fällen können Sie sie nicht wieder in Workflow ändern. Informationen zum Konfigurieren von Genehmigungsregeln für die Ausnahmenverwaltung und Falschmeldungen finden Sie unter Konfigurieren Sie Genehmigungsregeln für Exception Management.

Sobald eine Ausnahmeanforderung für eine CVIT oder RT genehmigt wurde, können Sie die folgenden Aktionen ausführen:

Erneut öffnen
Löschen
Aktualisieren Sie die Felder Zuweisung an oder Zuweisungsgruppen

Nachverfolgung einer Ausnahmeanforderung: Nach dem Auslösen der Ausnahme können Sie ihren Status mithilfe der Registerkarte Statusänderungsgenehmigungen von CVIT oder RT nachverfolgen. Wenn eine Aktion für eine RT ausgeführt wird, können Sie den Status der einzelnen CVITs in dieser RT nicht nachverfolgen.
Ablauf einer Ausnahmeanforderung: Wenn eine Ausnahmeanforderung für eine bestimmte CVIT oder RT abläuft, wird die betroffene CVIT oder RT in den Status „ Offen “ zurückgesetzt.

Wenn eine einzelne CVIT oder alle CVITs in einer RT beim nächsten Scan erfolgreich sind, ändern sich die CVITs und ggf. das Feld „RT-Status“ in Geschlossen mit dem Substatus Fest.

Konfigurieren Sie Genehmigungsregeln

Zeigen Sie Genehmigungsregeln an, und konfigurieren Sie sie, indem Sie zu navigieren Alle > Container Vulnerability Response > Administration > Genehmigungsregeln. Fordern Sie eine Ausnahme für die CVITs an, die nicht sofort behoben oder zurückgestellt werden können, indem Sie die betroffenen Schwachstellen, Konfigurationselemente (CIs) oder CVITs identifizieren. Automatisieren Sie den CVIT-Zurückstellungsprozess. Übereinstimmende CVITs basierend auf diesen Regeln zurückstellen, wenn das System diese CVITs identifiziert.

Die folgenden Genehmigungsregeln werden standardmäßig geliefert:

Genehmigung für Ausnahmeanforderungen: Im Basissystem wird eine Standardkonfiguration mit zwei Genehmigungsebenen bereitgestellt. Immer wenn eine Ausnahmeanforderung für ein angreifbares Element vorliegt, wird die Genehmigungsanforderung an die Benutzer oder Gruppen in Ebene 1 gesendet. Nach der Genehmigung durch Genehmiger der Ebene 1 wird die Genehmigungsanforderung an die Genehmiger der Ebene 2 gesendet.
Hinweis:
Sie können die Standardebenen ändern und nach Bedarf bearbeiten. Ab Container Vulnerability Response v2.0.6 können Sie die im Basissystem bereitgestellten Systemeigenschaften für Ausnahmegenehmigungen über den Workflow in der Tabelle „Systemeigenschaften“ [sys_properties] verwenden. Wenn also eine Ausnahme- oder falsch positive Anforderung über den Workflow ausgelöst wird, wird sie zur Genehmigung an die in der Systemeigenschaft definierten Gruppen-IDs gesendet. Navigieren zu Alle > Systemeigenschaften und wählen Sie sn_vul_container.container_exception_approver_L1, sn_vul_container.container_exception_approver_L2oder sn_vul_container.container_false_positive_approver_group, um den Eigenschaftswert zu ändern.
Genehmigung für Ausnahmeregeln: Hat keine Konfiguration, aber zwei Genehmigungsebenen.
Genehmigung für falsch positive Ergebnisse: Es gibt eine Konfiguration mit einer Genehmigungsebene.

Hinweis:

Ab v2.5 von Container Vulnerability Responsekönnen Sie die Zeitrahmen für die Genehmigung von Falschmeldungen und Ausnahmen sowie E-Mail-Benachrichtigungen für den Genehmiger und die anfordernde Person nach einer bestimmten Anzahl von Tagen konfigurieren. Wenn eine Anforderung ausgelöst wird, ändert sich das angreifbare Containerelement in den Status Wird überprüft, und ein Status-Change-Datensatz wird erstellt. Wenn der Genehmiger nicht innerhalb des konfigurierten Zeitrahmens antwortet, wird das angreifbare Containerelement oder die Korrekturaufgabe in den Status „Offen“ zurückgesetzt. Der vorherige Status wird im Feld „backup_state“ gespeichert. Weitere Informationen finden Sie unter Konfigurieren Sie Genehmigungsregeln für Exception Management.