Übersicht über Ausschlussregeln
Ausschlussregeln bieten eine Möglichkeit, Erkennungen zu filtern oder von der Umwandlung in angreifbare Elemente (VITs) während des Erfassungsprozesses in Vulnerability Responseauszuschließen.
Diese Regeln können für verschiedene Szenarien eingerichtet werden, z. B.:
- Schwachstellen mit niedrigem Schweregrad oder Risiko, die keine sofortige Korrektur erfordern, werden ausgeschlossen.
- Verbesserung des Nachbesserungsprozesses durch Priorisierung der kritischsten VITs für Maßnahmen.
- Reduzieren der Verarbeitungszeit während des Datenimports durch Ausschließen eines Prozentsatzes der Erkennungen von der VIT-Konvertierung.
Während des Prozesses der Datenerfassung gibt es unterschiedliche Ansätze für den Umgang mit neuen und vorhandenen Erkennungen.
- Für neue Erkennungen:
- Wenn eine neue Erkennung die Bedingungen einer Ausschlussregel nicht erfüllt, wird mit den VITs eine Erkennung erstellt.
- Wenn eine neue Erkennung die Bedingungen einer Ausschlussregel erfüllt, wird die Regel mit der Erkennung verknüpft, es wird jedoch keine VIT erstellt. Füllen Sie die entsprechende Ausschlussregelreferenz im Erkennungsdatensatz aus. Die Spalte „Ausschlussregel“ wird im Erkennungsdatensatz entsprechend mit der Referenz zur Ausschlussregel gefüllt.
- Für vorhandene Erkennungen:
- Wenn die Erkennung die Bedingungen einer Ausschlussregel nicht erfüllt, wird der normale Workflow fortgesetzt.
- Wenn eine vorhandene Erkennung mit den Bedingungen einer Ausschlussregel übereinstimmt, behält die dieser Erkennung zugeordnete VIT ihren aktuellen Status bei, die Regel wird jedoch der Erkennung zugeordnet. Der Status der VIT wird durch den Wert gesteuert, der in der Eigenschaft sn_vul.close_vit_with_excluded_detections definiert ist. Standardmäßig ist der Wert in dieser Eigenschaft auf False festgelegt. Wenn der Wert auf „Falsch“ festgelegt ist, werden die Erkennungen unter einer VIT ausgeschlossen, und der Status der VITs bleibt im aktuellen Status. Wenn der Wert jedoch auf true festgelegt ist, können die folgenden Szenarien eintreten:
- Wenn jede Erkennung unter einer VIT ausgeschlossen wird, wird der Status der VIT auf Geschlossen (excluded) aktualisiert.Hinweis:Ab v22.1.2 von Vulnerability Response wurde ein neuer Substatus namens „Ausgeschlossen“ hinzugefügt,
- Wenn eine Erkennung als Geschlossen markiert wird, während die verbleibenden ausgeschlossen werden, wird die VIT als Geschlossen – Fest festgelegt.
- Wenn für die VIT offene Erkennungen vorliegen, bleibt die VIT im Status Offen.
- Wenn jede Erkennung unter einer VIT ausgeschlossen wird, wird der Status der VIT auf Geschlossen (excluded) aktualisiert.