Vulnerability Response Übersicht über Korrekturaufgaben und Aufgabenregeln

  • Freigeben Version: Washingtondc
  • Aktualisiert 6. Februar 2024
  • 5 Minuten Lesedauer

    • Konfigurieren Sie Korrekturaufgaben (VULs), um Analysten und Korrekturspezialisten bei der Organisation von angreifbaren Elementen (VI) und der Massenanalyse zu unterstützen. Die Kriterien, nach denen Gruppen gebildet werden, sind so konfiguriert, dass Sie angreifbare Elemente nicht manuell Gruppen zuweisen müssen. Mithilfe von Korrekturaufgaben können Sie den Fortschritt überwachen und den Korrekturprozess effizienter gestalten.

    Nachverfolgung der Zurückstellungsanzahl für angreifbare Elemente und Korrekturaufgaben

    Verfolgen Sie nach, wie oft ein angreifbares Element, ein angreifbares Anwendungselement, ein angreifbares Containerelement oder eine Korrekturaufgabe zurückgestellt wurde. Eine regelmäßige Aufgabe, Anzahl der Zurückstellungen festlegen, wird täglich ausgeführt, um die Anzahl der Datensätze zu veröffentlichen, die mehr als einmal in der Spalte „Anzahl der Zurückstellungen“ zurückgestellt wurden. Datensätze werden in den Modulen für mehrere Zurückstellungen für VR, AVR und CVR angezeigt.

    Angreifbare Elemente werden automatisch aktualisiert

    Hinweis:
    Die Automatisierung der Aktualisierung angreifbarer Elemente gilt nur für Gruppen, die mit dem Bedingungsfilter oder der Filtergruppe erstellt wurden. Die Automatisierung gilt nicht für VIs, die manuell hinzugefügt oder mithilfe von Regeln für Korrekturaufgaben gruppiert wurden.

    Wenn das Kontrollkästchen Angreifbare Elemente automatisch aktualisieren aktiviert ist, werden der Aufgabe automatisch neue AEs hinzugefügt, die den Filterkriterien der Korrekturaufgabe entsprechen. Angreifbare Elemente in der Korrekturaufgabe, die den Filterkriterien nicht mehr entsprechen, werden automatisch aus der Aufgabe entfernt.

    Standardmäßig wird das Kontrollkästchen deaktiviert, wenn die Korrekturaufgabe den Status „ Offen “ verlässt. Wenn Sie möchten, dass angreifbare Elemente der Korrekturaufgabe unabhängig vom Status weiterhin hinzugefügt werden, deaktivieren Sie die Geschäftsregel Set auto refresh vulnerable items.

    Sie können das Kontrollkästchen im Status Wird untersucht erneut manuell aktivieren. Dieautomatische Aktualisierung angreifbarer Elemente ist nicht deaktiviert, wenn die Korrekturaufgabe in den Status „Warten auf Implementierung“ verschoben wird. Sobald sich die Aufgabe im Status „Warten auf Implementierung“ befindet, können der vorhandenen Aufgabe weder neue angreifbare Elemente hinzugefügt noch vorhandene angreifbare Elemente entfernt werden.
    Hinweis:
    Wenn eine Korrekturaufgabe manuell erstellt wird und AEs mithilfe des Bedingungsfiltersoder der Filtergruppe hinzugefügt werden, ist das Kontrollkästchen deaktiviert. Sie haben die Wahl, ob Sie das Kontrollkästchen aktivieren möchten.

    Angreifbare Elemente werden manuell aktualisiert

    Wenn Sie bei manuell erstellten Korrekturaufgaben mit einem Filter fürFiltergruppe oder Bedingung auf der Seite „Korrekturaufgabe“ auf den zugehörigen Link Zugehörige angreifbare Elemente aktualisieren klicken, werden alle angreifbaren Elemente hinzugefügt, die den Filterkriterien entsprechen. Elemente, die den Kriterien nicht mehr entsprechen, werden entfernt. Diese Aktion ermöglicht eine sofortige Aktualisierung der Liste der angreifbaren Elemente und wird unabhängig davon verwendet, ob das Kontrollkästchen Angreifbares Element automatisch aktualisieren aktiviert ist oder nicht.

    Manuell erstellte Korrekturaufgaben mit den Filtertypen Bedingung oder Filtergruppe werden einmal pro Stunde aktualisiert.

    Grundlegendes zu Regeln für Korrekturaufgaben

    Mit Regeln für Korrekturaufgaben können Sie definieren, wie angreifbare Elemente automatisch gruppiert und zugewiesen werden. Die Standardregel Vulnerability(Schwachstelle) ist im Basissystem enthalten und erfasst angreifbare Elemente basierend auf ihren Schwachstellen. Sie können jedoch nach anderen Wertesätzen in Spalten gruppieren, auf die vom AE aus zugegriffen werden kann. Diese Werte können die Supportgruppe für Konfigurationselemente (CI), den Schweregrad der Schwachstelle usw. umfassen.

    Sie können eine beliebige Anzahl von Bedingungen erstellen. Sobald Sie eine Gruppieren nach-Auswahl festgelegt haben, wird eine weitere Zeile angezeigt. Sie können bis zu sechs Gruppieren nach- Auswahlen haben. Sie können die Gruppenzuweisung auch automatisieren. Weitere Informationen finden Sie unter Erstellen oder bearbeiten Sie Vulnerability Response Regeln für Korrekturaufgaben und Filtern innerhalb Vulnerability Response.
    Hinweis:
    Um Rapid7 InsightVM Asset-Tags für die Verwendung im Bedingungsfilter für Korrekturaufgabenregeln verfügbar zu machen, müssen Sie die Asset-Listen-Integration [ Rapid7 InsightVM vor den anderen Rapid7 InsightVM -Integrationen ausführen.

    Beispielsweise können Sie angreifbare Elemente nach der Kostenstelle des angreifbaren CI oder nach dem Angriffsvektor der Schwachstelle gruppieren. Sie können eine Aufgabenregel für Schwachstellen mit geringem Schweregrad oder CIs mit geringem Risiko haben. Sie können eine weitere Aufgabenregel für kritische Server und Schwachstellen mit Exploits haben – angreifbare Elemente, die das Unternehmen einem höheren Risiko aussetzen.

    Für angreifbare Elemente, die das Unternehmen einem höheren Risiko aussetzen, kann ein anderer Satz von Regeln verwendet werden. Der Name der Korrekturaufgabe wird an die Korrekturaufgabenregel Gruppieren nach Werten angehängt, um die Kurzbeschreibung des neuen Datensatzes zu erstellen. Weitere Informationen zu verfügbaren Feldern finden Sie unter Vulnerability Response-Gruppen erstellen.

    Abbildung : 1. Bedingungsgenerator-Beispiel für „Gruppieren nach“-Einträge
    Bedingungsgenerator für Korrekturaufgabenregel mit den Gruppieren nach-Einträgen.

    Wenn ein neues angreifbares Element erstellt, importiert oder nach dem Schließen erneut geöffnet wird, werden die Schwachstellenregeln dafür ausgewertet. Ein VI wird nur einmal automatisch ausgewertet, es sei denn, er wird nach dem Schließen erneut geöffnet oder die Regeln werden manuell erneut angewendet.

    Der folgende Prozess wird für jeden neuen oder erneut geöffneten VI verwendet:

    • Für jede Regel für Korrekturaufgaben wird der AEs mit dem Regelfilter für Korrekturaufgaben verglichen.
    • Für jede Regel, bei der die Bedingung der Korrekturaufgabenregel erfüllt ist, ruft die Regel die Daten aus der Auswahl Gruppieren nach im VI ab. Es werden ein Gruppenname und ein Feld erstellt. In diesem Fall, Hohes Risiko: QID-32342:Zusammenfassung von QID-3242 (Name: Schwachstellen-ID: Zusammenfassung der Schwachstelle).
      Hinweis:
      Das Feld „Kurzbeschreibung“ ist auf 160 Zeichen beschränkt. Längere Schwachstellenzusammenfassungen werden gekürzt.
      Die Regel überprüft, ob eine offene Korrekturaufgabe vorhanden ist, die derselben Zuweisungsgruppe wie der VI zugewiesen ist.
      • Wenn die Aufgabe gefunden wird, wird der VI der vorhandenen Aufgabe im Status „ Offen “ hinzugefügt.
      • Wenn keine Aufgabe im Status „ Offen “ gefunden wird, erstellt die Regel eine Aufgabe mit hohem Risiko: QID-32342, weist sie derselben Zuweisungsgruppe wie den AE zu und platziert den AE in der Korrekturaufgabe.

    Es kann mehr als eine Regel für Korrekturaufgaben definiert werden, um verschiedene Arten von Schwachstellen zu gruppieren. Da jede Schwachstelle mit den Bedingungen der Korrekturaufgabenregel verglichen wird, bevor sie in eine Gruppe eingefügt wird, können zu viele Regeln Auswirkungen auf die Leistung haben.

    Standardmäßig verwenden Korrekturaufgabenregeln die Zuweisungsgruppe, die von den Zuweisungsregeln für das angreifbare Element festgelegt wird, wenn die Elemente gruppiert werden, und weisen die Korrekturaufgabe zu, um die angreifbaren Elemente abzugleichen.

    Als Teil der Standardaufgabenregel wird die Zuweisung dieser Korrekturaufgaben durch die Regeln im Modul „Zuweisungsregeln“ gesteuert. Weitere Informationen zu Zuweisungsregeln finden Sie unter Vulnerability Response Übersicht über Zuweisungsregeln.

    Wenn eine Aufgabenregel aus dem Formular oder der Listenansicht gelöscht wird, haben Sie die Möglichkeit, alle von dieser Regel erstellten offenen Aufgaben zu löschen. Nicht geöffnete Aufgaben werden ausgeschlossen.

    Regeln für Korrekturaufgaben werden erneut angewendet

    Wenn Sie eine Regel für Korrekturaufgaben ändern möchten, verwenden Sie die Schaltfläche Erneut anwenden auf der Seite für Korrekturaufgaben, um die geänderte Regel für alle aktiven offenen Korrekturaufgaben erneut auszuführen, die von dieser Regel erstellt wurden. Sie löscht und erstellt Korrekturaufgaben basierend auf der geänderten Regel automatisch neu.