Veraltete Erkennungen in automatisch schließen Vulnerability Response

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Aktivieren Sie Veraltete Erkennungen automatisch schließen, um veraltete angreifbare Erkennungen, die nicht kürzlich von Ihren Drittanbieterintegrationen gefunden wurden, automatisch zu schließen.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.vulnerability_admin oder sn_vuln.admin (veraltet) oder ein Schwachstellenmanager mit der granularen Rolle sn_vul.manage_auto_close_stale_vi.

    Weitere Informationen zu dieser Funktion, zu wichtigen Begriffen und zu allen Setups, die für Ihre Drittanbieterintegrationen zum Importieren von Erkennungsdaten erforderlich sind, finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response.

    Hinweis:
    Die im folgenden Verfahren enthaltenen Informationen gelten nur für Versionen vor v22.0 von Vulnerability Response. Ab v22.0 von Vulnerability Responsekönnen Sie zusätzliche Suchoptionen konfigurieren. Weitere Informationen finden Sie unterErstellen Sie Regeln für das automatische Schließen.

    Prozedur

    1. Navigieren zu Vulnerability Response > Administration > Konfiguration für automatisches Schließen > Veraltete Erkennungenan.
      Das Formular „Veraltete Konfiguration automatisch schließen“ wird angezeigt.
    2. Füllen Sie die Felder aus.
    3. Wählen Sie für das Feld Veraltete Erkennungen automatisch schließen basierend auf eine Option für Ihre Suche aus.
      Beide Suchen gleichen das Alter älterer, veralteter Erkennungen in Tagen mit einem von Ihrem Scanner bereitgestellten Datum ab.
      Hinweis:
      Ab v22.0 von Vulnerability Responsewerden die Optionen Zuletzt gefundene Erkennungen und Zuletzt gescannte Assets als Liste erstellt.
      • Zuletzt gefundene Erkennungen. Mit dieser Option wird nach dem aktuellen oder spätesten Datum gesucht, an dem Erkennungen vom Scanner erneut gefunden wurden.
        Hinweis:
        Für Rapid7 - und Microsoft TVM-Benutzer wird eine Warnmeldung angezeigt, dass aktuelle Erkennungsinformationen erforderlich sind.

        Wenn Sie Zuletzt gefundene Erkennungen als Grundlage für Ihre Suche auswählen, erfordert diese Funktion eine erfolgreiche Integrationsausführung einer der Rapid7 Comprehensive Vulnerable Item Integrations innerhalb der letzten sieben Tage.

        Wenn Sie Zuletzt gefundene Erkennungen als Grundlage für Ihre Suche auswählen, erfordert diese Funktion eine erfolgreiche Integrationsausführung der Microsoft TVM Machine Vulnerabilities-Integration (vollständiger Import) innerhalb der letzten sieben Tage.

      • Zuletzt gescannte Assets. Mit dieser Option wird das aktuellste Datum gesucht, an dem ein Asset zuletzt von einem Drittanbieter-Scanner gescannt wurde.
    4. Stellen Sie nur für die TVM-Benutzer Rapid7 und Microsoft sicher, dass alle erforderlichen Integrationen aktiviert sind.
      Weitere Informationen finden Sie unter Rapid7 Vulnerability-Integration verstehen und Informationen zur Schwachstellenintegration von Microsoft Threat and Vulnerability Management.
    5. Um das Modul zu aktivieren, klicken Sie auf das Kontrollkästchen Aktiv, um es auszuwählen.
    6. Geben Sie im Feld Zuletzt gefundene Erkennungen (vor Tagen) das Alter älterer, veralteter Erkennungen in Tagen ein.

      Der Standardwert ist 90 Tage. Sie können einen beliebigen positiven Wert für die Anzahl der Tage eingeben. Dieser Wert wird verwendet, um ein von Ihrem Scanner bereitgestelltes Datum abzugleichen. Wenn 90 und Zuletzt gefundene Erkennungen angezeigt werden, werden alle Erkennungen, die in den letzten 90 Tagen nicht gefunden wurden, automatisch geschlossen. Wenn 90 und Zuletzt gescannte Assets angezeigt werden, werden Erkennungen, die Assets zugeordnet sind, die in den letzten 90 Tagen nicht gescannt wurden, automatisch geschlossen.

      Hinweis:

      Es besteht eine Beziehung zwischen dem Feld „Zuletzt gefundene Erkennungen/Zuletzt (vor Tagen) gescannte Assets“ für diese Funktion und dem Feld „ Importieren seit “ in der Integration von Rapid7 Comprehensive Vulnerable Item Integration – API und Microsoft TVM Machine Vulnerabilities-Integration.

      Für diese Integrationen ist das Feld Importieren seit auf den Konfigurationsseiten standardmäßig leer.

      Wenn Sie keinen Wert eingeben oder das Feld keinen Wert enthält, werden die Daten für die Anzahl der Tage verwendet, die im Feld Zuletzt gefundene Erkennungen/Zuletzt gescannte Assets (vor Tagen) konfiguriert sind.

      Wenn beispielsweise die Anzahl der im Konfigurationsformular für das automatische Schließen definierten Tage 90beträgt und das Feld Importieren seit auf den Konfigurationsseiten der Integration leer ist, werden bei der ersten Integrationsausführung die Daten der letzten 90 Tage importiert. Die Felder „ Importieren seit “ für Rapid7 Integration von Comprehensive Vulnerable Item Integration – API und die Integration von Microsoft TVM Machine Vulnerabilities können bearbeitet werden, sodass Sie auch beliebige Werte angeben können. Der 90-Tage-Wert wird als Standard angegeben, wenn das Feld leer bleibt, damit die Funktion zum automatischen Schließen der Falschmeldungen nicht schließt.

      Diese Beziehung zwischen diesen Feldern gilt nur für die erste Integrationsausführung. Danach hat eine Änderung des Felds Zuletzt gefundene Erkennungen/Zuletzt gescannte Assets (vor Tagen) im Formular „Veraltete angreifbare Erkennungen automatisch schließen“ keine Auswirkung auf das Feld Importieren seit auf den Konfigurationsseiten der Integration. Das Feld wird in die Startzeit der ersten Ausführung geändert, sodass die nachfolgenden Integrationsausführungen nur die Delta-Informationen importieren.

    7. Wahlweise: Aktivieren Sie das Kontrollkästchen Veraltete Erkennungen für zurückgestellte VIs ignorieren, um veraltete Erkennungen zu ignorieren, die zurückgestellten VIs oder VIs zugeordnet sind, die derzeit für eine Zurückstellung überprüft werden.

      Wenn Sie diese Option deaktiviert lassen, werden alle Erkennungen geschlossen, die Ihren Kriterien entsprechen und zurückgestellten VIs zugeordnet sind oder VIs zugeordnet sind, die zur Zurückstellung überprüft werden. Die zurückgestellten oder in Überprüfung befindlichen AEs, die diesen Erkennungen entsprechen, werden basierend auf der Rollup-Logik ebenfalls automatisch geschlossen. Weitere Informationen zur Rollup-Logik finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response.

      Wenn Sie diese Option aktivieren, werden alle Erkennungen, die Ihren Kriterien entsprechen und zurückgestellten VIs zugeordnet sind oder VIs, die zur Zurückstellung überprüft werden, während des automatischen Schließens übersprungen.

    8. Wahlweise: Deaktivieren Sie das Kontrollkästchen Veraltete Erkennungen für geschlossene VIs ignorieren.

      Standardmäßig ist dieses Kontrollkästchen aktiviert, damit das geschlossene AE nicht erneut geöffnet wird, wenn eine neue Erkennung im Zusammenhang mit diesem geschlossenen AE identifiziert wird. Weitere Informationen zur Rollup-Logik finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response.

    9. Klicken Sie auf Aktualisieren, um die Änderungen zu speichern.

      Die regelmäßige Auto-Close Stale Detections-Aufgabe wird täglich ausgeführt. Die Aufgabe bestimmt, ob Sie das Datum ausgewählt haben, an dem Erkennungen zuletzt gefunden wurden, oder das Datum, an dem Assets zuletzt gescannt wurden. Anschließend werden die entsprechenden Erkennungen in den Status Veraltet versetzt. Es ist wichtig zu beachten, dass die Funktion Veraltete Erkennungen automatisch schließen nur veraltete Erkennungen für aktive Integrationsinstanzen schließt. Angreifbare Elemente und Erkennungen, die aktiven Integrationsinstanzen zugeordnet sind, werden geschlossen. Ab v22.0 von Vulnerability Response wurde die geplante Aufgabe geändert, um die allgemeine Tabelle [sn_vul_cmn_auto_close_rule] zu berücksichtigen.

      Nachdem die Erkennungen als Veraltet markiert wurden und der Scanner meldet, dass diese Erkennung erneut gefunden wurde, wechselt das Feld Status der Erkennungen in Offen. Die entsprechenden angreifbaren Elemente der Erkennung werden ebenfalls erneut geöffnet.

      Wenn die Erkennung als Veraltet markiert ist und der Scanner feststellt, dass sie behoben ist, geht die Erkennung außerdem in den Status Geschlossen über. Der Status wird auch bis zu den VIs hochgerollt.