Veraltete Erkennungen in automatisch schließen Vulnerability Response

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Aktivieren Sie das automatische Schließen veralteter Erkennungen, um veraltete angreifbare Erkennungen automatisch zu schließen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.Vulnerability_admin oder sn_vuln.admin (veraltet) oder ein Schwachstellenmanager mit der granularen sn_vul.manage_auto_close_stale_vi-Rolle.

    Weitere Informationen zu dieser Funktion, wichtigen Begriffen und allen Setups, die möglicherweise für Ihre Drittpartei-Integrationen erforderlich sind, die Erkennungsdaten importieren, finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability ResponseFür weitere Informationen.

    Hinweis:
    Die im folgenden Verfahren bereitgestellten Informationen gelten nur für Versionen vor v22.0 von Vulnerability Response. Ab v22.0 von Vulnerability Response, Sie haben die Möglichkeit, zusätzliche Suchoptionen zu konfigurieren. Siehe Erstellen Sie Regeln für das automatische SchließenFür weitere Informationen.

    Prozedur

    1. Navigieren zu Vulnerability Response > Administration > Konfiguration für automatisches Schließen > Veraltete Erkennungenan.
      Das Formular „veraltete Konfiguration automatisch schließen“ wird angezeigt.
    2. Füllen Sie die Felder aus.
    3. Für Veraltete Erkennungen basierend auf automatisch schließen Wählen Sie eine Option für Ihre Suche aus.
      Beide Suchen entsprechen dem Alter älterer, veralteter Erkennungen in Tagen an einem von Ihrem Scanner angegebenen Datum.
      Hinweis:
      Beginnend mit v22.0 von Vulnerability Response, Die Optionen Zuletzt gefundene Erkennungen Und Zuletzt gescannte Assets Werden als Liste erstellt.
      • Zuletzt gefundene Erkennungen . Diese Option sucht nach dem aktuellsten oder neuesten Datum, an dem Erkennungen vom Scanner erneut gefunden wurden.
        Hinweis:
        Für Rapid7Und MicrosoftMicrosoft Azure Event HubsTVM-Anwender wird eine Warnmeldung angezeigt, dass aktuelle Erkennungsinformationen erforderlich sind.

        Wenn Sie auswählen Zuletzt gefundene Erkennungen Um Ihre Suche auf zu basieren, erfordert diese Funktion eine erfolgreiche Integrationsausführung von einem der Rapid7Umfassende Integrationen angreifbarer Elemente innerhalb der letzten sieben Tage.

        Wenn Sie auswählen Zuletzt gefundene Erkennungen Um Ihre Suche auf zu basieren, erfordert diese Funktion eine erfolgreiche Integrationsausführung der Microsoft TVM-Rechnerschwachstellenintegration (vollständiger Import) innerhalb der letzten sieben Tage.

      • Zuletzt gescannte Assets . Diese Option sucht nach dem aktuellen Datum, an dem ein Asset zuletzt von einem Scanner einer Drittpartei gescannt wurde.
    4. Für Rapid7Und MicrosoftMicrosoft Azure Event HubsNur TVM-Anwender. Stellen Sie sicher, dass alle erforderlichen Integrationen aktiviert sind.
      Siehe Verstehen von Rapid7 Vulnerability-IntegrationUnd Verständnis der Schwachstellenintegration von Microsoft für Bedrohungs- und SchwachstellenmanagementFür weitere Informationen.
    5. Um das Modul zu aktivieren, klicken Sie auf das Kontrollkästchen aktiv, um es auszuwählen.
    6. In Zuletzt gefundene Erkennungen (vor Tagen) Geben Sie das Alter älterer, veralteter Erkennungen in der Anzahl der Tage ein.

      Der Standardwert ist 90 Tage. Sie können einen beliebigen positiven Wert für die Anzahl der Tage eingeben. Dieser Wert wird verwendet, um einem von Ihrem Scanner bereitgestellten Datum zu entsprechen. Mit 90 und Zuletzt gefundene Erkennungen Angezeigt werden alle Erkennungen, die in den letzten 90 Tagen nicht gefunden wurden, automatisch geschlossen. Mit 90 und Zuletzt gescannte Assets Angezeigt werden alle Erkennungen, die Assets zugeordnet sind, die in den letzten 90 Tagen nicht gescannt wurden, automatisch geschlossen.

      Hinweis:

      Es besteht eine Beziehung zwischen Zuletzt gefundene Erkennungen/zuletzt gescannte Assets (vor Tagen) Feld für diese Funktion und den Importieren seit Feld in der API „umfassende Integration angreifbarer Elemente“ von Rapid7 und der Schwachstellenintegration von Microsoft TVM-Computern.

      Für diese Integrationen Importieren seit Das Feld auf den Konfigurationsseiten ist standardmäßig leer.

      Wenn Sie keinen Wert eingeben oder das Feld keinen Wert hat, werden die Daten für die in konfigurierte Anzahl der Tage angezeigt Zuletzt gefundene Erkennungen/zuletzt gescannte Assets (vor Tagen) Feld wird verwendet.

      Beispiel: Die im Konfigurationsformular für das automatische Schließen definierte Anzahl von Tagen ist 90 , Und Importieren seit Das Feld ist auf den Integrationskonfigurationsseiten leer, dann importiert die erste Integrationsausführung die Daten für die letzten 90 Tage. Die Importieren seit Felder für Rapid7Umfassende Integration angreifbarer Elemente – API und die Microsoft TVM-Computer-Schwachstellenintegration können bearbeitet werden, sodass Sie auch beliebige Werte angeben können. Der Wert von 90 Tagen wird als Standard bereitgestellt, wenn das Feld leer bleibt, damit die Funktion zum automatischen Schließen die falsch positiven Ergebnisse nicht schließt.

      Diese Beziehung zwischen diesen Feldern gilt nur für die erste Integrationsausführung. Ändern Sie danach Zuletzt gefundene Erkennungen/zuletzt gescannte Assets (vor Tagen) Das Feld im Formular „veraltete angreifbare Erkennungen automatisch schließen“ wirkt sich nicht auf aus Importieren seit Feld auf den Integrationskonfigurationsseiten. Das Feld wird in die Startzeit der ersten Ausführung geändert, sodass die nachfolgende Integration nur die Delta-Informationen importiert.

    7. Wahlweise: Wählen Sie aus Ignorieren Sie veraltete Erkennungen für zurückgestellte VIS Aktivieren Sie das Kontrollkästchen, um veraltete Erkennungen zu ignorieren, die zurückgestellten VIS oder VIS zugeordnet sind, die derzeit für die Zurückstellung überprüft werden.

      Wenn Sie diese Option deaktiviert lassen, werden alle Erkennungen geschlossen, die Ihren Kriterien entsprechen, die zurückgestellten VIS zugeordnet sind, oder VIS, die zur Zurückstellung überprüft werden. Die zurückgestellten VIS oder VIS, die überprüft werden und diesen Erkennungen entsprechen, werden ebenfalls basierend auf der Rollup-Logik automatisch geschlossen. Weitere Informationen zur Rollup-Logik finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response.

      Wenn Sie diese Option aktivieren, werden alle Erkennungen, die Ihren Kriterien entsprechen, die zurückgestellten VIS oder VIS zugeordnet sind, die auf Zurückstellung überprüft werden, beim automatischen Schließen übersprungen.

    8. Wahlweise: Deaktivieren Sie Ignorieren Sie veraltete Erkennungen für geschlossene VIS Kontrollkästchen.

      Standardmäßig ist dieses Kontrollkästchen aktiviert, damit das geschlossene VI nicht erneut geöffnet wird, wenn eine neue Erkennung im Zusammenhang mit diesem geschlossenen VI identifiziert wird. Weitere Informationen zur Rollup-Logik finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response.

    9. Klicken Sie auf Aktualisieren, um die Änderungen zu speichern.

      Die Auto-Close Stale DetectionsGeplante Aufgabe wird täglich ausgeführt. Der Auftrag bestimmt, ob Sie das Datum ausgewählt haben, an dem Erkennungen zuletzt gefunden wurden, oder das Datum, an dem Assets zuletzt gescannt wurden. Anschließend werden die entsprechenden Erkennungen in den Status „Veraltet“ versetzt. Es ist wichtig zu beachten, dass die Funktion „Veraltete Erkennung automatisch schließen“ nur veraltete Erkennungen für aktive Integrationsinstanzen schließt. Angreifbare Elemente und Erkennungen, die aktiven Integrationsinstanzen zugeordnet sind, werden geschlossen. Ab v22.0 von Vulnerability ResponseDie geplante Aufgabe wurde geändert, um die allgemeine Tabelle [sn_vul_cmn_auto_close_rule] zu berücksichtigen.

      Nachdem die Erkennungen als veraltet markiert wurden und der Scanner meldet, dass diese Erkennung erneut gefunden wird, wechselt das Feld Status der Erkennungen zu Offen. Die entsprechenden angreifbaren Elemente der Erkennung werden ebenfalls erneut geöffnet.

      Wenn die Erkennung als veraltet markiert ist und der Scanner feststellt, dass sie behoben ist, wechselt die Erkennung zu „Geschlossen“. Der Status wird auch zu den VIS zusammengefasst.