Vulnerability Response Rechner und Regeln des Schwachstellen-Rechners

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 6 Minuten Lesedauer

    • Sicherheitsrisiko-Rechner automatisieren die Berechnung der Anfangswerte für die Felder von angreifbaren Elementen. Die Bedingung für jeden Rechner wird der Reihe nach ausgewertet, und der erste passende Rechner wird verwendet.

    Schwachstellen-Rechner

    Das -BasissystemVulnerability Response enthält zwei Schwachstellen-Rechner, die die Basis-Risikopunktzahl für das angreifbare Element festlegen.
    • Standardrisikorechner
    • Schwachstellenschweregrad

    Schwachstellen-Rechner können so erstellt werden, dass sie angreifbare Elemente anhand beliebiger Kriterien priorisieren und ihre Auswirkungen mithilfe von Bedingungsfiltern bewerten. Unabhängig davon, ob es sich um die Geschäftsauswirkung der Schwachstelle, die Klasse des Konfigurationselements (Configuration Item, CI) oder das Alter des angreifbaren Elements handelt, können Sie zusätzliche Schwachstellen-Rechner erstellen, um andere Felder für angreifbare Elemente festzulegen. Oder Sie können die vorhandenen Schwachstellen-Rechner anpassen. Ein Rechner kann so geschrieben werden, dass er jeden Satz von Prioritäten widerspiegelt. Weitere Informationen finden Sie unter Erstellen Sie einen Vulnerability Response -Rechner und Filtern in Vulnerability Response.

    Darüber hinaus können Sie Attribute in „configuration_item“ [cmdb_ci] in der Configuration Management Database (CMDB) verwenden, um die Logik für Ihre Vulnerability Response-Risikorechner zu erstellen. Wenn Sie beispielsweise feststellen, dass in Ihrer Organisation nach außen gerichtete CIs angreifbarer sind und möglicherweise eine sofortige Korrektur erfordern, können Sie für diese CIs Attribute wie z. B. Internet Facing zuweisen. Dieses und andere Attribut sind in den Versionshinweisen zum Common Service Data Model für das Orlando-Familienrelease aufgeführt. Aktuelle Informationen und Anleitungen zu CMDBfinden Sie in den folgenden Themen:

    Jeder Rechner enthält eine Liste von Rechnerregeln, wobei eine Bedingung bestimmt, wann sie angewendet wird. Wenn der Rechner ausgeführt wird, wird die Bedingung für jede Rechnerregel der Reihe nach ausgewertet, und die erste passende Rechnerregel wird verwendet.

    Der Rechner für den Schwachstellenschweregrad berechnet die Risikopunktzahl für angreifbare Elemente anhand des normalisierten Schwachstellenschweregrads.
    Hinweis:
    • Pro Zielfeld (Risikopunktzahl) kann jeweils nur ein Rechner aktiv sein. Der Schwachstellenschweregrad ist standardmäßig deaktiviert.
    • Ab v23.0 von Vulnerability Responsewird bei jeder Aktualisierung der Risikopunktzahl für eine VIT der Abschnitt „ Hinweise “ mit den folgenden Details aktualisiert:
      • Name der Rechnergruppe
      • Rechnername: Je nachdem, ob die Rechnerregel auf einer Vorlage oder einem Skript basiert, werden dem Namen die Details in Klammern angehängt. Um die Basis der Rechnerregel zu ändern oder anzuzeigen, klicken Sie auf eine beliebige Regel, und aktivieren Sie das Kontrollkästchen Erweiterte Ansicht. Wählen Sie im Dropdown-Feld Werttyp die gewünschte Option aus. Wenn Vorlage ausgewählt ist, wird die Risikopunktzahl gemäß der in der Regel angegebenen Bedingung aktualisiert. Wenn Skript ausgewählt ist, können Sie entweder das vorhandene Skript hinzufügen oder aktualisieren.

    Alle aktivierten Schwachstellen-Rechner legen die ausgewählten Felder jedes Mal fest, wenn ein angreifbares Element erstellt wird, wenn ein zugehöriges CI oder eine zugehörige Schwachstelle geändert wird oder wenn der zugehörige Link Risikowert berechnen in einem angreifbaren Element verwendet wird. Beispielsweise wird die Risikopunktzahl für Datensätze zu angreifbaren Elementen automatisch aktualisiert, wenn der Schweregradwert für eine importierte Schwachstelle aktualisiert wird. Nachdem ein Schwachstellenimport eine Schwachstellenpunktzahl aktualisiert hat, wird für diese Schwachstelle die Kennzeichnung „Neu berechnen“ aktiviert. Die Risikopunktzahlen für die angreifbaren Elemente, für die die Neuberechnungskennzeichnung (wahr) mit dieser Schwachstelle aktiviert ist, werden neu berechnet.

    Wenn Sie in einem vorhandenen angreifbaren Element auf den zugehörigen Link Risikopunktzahl berechnen klicken und einer der Rechner aktiviert ist, wird das Feld „ Risikopunktzahl“ im angreifbaren Element aktualisiert.
    Hinweis:
    • Der zugehörige Link Risikopunktzahl berechnen ist nur sichtbar, wenn mindestens ein Schwachstellen-Rechner aktiviert ist.
    • Ab v22.0 von Vulnerability Responsekönnen Sie die Risikopunktzahl für ein angreifbares Element in Vulnerability Manager Workspace und IT Remediation Workspace aktualisieren, indem Sie in der zugehörigen Datensatzansicht auf die Schaltfläche Risikopunktzahl berechnen klicken.
    • Ab Version 23.0 von Vulnerability Responsewerden bei jeder Änderung der Risikopunktzahl für eine VIT die folgenden Details im Abschnitt „Hinweise“ der VIT dokumentiert:
      • Name der Rechnergruppe
      • Name des Rechners
      • Feldwerte mit ihrer Gewichtung und ihrem Beitrag zur Risikopunktzahl
      • Endgültige Risikopunktzahl

    Regeln des Schwachstellen-Rechners

    Der Standardrisiko-Rechner des Basissystem- Rechners enthält die RegelStandardrisikoregel, eine spezielle Regel des Schwachstellen-Rechners, die als Risikoregelbezeichnet wird. Es berechnet die Risikopunktzahl basierend auf mehreren Werten:
    • Schwachstellenschweregrad
    • Exploit-Informationen
    • Relevanz
    • Externe Gefährdung des CI mit der Schwachstelle
    Sie können die Werte anpassen, die in der Standardrisikoregel verwendet werden sollen, und festlegen, wie viel Gewichtung jeder dieser Werte erhalten soll. Gewichtungen werden verwendet, um anzupassen, wie viel jedes Element beim Festlegen der Basis- Risikopunktzahlzählt.

    Sie können die Kriterien für die Standardrisikoregel anpassen. Weitere Informationen finden Sie unter Definieren Sie Felder und Gewichtungen für die Risikoregel für Vulnerability Response-Risikorechner.

    Ein Beispiel dafür, wie Risikopunktzahlen für Risikoregel-Rechner bestimmt werden, finden Sie unter Beispiel für die Berechnung der Risikopunktzahl für Vulnerability Response.

    Zuweisen eines Gewichtungsprozentsatzes

    Sie können auch einen Gewichtungsprozentsatz (0–100) auf Feldwertebene zuweisen. Sie können beispielsweise jedem Schweregrad (Keine bis Kritisch) einen Gewichtungsprozentsatz zuweisen.

    Wenn die Schweregradgewichtung für die Risikoregel 50 beträgt und die folgenden Gewichtungswerte für den Schweregrad zugewiesen sind:
    Schwachstellenschweregrad Risikopunktzahl
    Kritisch 100
    Hoch 50
    Mittel 20
    Keine 0

    Wenn der Schweregrad „Kritisch“ ist, beträgt die entsprechende Gewichtung 50. Bei einem hohen Schweregrad beträgt die entsprechende Gewichtung 25, bei einem mittleren Schweregrad eine Gewichtung von 10. Wenn der Schweregrad „Keine“ ist, ist die entsprechende Gewichtung 0. Weitere Informationen finden Sie unter Beispiel für die Berechnung der Risikopunktzahl für Vulnerability Response.

    Regeleinstellungen des Schwachstellen-Rechners

    Jede Regel hat eine Einstellung für Reihenfolge. Das erste Element, das den Bedingungen entspricht, aktualisiert jedoch das Feld Risikopunktzahl im angreifbaren Element. Weitere Informationen zu den Regeleinstellungen des Schwachstellen-Rechners finden Sie unter Erstellen Sie einen Vulnerability Response -Rechner. Rechnerregeln ohne Skript haben in der Regel weniger Auswirkungen auf die Leistung als Rechnerregeln mit Skript.

    Der Rechner für den Schwachstellenschweregrad des Basissystems enthält Rechnerregeln, die jedem Schweregrad („Keine“ bis „Kritisch“) einen Wert (0–100) für die Risikopunktzahl basierend auf dem Schweregrad zuweisen. DemSchweregrad „Unbekannt“ wird automatisch eine Risikopunktzahl von 100 zugewiesen. Diese Werte können angepasst werden, und wie beim Standardrisikorechnerkönnen neue Rechnerregeln oder neue Risikoregeln erstellt werden.

    Gewichtungen der Schwachstellen-Risikopunktzahl

    Allen Schwachstellen wird basierend auf Faktoren wie Schweregrad, Kritikalität, Exploit-Informationen usw. eine Risikopunktzahl und Bewertung zugewiesen. Die Geschäftsregel Update Risk Rating from Risk Score in der Tabelle der angreifbaren Elemente ist für die Berechnung der Risikobewertung verantwortlich. Immer wenn sich die Risikopunktzahl ändert, wird die Risikobewertung berechnet und für die angreifbaren Elemente ausgefüllt. Vor Version 17.1 der Anwendung Vulnerability Response (VR) wurden die folgenden Risikobewertungen als Teil der Skripteinbindung VulnerabilityUtilsbereitgestellt, die hartcodiert waren.
    Wert (Risikobewertung) Gewichtung (Risikopunktzahl)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    Ab Version 18.0 von Vulnerability Response,
    • Die Risikoeinstufungstypen werden in der Basistabelle als vr_risk_rating geliefert. Diese Typen werden als Teil der Geschäftsregel in jeder Tabelle übergeben, in der die Risikoeinstufung berechnet wird.
    • Das Skript wird so geändert, dass Sie die Einträge in den Tabellenwerten für Risikopunktzahlgewichtungen für die Berechnung der Risikoeinstufung abfragen können.
    • Fügen Sie zusätzliche Einträge für einen vorhandenen Typ hinzu, oder erstellen Sie einen neuen Typ. Wenn Sie einen neuen Typ erstellen, müssen Sie die Bezeichnungen für die neue Risikoeinstufung hinzufügen und auch die zugehörigen Skripts und Geschäftsregeln ändern. Sie müssen auch einen neuen Stil für die neue Risikopunktzahl hinzufügen.
    • Ändern Sie das Skript, um die Datensätze in der Basistabelle abzufragen.
    Sie können auf die Tabelle „Risikopunktzahlgewichtungen“ zugreifen, indem Sie im Filternavigator sn_sec_cmn_risk_score_weight eingeben.
    Darüber hinaus wird die Risikopunktzahl in den folgenden Szenarien automatisch neu berechnet:
    • Wenn ein Configuration Item (CI) von ohne Internetzugriff in mit Internetzugriff geändert wird.
    • Wenn die zugehörigen Common Vulnerabilities and Exposures (CVEs) oder Drittparteieinträge (TPEs) für die angreifbaren Elemente (VIs) mit einer Known Exploit Vulnerability (KEV) verknüpft sind.

    Tenable-Schwachstellenintegration und Tenable-Risikoregel

    Die Tenable-Risikoregel ist mit Tenable Vulnerability Integrationverfügbar. Die Schwachstellenprioritätsbewertung (VPR) ist ein Attribut aus dem Tenable-Produkt, das importiert und mit einem neuen Standardrisikorechner in Vulnerability Responseverwendet wird. Die Tenable-Risikoregel wird mit der Anwendung Vulnerability Response Integration with Tenable als Teil des Standardrisiko-Rechners in den Schwachstellen-Rechnern von Vulnerability Responseinstalliert.

    Diese Risikoregel ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter Konfigurieren Sie die Tenable-Schwachstellen-Integration mit dem Setup-Assistenten.