Vulnerability Response Übersicht über Korrekturaufgaben und Regeln für Korrekturaufgaben

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Konfigurieren Sie Korrekturaufgaben (VULs), damit Analysten und Korrekturspezialisten angreifbare Elemente (VI) organisieren und massenweise analysieren können. Die Kriterien, nach denen Korrekturaufgaben erstellt werden, sind so konfiguriert, dass Sie angreifbare Elemente nicht manuell Korrekturaufgaben zuweisen müssen. Mit Korrekturaufgaben können Sie den Fortschritt überwachen und den Nachbesserungsprozess effizienter gestalten.

    Nachverfolgung der Anzahl der Zurückstellungen für angreifbare Elemente und Korrekturaufgaben

    Verfolgen Sie, wie oft ein angreifbares Element, ein angreifbares Anwendungselement, ein angreifbares Container-Element oder eine Korrekturaufgabe zurückgestellt wird. Eine regelmäßige Aufgabe, Anzahl der Zurückstellungen festlegen, wird täglich ausgeführt, um die Anzahl der Datensätze zu erfassen, die mehr als einmal in der Spalte Anzahl der Zurückstellungen zurückgestellt wurden. Datensätze werden in den Modulen „Mehrere Zurückstellungen“ für VR, AVR und CVR angezeigt.

    Angreifbare Elemente werden automatisch aktualisiert

    Hinweis:
    Die Automatisierung der Aktualisierung von angreifbaren Elementen gilt nur für Korrekturaufgaben, die mit dem Bedingungsfilter oder der Filtergruppe erstellt wurden. Die Automatisierung gilt nicht für VIs, die manuell hinzugefügt oder mithilfe von Regeln für Korrekturaufgaben gruppiert wurden.

    Wenn das Kontrollkästchen Zugehörige angreifbare Elemente automatisch aktualisieren aktiviert ist, werden der Aufgabe automatisch neue VIs hinzugefügt, die den Filterkriterien für Korrekturaufgaben entsprechen. Angreifbare Elemente in der Korrekturaufgabe, die nicht mehr den Filterkriterien entsprechen, werden automatisch aus der Aufgabe entfernt.

    Wenn die Korrekturaufgabe den Status Offen verlässt, wird das Kontrollkästchen standardmäßig deaktiviert. Wenn angreifbare Elemente unabhängig vom Status weiterhin der Korrekturaufgabe hinzugefügt werden sollen, deaktivieren Sie die Geschäftsregel Set auto refresh vulnerable items.

    Sie können das Kontrollkästchen manuell im Status „Wird untersucht“ erneut aktivieren. Zugehörige angreifbare Elemente automatisch aktualisieren ist nicht deaktiviert, wenn die Korrekturaufgabe in den Status „Warten auf Implementierung“ wechselt. Sobald sich der Status „Warten auf Implementierung“ befindet, können der vorhandenen Aufgabe keine neuen angreifbaren Elemente hinzugefügt oder vorhandene angreifbare Elemente entfernt werden.
    Hinweis:
    Wenn eine Korrekturaufgabe manuell erstellt wird und VIs mit dem Bedingungsfilter oder der Filtergruppehinzugefügt werden, ist das Kontrollkästchen deaktiviert. Sie können das Kontrollkästchen aktivieren oder nicht.

    Angreifbare Elemente werden manuell aktualisiert

    Wenn Sie bei manuell erstellten Korrekturaufgaben mit einem Filter fürFiltergruppen oder Bedingungen auf der Seite „Korrekturaufgabe“ auf den zugehörigen Link Zugehörige angreifbare Elemente aktualisieren klicken, werden alle angreifbaren Elemente hinzugefügt, die den Filterkriterien entsprechen. Elemente, die den Kriterien nicht mehr entsprechen, werden entfernt. Diese Aktion ermöglicht eine sofortige Aktualisierung der Liste der angreifbaren Elemente und wird verwendet, unabhängig davon, ob das Kontrollkästchen Zugehörige angreifbare Elemente automatisch aktualisieren aktiviert ist oder nicht.

    Manuell erstellte Korrekturaufgaben mit den Filtertypen Bedingung oder Filtergruppe werden einmal pro Stunde aktualisiert.

    Die Regeln für Korrekturaufgaben verstehen

    Mit Regeln für Korrekturaufgaben können Sie definieren, wie angreifbare Elemente automatisch gruppiert und zugewiesen werden. Die Standardregel Vulnerabilityist im Basissystem enthalten und sammelt angreifbare Elemente auf Grundlage ihrer Schwachstellen. Sie können jedoch nach jedem anderen Wertesatz in Spalten gruppieren, auf die über das VI zugegriffen werden kann. Diese Werte können die Supportgruppe für Konfigurationselemente (CI), den Schwachstellenschweregrad usw. umfassen.

    Sie können eine beliebige Anzahl von Bedingungen erstellen. Sobald Sie eine Gruppe nach Auswahl festgelegt haben, wird eine weitere Zeile angezeigt. Sie können bis zu sechs „Gruppieren nach“ -Auswahlen auswählen. Sie können auch die Gruppenzuweisung automatisieren. Weitere Informationen finden Sie unter Erstellen oder bearbeiten Sie Vulnerability Response Regeln für Korrekturaufgaben und Filtern in Vulnerability Response.
    Hinweis:
    Um Rapid7 InsightVM Asset-Tags für die Verwendung im Bedingungsfilter für Regeln für Korrekturaufgaben verfügbar zu machen, müssen Sie die Rapid7 InsightVM Asset-Listenintegration vor den anderen Rapid7 InsightVM -Integrationen ausführen.

    Sie können Ihre angreifbaren Elemente beispielsweise nach der Kostenstelle des angreifbaren CI oder nach dem Angriffsvektor der Schwachstelle gruppieren. Sie können eine Aufgabenregel für Schwachstellen mit niedrigem Schweregrad oder für CIs mit geringem Risiko festlegen. Sie können eine andere Aufgabenregel für kritische Server und Schwachstellen mit Exploits festlegen – angreifbare Elemente, die das Unternehmen einem höheren Risiko aussetzen.

    Für angreifbare Elemente, die das Unternehmen einem höheren Risiko aussetzen, können andere Regeln verwendet werden. Der Name der Korrekturaufgabe wird an die Korrekturaufgabenregel „Gruppieren nach“ -Werte angehängt, um die Kurzbeschreibung des neuen Datensatzes zu erstellen. Weitere Informationen zu verfügbaren Feldern finden Sie unter Erstellen Sie manuell eine Korrekturaufgabe in Vulnerability Response.

    Abbildung : 1. Beispiel für den Bedingungsgenerator für „Gruppieren nach“-Einträge
    Bedingungsgenerator für Korrekturaufgabenregel, der die Einträge für „Gruppieren nach“ anzeigt

    Wenn ein neues angreifbares Element erstellt, importiert oder nach dem Schließen erneut geöffnet wird, werden die Schwachstellenregeln anhand dieser Kriterien ausgewertet. Ein VI wird nur einmal automatisch ausgewertet, es sei denn, es wird nach dem Schließen erneut geöffnet oder die Regeln werden manuell erneut angewendet.

    Der folgende Prozess wird für jedes neue oder erneut geöffnete AE verwendet:

    • Für jede Regel für Korrekturaufgaben wird der VI mit dem Regelfilter für Korrekturaufgaben verglichen.
    • Für jede Regel, bei der die Bedingung der Regel für Korrekturaufgaben erfüllt ist, ruft die Regel die Daten aus der Auswahlgruppe nach Auswahl im AE ab. Es erstellt einen Gruppennamen und ein Feld. In diesem Fall, Hohes Risiko: QID-32342:Zusammenfassung von QID-3242 (Name: Schwachstellen-ID:Schwachstellenzusammenfassung).
      Hinweis:
      Das Feld „Kurzbeschreibung“ ist auf 160 Zeichen beschränkt. Längere Schwachstellenzusammenfassungen werden gekürzt.
      Die Regel prüft, ob eine übereinstimmende Korrekturaufgabe vom Typ „ Offen “ vorhanden ist, die der gleichen Zuweisungsgruppe wie das VI zugewiesen ist.
      • Wenn die Aufgabe gefunden wird, wird das VI zur vorhandenen Aufgabe im Status Offen hinzugefügt.
      • Wenn keine Aufgabe im Status „ Offen “ gefunden wird, erstellt die Regel eine Aufgabe mit hohem Risiko: QID-32342, weist sie derselben Zuweisungsgruppe wie das AE zu und platziert das AE in der Korrekturaufgabe.

    Es kann mehr als eine Regel für Korrekturaufgaben definiert werden, um verschiedene Arten von Schwachstellen zu gruppieren. Da jede Schwachstelle mit den Bedingungen der Korrekturaufgabenregel verglichen wird, bevor sie in eine Korrekturaufgabe aufgenommen wird, können zu viele Regeln die Leistung beeinträchtigen.

    Standardmäßig verwenden die Regeln für Korrekturaufgaben beim Gruppieren der Elemente die von den Zuweisungsregeln für das angreifbare Element festgelegte Zuweisungsgruppe und weisen die Korrekturaufgabe entsprechend den angreifbaren Elementen zu.

    Als Teil der Standardaufgabenregel wird die Zuweisung dieser Korrekturaufgaben durch die Regeln im Modul „Zuweisungsregeln“ gesteuert. Weitere Informationen zu Zuweisungsregeln finden Sie unter Vulnerability Response Übersicht über Zuweisungsregeln.

    Wenn eine Aufgabenregel gelöscht wird, können Sie im Formular oder in der Listenansicht alle von dieser Regel erstellten offenen Aufgaben löschen. Aufgaben, die sich nicht im Kontrollkästchen befinden, werden ausgeschlossen.

    Die Regeln für Korrekturaufgaben werden erneut angewendet

    Wenn Sie eine Regel für Korrekturaufgaben ändern möchten, klicken Sie auf der Seite für die Regel für Korrekturaufgaben auf die Schaltfläche Erneut anwenden, um die geänderte Regel für alle aktiven offenen Korrekturaufgaben erneut auszuführen, die von dieser Regel erstellt wurden. Es löscht Korrekturaufgaben basierend auf der geänderten Regel automatisch und erstellt sie neu.

    Wichtig:
    Als Schwachstellenadministrator und -analyst können Sie die Regeln für Korrekturaufgaben für ausgewählte angreifbare Elemente im Vulnerability Manager Workspacebewerten. Diese Methode ist effizienter als die erneute Anwendung der Regeln für Korrekturaufgaben in der klassischen Anwenderoberfläche, was ein zeitaufwändiger Prozess ist. Weitere Informationen finden Sie unter Bewerten Sie die Korrektureigenschaften der Datensätze in neu Vulnerability Manager Workspace.