Zeigen Sie Vulnerability Response Daten zur Erkennung angreifbarer Elemente an

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Die vollständigen Daten, die von Ihren Drittanbieter-Scanner-Integrationen mit Vulnerability Response erfasst wurden, werden auf den Registerkarten Erkennungen und Anfängliche Erkennungen in den Datensätzen für angreifbare Elemente (VIT) angezeigt. Sie wird auch in Erkennungsdatensätzen in der Liste „Erkennung angreifbarer Elemente“ in Ihrer Instanz Now Platform® angezeigt.

    Vorbereitungen

    Drittanbieter-Integrationen rufen Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, die von den Scannern gemeldet werden. Erkennungsdaten werden mit angreifbaren Elementen kombiniert, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn keine VI gefunden wird, wird eine neue erstellt. Erkennungen werden nur durch Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden wurden.

    Erforderliche Rolle:

    sn_vuln.admin initiiert Integrationsausführungen und zeigt Erkennungsdaten für angreifbare Elemente an

    sn_vul.remediation_owner werden angreifbaren Elementen zugewiesen, die aus Erkennungen angreifbarer Elemente erstellt werden, und zeigt Daten in VI-Datensätzen an

    Prozedur

    1. Um die Erkennungsdaten für angreifbare Elemente anzuzeigen, navigieren Sie zu einem Datensatz für angreifbare Elemente, und öffnen Sie ihn.
      Der Datensatz wird mit den Registerkarten Anfängliche Erkennungen und Erkennungen angezeigt.
      Hinweis:
      Daten, die zuvor auf der Registerkarte Konfigurationsdetails angezeigt wurden, werden zusammen mit anderen Erkennungsdaten auf den Registerkarten Anfängliche Erkennung und Erkennungen angezeigt.
      Hervorgehobene Registerkarten Anfängliche Erkennung und Erkennungen im VI-Datensatz.
    2. Klicken Sie auf die Registerkarte Erkennungen.

      Wenn ein angreifbares Element aus den Ergebnissen eines Drittanbieter-Scans erstellt wird, werden die Daten aus dem Scan im Erkennungsdatensatz angezeigt (siehe folgende Abbildung).

      Registerkarte „Erkennungen“
      Jede Zeile im Abschnitt „Erkennungen angreifbarer Elemente“ stellt Daten aus einer bestimmten Erkennung dar. In der Spalte Zuerst gefunden wird das Datum angezeigt, an dem das angreifbare Element zuerst vom Scanner erkannt wurde. In der Spalte Zuletzt gefunden wird das Datum der aktuellen Erkennung angezeigt. Im Feld Quelle wird der Scanner angezeigt, der die Daten abgerufen hat.
      Hinweis:
      Für Qualyssind mit Erkennung angreifbarer Elemente die folgenden Felder im VI-Datensatz veraltet und werden nicht mehr ausgefüllt:
      • Qualys Schweregrad
      • Zuletzt aktualisiert von Quelle

      Auch für Qualyswird, wie in der vorherigen Abbildung gezeigt, der Wert aus dem Scan nach Ergebnissen in der Spalte Nachweis im Erkennungsdatensatz angezeigt, wenn ein VI aus einem Scan erstellt wird. Dieser Wert wird jedoch nicht im oberen Teil des VI-Datensatzes angezeigt.

      Wenn für Rapid7 ein VI aus einem Scan erstellt wird, kann der Wert für „Nachweis aus dem Scan“ sowohl in der Spalte „Nachweis“ im Erkennungsdatensatz als auch im oberen Teil des VI-Datensatzes angezeigt werden, aber nicht standardmäßig. Um diesen Wert im oberen Teil des VI-Datensatzes anzuzeigen, wählen Sie im Formularlayout das Feld Nachweis aus.

    3. Wahlweise: Führen Sie die folgenden Schritte aus, um das Layout der Registerkarte „Erkennungen“ im Datensatz zu konfigurieren.
      1. Die folgenden Spalten werden standardmäßig auf der Registerkarte „Erkennungen“ angezeigt.
        • Status
        • Zuerst gefunden (Daten)
        • Zuletzt gefunden (Datum)
        • DNS-Name
        • NET-BIOS-Name
        • IP-Adresse
        • Anzahl Ermittlungen
        • Port
        • Protokoll
        • Nachweis
        • SSL
        Hinweis:

        Hinweis: Wenn in einer Spalte kein Wert vorhanden ist, wurden die Daten für dieses Feld vom Scanner nicht erkannt.

      2. Klicken Sie auf das Zahnradsymbol ( Zahnradsymbol), um Ihre Ansicht zu personalisieren.
      3. Wählen Sie die Spalten aus dem Slushbucket aus, um bestimmte Daten anzuzeigen, und klicken Sie auf OK.
    4. Klicken Sie bei ausgewählter Registerkarte Erkennungen in der Spalte Status auf ein Element, um den Erkennungsdatensatz zu öffnen und die Details anzuzeigen, die diesem angreifbaren Element zugeordnet sind, einschließlich einer Lösungszusammenfassung (nur Rapid7 InsightVM-Integration).
      Abbildung : 1. Qualys -Erkennungsdatensatz
      Erkennungsdatensatz
      Abbildung : 2. Rapid7-Erkennungsdatensatz
      Rapid7-Erkennungsdatensatz mit Lösung
    5. Kehren Sie zum Datensatz zurück, und wählen Sie die Registerkarte Anfängliche Erkennung aus.

      Auf der Registerkarte Anfängliche Erkennungen werden die Daten angezeigt, die beim ersten Vorkommen der Erkennung vom Scanner einer Drittpartei importiert wurden. Diese Informationen auf der Registerkarte „Anfängliche Erkennung“ ändern sich nicht, wenn Erkennungsdaten aktualisiert werden.

      Registerkarte „Erste Erkennungen“
    6. Wahlweise: Navigieren Sie zu Angreifbares Element Erkennungen, um die Liste der Erkennungen angreifbarer Elemente anzuzeigen.

      Die Liste „Erkennung angreifbarer Elemente“ wird angezeigt. Jede Zeile in der Liste „Erkennungen angreifbarer Elemente“ stellt eine eindeutige Erkennung dar. Die Spalten zeigen dieselben Daten wie der VI-Datensatz an.

      Erkennungsliste

      Erkennungen werden nur durch Daten geöffnet oder geschlossen, die von einem Scanner gefunden werden. Sie führen kein Rolldown von VIs durch. Beim Importieren von Erkennungen werden diese zum Erstellen von VIs und zum Aktualisieren der Status von VIs verwendet. Wenn alle Erkennungen für ein angreifbares Element geschlossen sind, wird dieses angreifbare Element geschlossen. Im VI-Datensatz lautet der Status „ geschlossen“ und der Substatus ist „ fixiert“.

      Hinweis:
      Fehler werden protokolliert, während:
      • Vom Scanner abgerufene Anhänge werden verarbeitet.
      • Erkennungen oder angreifbare Elemente erstellen oder aktualisieren
      Weitere Informationen zur Behandlung von Erkennungsfehlern finden Sie unter Fehlerbehandlung für Erkennungen.

      Wenn alle AEs für eine Korrekturaufgabe geschlossen sind, wird die Korrekturaufgabe geschlossen.

      Geschlossene AEs mit dem Substatus „Korrigiert“ oder „Veraltet“ werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die AEs mit der neuen Schwachstelle abgeglichen werden können.

      Angreifbare Elemente, die in Ihrer Instanz auf Gelöst gesetzt wurden, aber nicht durch die nachfolgenden Integrationsläufe auf Geschlossen/ Behoben gesetzt wurden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

      Wenn alle AEs für eine Korrekturaufgabe geschlossen sind, wird der Datensatz geschlossen.

      Angreifbare Elemente, die in Ihrer Instanz auf „Gelöst“ festgelegt, aber durch die nachfolgenden Integrationsausführungen nicht in „Geschlossen/Korrigiert“ geändert wurden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

      Für Erkennungen von Rapid7 ist jetzt auf der Rapid7-Konfigurationsseite in Ihrer Instanz eine Option verfügbar, um aufgelöste AEs nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden AEs, die auf „Gelöst “ gesetzt sind, aber dann nicht durch nachfolgende Scans in „ Geschlossen/Korrigiert “ geändert wurden, nach der von Ihnen eingegebenen Anzahl von Tagen wieder in „ Offen “ zurückgesetzt.

      Wenn der Scanner bei Erkennungen von Qualys weiterhin AEs findet, die auf „Gelöst“ festgelegt wurden, dann aber durch nachfolgende Scans nicht in „ Geschlossen“/ „Korrigiert“ geändert wurden, werden diese AEs zurück in den Status „ Offen “ verschoben, wenn das Datum des letzten Funds nach dem Datum „Gelöst“ liegt.

    Nächste Maßnahme

    Um weitere Daten anzuzeigen, einschließlich Element- und Erkennungsanzahlen, können Sie Überprüfen Sie Vulnerability Response Daten zur Erkennung angreifbarer Elemente in Datensätzen der Integrationsausführung (VINTRUN)..