Veraltete Erkennungen in werden geschlossen Vulnerability Response
Das Modul „veraltete Erkennungen automatisch schließen“ hilft Ihnen, ältere, veraltete angreifbare Erkennungen automatisch zu bereinigen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden. Durch das Verschieben dieser Erkennungen in „Geschlossen“ wird die Anzahl der aktiven angreifbaren Elemente und Korrekturaufgaben in Ihrem reduziert Now PlatformInstanz und hilft Ihnen beim Abgleich von Assets in Ihrer CMDB.
Übersicht und Schlüsselbegriffe
Um die Rollup-Erkennungsdaten für Ihre angreifbaren Elemente genauer zu gestalten, hilft Ihnen das Modul „veraltete Erkennungen automatisch schließen“, ältere, veraltete Erkennungen angreifbarer Elemente zu bereinigen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden. Weitere Informationen zu dieser Funktion finden Sie im Anwendungsfall unten und in Veraltete Erkennungen automatisch schließen [KB 0958638] artikel.
In vorherigen Versionen von Vulnerability Response, Das Modul „angreifbare Elemente automatisch schließen“ hat angreifbare Elemente, die nicht kürzlich von Ihren Drittanbieter-Scannerintegrationen gefunden oder aktualisiert wurden, automatisch auf „Geschlossen – Veraltet“ verschoben.
Bevor Sie die Funktion „veraltete Erkennungen automatisch schließen“ aktivieren, überprüfen Sie die folgenden Begriffe, wie status zu angreifbaren Elementen und Korrekturaufgaben zusammengefasst werden, und die Voraussetzungen für Ihre Drittpartei-Integrationen, die Erkennungsdaten importieren.
Informationen zum Aktivieren der Funktion finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.
Schlüsselbegriffe
- Veraltete Erkennungen
- Bezieht sich auf Erkennungen, die angreifbaren Elementen in zugeordnet sind Now Platform®Instanzen, die veraltet sind und von Integrationsscans von Drittparteien seit längerer Zeit nicht gefunden, aktualisiert oder erkannt wurden.
- Zuletzt gefundene Erkennungen
- Diese Suchoption verwendet ein Datum und eine Uhrzeit, die vom Scanner der Drittpartei bereitgestellt werden. Dieser Begriff bezieht sich auf das aktuellste oder späteste Datum und die Uhrzeit, zu der Erkennungen vom Scanner erneut gefunden wurden.
- Zuletzt gescannte Assets
- Diese Suchoption verwendet ein Datum und eine Uhrzeit, die vom Scanner der Drittpartei bereitgestellt werden. Dieser Begriff bezieht sich auf das aktuelle Datum und die Uhrzeit, zu der ein Asset zuletzt von einem Scanner einer Drittpartei gescannt wurde.
Anwendungsfall
Manchmal können Assets (Konfigurationselemente) in Ihrer Umgebung außer Betrieb genommen oder von Drittanbieterscannern gelöscht werden, und die zugehörigen Erkennungen werden nicht durch Erkennungen angreifbarer Elemente aktualisiert. Daher werden die Erkennungen und die zugehörigen angreifbaren Elemente in nicht aktualisiert Vulnerability ResponseAnwendung, und sie werden inaktiv (veraltet).
Um diese veralteten Erkennungen zu schließen, die unveränderte Daten zu angreifbaren Elementen enthalten, und als Nächstes die Anzahl der aktiven VIS- und Korrekturaufgaben (RTS) zu reduzieren, aktivieren Sie das automatische Schließen veralteter Erkennungen. Diese Funktion schließt automatisch Erkennungen angreifbarer Elemente, die von Ihren Scannerintegrationen von Drittanbietern nicht kürzlich gefunden oder aktualisiert wurden, basierend auf Suchkriterien und einem von Ihnen festgelegten Alter in Tagen.
Angenommen, ein bestimmtes Konfigurationselement (CI) hat mehrere Asset-IDs, und eine dieser IDs wurde in den letzten 90 Tagen nicht für eine Erkennung von einem Drittpartei-Scanner importiert. Diese Funktion schließt automatisch diese Erkennung, die keine neuen Schwachstellendaten enthält, sodass das zugehörige VI geschlossen werden kann.
Da einem VI mehr als eine Erkennung zugeordnet sein kann, wechselt diese Funktion nur die Erkennungen, die durch die von Ihnen festgelegten Parameter als veraltet festgelegt wurden. Wenn einem VI beispielsweise vier Erkennungen zugeordnet sind und zwei Erkennungen veraltet sind, d. h. dass in den letzten 90 Tagen keine neuen Schwachstellendaten importiert wurden, schließt diese Funktion nur die veralteten Erkennungen. Bevor das VI geschlossen werden kann, müssen Sie zuerst die beiden anderen offenen Erkennungen korrigieren.
Rollup der erkennungsstatus zu VIS
Um die automatisch geschlossenen Erkennungen von Erkennungen zu unterscheiden, die von Drittanbieterscannern geschlossen wurden, wurde ein neuer Wert für das Statusfeld „Veraltet“ hinzugefügt. Die möglichen Werte für dieses Feld sind „Offen“, „Geschlossen“ und „Veraltet“. Veraltet gibt an, dass eine Erkennung durch die Erkennungsfunktion für das automatische Schließen geschlossen wurde.
Statusvorrang: Offen > Geschlossen > Veraltet.
- Wenn Erkennungen offen sind, bleibt der zugeordnete VI-Status offen.
- Wenn keine Erkennungen offen sind, einige geschlossen sind und einige veraltet sind, wechselt der zugehörige VI-Status in „Geschlossen – behoben“.
- Wenn alle Erkennungen veraltet sind, wechselt der zugeordnete VI-Status in „Geschlossen – Veraltet“.
Beginnend mit Vulnerability Response20.0: Wenn die Erkennung veraltet ist und sich das zugehörige VI im Status „Geschlossen“ befindet, wechselt der Status des VI nicht in „Geschlossen – Veraltet“. Dies soll verhindern, dass das VI erneut geöffnet wird, wenn eine neue Erkennung identifiziert wird, damit Sie vermeiden können, dass der gesamte falsch positive Anforderungs- und Genehmigungsprozess durchlaufen. Um dieses Verhalten umzukehren, deaktivieren Sie Ignorieren Sie veraltete Erkennungen für geschlossene VIS Kontrollkästchen im Formular „Konfiguration automatisch schließen“. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.
Rollup von VI-status zu Korrekturaufgaben (VUL)
Statusvorrang: Offen > Geschlossen – behoben > Geschlossen – Veraltet.
- Wenn VIS in einer ANFECHTBAREN Aufgabe (Korrekturaufgabe) „Offen“ sind, wird der Status „ANFECHTBAR“ nicht geändert.
- Wenn mindestens ein VI „Geschlossen – behoben“ ist und der Rest „Geschlossen – Veraltet“ ist, wechselt der Status „ANFECHTUNG“ in „Geschlossen – behoben“.
- Wenn alle VIS in einer ANFECHTBAREN Person als „Geschlossen – Veraltet“ festgelegt sind, wechselt der Status „ANFECHTBAR“ in „Geschlossen – Abgebrochen“.
Erkennungen und Integrationsanforderungen von Drittparteien automatisch schließen
Microsoft TVM-Anwender und veraltete Erkennungen automatisch schließen
| Prüflistenelement | Beschreibung |
|---|---|
| Die Microsoft TVM-Schwachstellenintegration | Mit der Microsoft TVM-Schwachstellenintegration, wenn Sie auswählen Zuletzt gefundene Erkennungen Um Ihre Suche auf zu basieren, erfordert diese Funktion eine erfolgreiche Ausführung der Microsoft TVM-Computer-Schwachstellenintegration (vollständiger Import) innerhalb der letzten sieben Tage. Diese Integration wird wöchentlich ausgeführt. Wenn veraltete Erkennungen automatisch schließen aktiviert und für konfiguriert sind Zuletzt gefundene Erkennungen , Und die Microsoft TVM-Computer-Schwachstellenintegration ist deaktiviert, oder ein Datenimport wurde innerhalb der letzten sieben Tage nicht erfolgreich abgeschlossen. Die geplante Aufgabe zum Schließen von Erkennungen wird weiterhin täglich ausgeführt, einige veraltete Erkennungen werden jedoch möglicherweise nicht wie erwartet geschlossen. Wenn Sie auswählen Zuletzt gescannte Assets Um Ihre Suche auf zu basieren, ist die Ausführung der Integration von Schwachstellen für Microsoft TVM-Computer nicht erforderlich. So aktivieren Sie diese Integration:
|
| (Optional) Bereitstellen Sie mehrere Instanzen der Microsoft TVM-Integrationen in Ihrer Umgebung. | Sie können optional mehrere Instanzen der Integrationen in Ihrer Umgebung bereitstellen. Das automatische Schließen veralteter Erkennungen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden in Instanzen, die erfolgreich abgeschlossene Integrationsausführungen haben, automatisch in „Veraltet“ überführt. Wenn das automatische Schließen veralteter Erkennungen aktiviert ist und Sie die Integrationen deaktivieren, die wöchentlich in einer Instanz ausgeführt werden, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, einige Erkennungen werden jedoch möglicherweise nicht wie erwartet automatisch in veraltet übergehen. |
Qualys Anwender und veraltete angreifbare Elemente automatisch schließen
- Beliebig aktiviert QualysDrittpartei-Integrationen, die Erkennungsdaten abrufen, können mit diesem Modul ausgeführt werden. Es sind keine spezifischen vorhanden QualysAnwendungen erforderlich.
- Sie können optional mehrere Instanzen von bereitstellen QualysIntegrationen in Ihrer Umgebung.
- Das automatische Schließen veralteter Erkennungen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden auf allen Instanzen automatisch in „Veraltet“ umgestellt.
Rapid7 Anwender und veraltete Erkennungen automatisch schließen
| Prüflistenelement | Beschreibung |
|---|---|
| Die Rapid7Schwachstellenintegration | Wenn Sie auswählen Zuletzt gefundene Erkennungen Um Ihre Suche auf zu basieren, erfordert diese Funktion die erfolgreiche Ausführung eines von Rapid7Umfassende Integrationen angreifbarer Elemente innerhalb der letzten sieben Tage. Diese umfassenden Integrationen werden wöchentlich ausgeführt:
Wenn das automatische Schließen veralteter Erkennungen aktiviert und für konfiguriert ist Zuletzt gefundene Erkennungen , Und Rapid7Umfassende Integrationen angreifbarer Elemente sind deaktiviert, oder ein Datenimport wurde innerhalb der letzten sieben Tage nicht erfolgreich abgeschlossen. Die geplante Aufgabe zum Schließen von Erkennungen wird weiterhin täglich ausgeführt, einige veraltete Erkennungen werden jedoch möglicherweise nicht wie erwartet geschlossen. Wenn Sie auswählen Zuletzt gescannte Assets Um Ihre Suche auf zu basieren, nicht umfassend Rapid7Integrationsausführung ist erforderlich. So aktivieren Sie diese Integrationen:
Hinweis: Zusätzlich zu diesen wöchentlich ausgeführten Integrationen Rapid7 NexposeUnd Rapid7 InsightVMJede hat VI-Integrationen, die täglich ausgeführt werden, die Rapid7-Integration für angreifbare Elemente und die Rapid7-API für angreifbare Elemente. Wenn sowohl täglich als auch wöchentlich Rapid7Integrationen sind aktiviert, es wird jeweils nur eine Integration ausgeführt. Wenn einer dieser Integrationsaufträge ausgeführt wird, wird der Auftrag für die andere Integration bis zur nächsten geplanten Aufgabe übersprungen. |
| (Optional) Stellen Sie mehrere Instanzen von bereit Rapid7Integrationen in Ihrer Umgebung. | Sie können optional mehrere Instanzen der umfassenden Integrationen in Ihrer Umgebung bereitstellen. Das automatische Schließen veralteter Erkennungen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden in Instanzen, die erfolgreich abgeschlossene Integrationsausführungen haben, automatisch in „Veraltet“ überführt. Wenn „veraltete Erkennungen automatisch schließen“ aktiviert ist und Sie die Integrationen deaktivieren, die wöchentlich in einer Instanz ausgeführt werden, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, einige Erkennungen werden jedoch möglicherweise nicht wie erwartet automatisch in „Veraltet“ übergehen. |
Tenable-Anwender der Schwachstellenintegration und veraltete angreifbare Elemente automatisch schließen
- Alle aktivierten Integrationen aus der Tenable-Schwachstellenintegration, die Erkennungsdaten abrufen, können mit diesem Modul ausgeführt werden. Es sind keine spezifischen Tenable-Schwachstellenintegrationen erforderlich.
- Sie können optional mehrere Instanzen der Tenable-Schwachstellenintegration in Ihrer Umgebung bereitstellen.
- Das automatische Schließen veralteter Erkennungen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden automatisch zu umgestellt Veraltet Auf allen Instanzen.
Nachdem Sie überprüft haben, ob Ihre Integrationen ordnungsgemäß konfiguriert sind, finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability ResponseZum Aktivieren der Funktion.
Aktualisieren Sie Informationen von veralteten angreifbaren Elementen automatisch schließen zu veralteten Erkennungen
- Der Wert für die Anzahl der Tage, die Sie für eingegeben haben Zuletzt gescannte Assets Die Option „veraltete angreifbare Elemente automatisch schließen“ wird automatisch für beibehalten Zuletzt gescannte Assets In veralteten Erkennungen automatisch schließen.
- Der Wert für die Anzahl der Tage, die Sie für eingegeben haben Zuletzt gefundene angreifbare Elemente Die Option „veraltete angreifbare Elemente automatisch schließen“ wird automatisch für beibehalten Zuletzt gefundene Erkennungen In veralteten Erkennungen automatisch schließen.
- Vorhandene offene Erkennungen mit angreifbaren Elementen als „Geschlossen – Veraltet“ werden gemäß den Konfigurationseinstellungen für das automatische Schließen auf „Veraltet“ umgestellt, wenn Auto-Close Stale DetectionsGeplante Aufgabe wird nach dem Upgrade ausgeführt.
Rollup-Informationen
- Wenn ein angreifbares Element vor dem Upgrade als veraltet geschlossen wurde und alle seine Erkennungen nach dem Upgrade als veraltet markiert sind, bleibt der VI-Status „Geschlossen – veraltet“.
- Wenn ein angreifbares Element vor dem Upgrade geschlossen wurde – veraltet, und nur einige seiner Erkennungen nach dem Upgrade als veraltet markiert sind und der Rest vom Scanner geschlossen wurde, wechselt das angreifbare Element gemäß der Rollup-Logik zu „Geschlossen – behoben“.