Zeigen Sie Vulnerability Response Erkennungsdaten für angreifbare Elemente an

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Die vollständigen Daten, die von Ihren Drittanbieter-Scanner-Integrationen mit Vulnerability Response gesammelt wurden, werden auf den Registerkarten Erkennungen und Erste Erkennungen in den Datensätzen zu angreifbaren Elementen (VIT) angezeigt. Es wird auch in Erkennungsdatensätzen in der Liste „Erkennung angreifbarer Elemente“ in Ihrer Instanz Now Platform® angezeigt.

    Vorbereitungen

    Drittanbieterintegrationen rufen Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, die von den Scannern gemeldet werden. Erkennungsdaten werden mit angreifbaren Elementen gekoppelt, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn kein VI gefunden wird, wird ein neues erstellt. Erkennungen werden nur durch Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden wurden.

    Erforderliche Rolle:
    • sn_vuln.admin initiiert Integrationsausführungen und zeigt Daten zur Erkennung angreifbarer Elemente an.
    • sn_vul.remediation_owner ist angreifbare Elemente zugewiesen, die aus Erkennungen angreifbarer Elemente erstellt wurden, und zeigt Daten in VI-Datensätzen an.

    Prozedur

    1. Um die Erkennungsdaten für angreifbare Elemente anzuzeigen, navigieren Sie zu einem Datensatz für ein angreifbares Element, und öffnen Sie ihn.
      Der Datensatz wird mit den Registerkarten Anfängliche Erkennungen und Erkennungen angezeigt.
      Hinweis:
      Daten, die zuvor auf der Registerkarte Konfigurationsdetails angezeigt wurden, werden zusammen mit anderen Erkennungsdaten auf den Registerkarten Anfängliche Erkennung und Erkennungen angezeigt.
      Die Registerkarten „Anfängliche Erkennung“ und „Erkennungen“ sind im VI-Datensatz hervorgehoben.
    2. Klicken Sie auf die Registerkarte Erkennungen.

      Wenn ein angreifbares Element anhand der Ergebnisse eines Drittanbieterscans erstellt wird, werden die Daten des Scans im Erkennungsdatensatz angezeigt (siehe folgende Abbildung).

      Registerkarte „Erkennungen“.
      Jede Zeile im Abschnitt „Erkennungen von angreifbaren Elementen“ stellt Daten aus einer eindeutigen Erkennung dar. In der Spalte Zuerst gefunden wird das Datum angezeigt, an dem das angreifbare Element zum ersten Mal vom Scanner erkannt wurde. In der Spalte Zuletzt gefunden wird das Datum der aktuellsten Erkennung angezeigt. Im Feld Quelle wird der Scanner angezeigt, der die Daten abgerufen hat.
      Hinweis:
      Für Qualyssind mit Erkennungen angreifbarer Elemente die folgenden Felder im VI-Datensatz veraltet und werden nicht mehr ausgefüllt:
      • Qualys Schweregrad
      • Zuletzt aktualisiert von Quelle

      Auch für Qualyswird wie in der vorherigen Abbildung gezeigt Folgendes gilt: Wenn ein VI aus einem Scan erstellt wird, wird der Wert aus dem Scan nach Ergebnissen in der Spalte Nachweis im Erkennungsdatensatz angezeigt. Dieser Wert wird jedoch nicht im oberen Teil des VI-Datensatzes angezeigt.

      Wenn für Rapid7 ein AE aus einem Scan erstellt wird, kann der Wert für „Nachweis aus dem Scan“ sowohl in der Nachweisspalte im Erkennungsdatensatz als auch im oberen Teil des AE-Datensatzes angezeigt werden, jedoch nicht standardmäßig. Um diesen Wert im oberen Teil des VI-Datensatzes anzuzeigen, wählen Sie das Feld Nachweis im Formularlayout aus.

    3. Wahlweise: Führen Sie die folgenden Schritte aus, um das Layout der Registerkarte Erkennungen im Datensatz zu konfigurieren.
      1. Die folgenden Spalten werden standardmäßig auf der Registerkarte Erkennungen angezeigt.
        • Status
        • Zuerst gefunden (Daten)
        • Zuletzt gefunden (Datum)
        • DNS-Name
        • Net-BIOS-Name
        • IP-Adresse
        • Anzahl Ermittlungen
        • Port
        • Protokoll
        • Nachweis
        • SSL
        Hinweis:

        Hinweis: Wenn in einer Spalte kein Wert vorhanden ist, wurden die Daten für dieses Feld vom Scanner nicht erkannt.

      2. Klicken Sie auf das Zahnradsymbol ( Zahnradsymbol), um Ihre Ansicht zu personalisieren.
      3. Wählen Sie die Spalten aus dem Slushbucket aus, um bestimmte Daten anzuzeigen, und klicken Sie auf OK.
    4. Klicken Sie bei ausgewählter Registerkarte Erkennungen in der Spalte Status auf ein Element, um den Erkennungsdatensatz zu öffnen und die Details anzuzeigen, die diesem angreifbaren Element zugeordnet sind, einschließlich einer Lösungszusammenfassung (nur Rapid7 InsightVM-Integration).
      Abbildung : 1. Qualys Erkennungsdatensatz
      Erkennungsdatensatz
      Abbildung : 2. Rapid7-Erkennungsdatensatz
      Rapid7-Erkennungsdatensatz mit Lösung
    5. Kehren Sie zum Datensatz zurück, und wählen Sie die Registerkarte Ursprüngliche Erkennung aus.

      Auf der Registerkarte Anfängliche Erkennungen werden die Daten angezeigt, die beim ersten Vorkommen der Erkennung vom Scanner des Drittanbieters importiert wurden. Diese Informationen auf der Registerkarte „Ersterkennung“ ändern sich nicht, wenn Erkennungsdaten aktualisiert werden.

      Registerkarte „Anfängliche Erkennungen“.
    6. Wahlweise: Navigieren Sie zu Angreifbares Element Erkennungen, um die Erkennungsliste für angreifbare Elemente anzuzeigen.

      Die Liste „Erkennung angreifbarer Elemente“ wird angezeigt. Jede Zeile in der Liste „Erkennungen angreifbarer Elemente“ steht für eine eindeutige Erkennung. Die Spalten zeigen dieselben Daten an wie der VI-Datensatz.

      Erkennungsliste

      Erkennungen werden nur durch Daten geöffnet oder geschlossen, die von einem Scanner gefunden wurden. Es findet kein Rolldown von VIs statt. Beim Import von Erkennungen werden VIs erstellt und die Status von VIs aktualisiert. Wenn alle Erkennungen für ein angreifbares Element geschlossen sind, wird dieses angreifbare Element geschlossen. Im VI-Datensatz ist der Status „ Geschlossen“ und der Substatus „ Fest“ .

      Hinweis:
      Fehler werden protokolliert während:
      • Vom Scanner abgerufene Anhänge werden verarbeitet.
      • Erkennungen oder angreifbare Elemente werden erstellt oder aktualisiert.
      Informationen zur Behandlung von Erkennungsfehlern finden Sie unter Fehlerbehandlung für Erkennungen.

      Wenn alle VIs für eine Korrekturaufgabe geschlossen sind, wird die Korrekturaufgabe geschlossen.

      Geschlossene VIs mit dem Substatus „Repariert“ oder „ Veraltet “ werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die VIs mit der neuen Schwachstelle abgeglichen werden können.

      Angreifbare Elemente, die in Ihrer Instanz auf „ Gelöst “ festgelegt sind, aber durch die nachfolgenden Integrationsausführungen nicht in den Status „ Geschlossen“/ „Behoben“ versetzt wurden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

      Wenn alle VIs für eine Korrekturaufgabe geschlossen sind, wird der Datensatz geschlossen.

      Angreifbare Elemente, die in Ihrer Instanz auf „Gelöst“ festgelegt sind, aber von den nachfolgenden Integrationsausführungen nicht in den Status „Geschlossen/Behoben“ versetzt werden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

      Für Rapid7 -Erkennungen ist auf der Rapid7-Konfigurationsseite in Ihrer -Instanz jetzt eine Option verfügbar, um gelöste AEs nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden VIs, die auf „Gelöst “ gesetzt, aber dann nicht von nachfolgenden Scans auf „ Geschlossen“/ „Behoben“ gesetzt wurden, nach der von Ihnen eingegebenen Anzahl von Tagen zurück in den Status „ Offen “ geändert.

      Wenn der Scanner für Qualys Erkennungen weiterhin VIs findet, die auf „Gelöst“ festgelegt wurden, dann aber nicht durch nachfolgende Scans in den Status „ Geschlossen“/ „Behoben“ geändert wurden, werden diese VIs zurück in den Status „ Offen “ verschoben, wenn das Datum der letzten Suche nach dem Datum „Gelöst“ liegt.

    Nächste Maßnahme

    Um weitere Daten, einschließlich Element- und Erkennungsanzahlen, anzuzeigen, können Sie Überprüfen Sie Vulnerability Response die Erkennungsdaten für angreifbare Elemente in Integrationsausführungsdatensätzen (VINTRUN)..