Ausnahmeverwaltung in Container Vulnerability Response

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Wenn Ihre Organisation eine veröffentlichte Schwachstellenmanagement- oder Sicherheitsrichtlinie, einen Standard oder eine Richtlinie nicht einhalten kann, können Sie eine Ausnahme anfordern. Das Ausnahmemanagement umfasst das anfordern, Überprüfen, Genehmigen oder Ablehnen von Ausnahmen für ein angreifbares Container-Element (CVIT), das nicht gemäß der Richtlinie korrigiert werden kann.

    Einige Container-Schwachstellen (CVIT) haben möglicherweise keinen Patch, eine Korrektur oder eine Lösung. Wenn eine Ausnahme genehmigt wird, bedeutet dies auch, dass Sie ein Risiko akzeptieren, da Sie die Konsequenzen einer Nichtbeseitigung der Schwachstelle bestätigen und zustimmen.

    Lebenszyklus einer Ausnahme

    Definition einer Ausnahme
    Eine Ausnahme ist eine Anforderung zum Zurückstellen der Korrektur eines CVIT oder RT für einen bestimmten Zeitraum. Beispielsweise können Sie als Korrekturbesitzer eine Ausnahme anfordern, wenn für einen Computer kein Patch verfügbar ist.
    Ausnahme wird angefordert
    Als Korrekturbesitzer können Sie mithilfe des Ausnahmeverwaltungsprozesses eine Ausnahme für ein CVIT oder RT beantragen. Nachdem der Ausnahmegenehmiger diese Anforderung genehmigt hat, wird CVIT oder RT zu einem verschoben Zurückgestellt status.
    Ausnahmeanforderung wird genehmigt
    CVIT oder RTS, die nicht sofort behoben werden können, werden von Schwachstellenanalysten überprüft, auf Risiko bewertet und für eine Zurückstellung genehmigt, bis sie behoben werden können. Das Genehmigen einer Ausnahmeanforderung kann ein Workflow auf zwei Ebenen sein. Wenn nur der Genehmiger der ersten Ebene vorhanden ist, kann die Ausnahme angefordert und genehmigt werden. Wenn jedoch kein Genehmiger der ersten Ebene vorhanden ist, kann keine Ausnahme angefordert werden. Weitere Informationen finden Sie unter Fügen Sie einen Ausnahmegenehmiger hinzu.
    Hinweis:

    Beginnt ab Vulnerability Response V15.0: Wenn Sie die VR-Anwendung zum ersten Mal bereitstellen, ist der Flow Designer für das Ausnahmemanagement standardmäßig aktiviert. Wenn Sie den Workflow bereits verwenden, können Sie auf den Flow Designer aktualisieren. In beiden Fällen können Sie sie nicht zurück in Workflow ändern. Informationen zum Konfigurieren von Genehmigungsregeln für das Ausnahmemanagement und falsch positive Informationen finden Sie unter Konfigurieren Sie Genehmigungsregeln für das Ausnahmemanagement.

    Sobald eine Ausnahmeanforderung für ein CVIT oder RT genehmigt wurde, können Sie die folgenden Aktionen ausführen:
    • Erneut öffnen
    • Löschen
    • Aktualisieren Sie Zuweisung an Oder Zuweisungsgruppen Felder
    Nachverfolgung einer Ausnahmeanforderung
    Nachdem Sie die Ausnahme ausgelöst haben, können Sie ihren Status mithilfe von nachverfolgen Statusänderungsgenehmigungen Registerkarte des CVIT oder RT. Wenn eine Aktion für eine RT ausgeführt wird, können Sie den Status der einzelnen CVITs in dieser RT nicht nachverfolgen.
    Ablauf einer Ausnahmeanforderung
    Wenn eine Ausnahmeanforderung für ein bestimmtes CVIT oder RT abläuft, wird das betroffene CVIT oder RT auf zurückgesetzt Öffnen status.

    Wenn ein einzelnes CVIT oder alle CVITs in einer RT beim nächsten Scan übergeben werden, werden die CVITs und gegebenenfalls die RT übergeben Status Feld ändert sich in Geschlossen Mit dem Substatus Behoben .

    Konfigurieren Sie Genehmigungsregeln

    Zeigen Sie Genehmigungsregeln an, und konfigurieren Sie sie, indem Sie zu navigieren Alle > Container Vulnerability Response > Administration > Genehmigungsregelnan. Fordern Sie eine Ausnahme für die CVITs an, die nicht sofort behoben oder zurückgestellt werden kann, indem Sie die betroffenen Schwachstellen, Konfigurationselemente (Configuration Items, CIs) oder CVITs identifizieren. Automatisieren Sie den CVIT-Zurückstellungsprozess. Verschieben Sie die übereinstimmenden CVITs basierend auf diesen Regeln, wenn das System diese CVITs identifiziert.
    Die folgenden Genehmigungsregeln werden standardmäßig ausgeliefert:
    • Genehmigung für Ausnahmeanforderungen: Im Basissystem wird eine Standardkonfiguration mit zwei Genehmigungsebenen bereitgestellt. Immer wenn für ein angreifbares Element eine Ausnahmeanforderung vorhanden ist, wird die Genehmigungsanforderung an die Anwender oder Gruppen gesendet, die auf Ebene 1 vorhanden sind. Nach der Genehmigung durch Genehmiger der Ebene 1 wird es an die Genehmiger der Ebene 2 gesendet.
      Hinweis:
      Sie können die Standardebenen ändern und nach Bedarf bearbeiten. Beginnt ab Container Vulnerability Response V2.0.6. Sie können die im Basissystem bereitgestellten Systemeigenschaften für Ausnahmegenehmigungen über den Workflow in der Tabelle „Systemeigenschaften“ [sys_properties] verwenden. Wenn also eine Ausnahme oder falsch positive Anforderung über den Workflow ausgelöst wird, wird sie zur Genehmigung an die in der Systemeigenschaft definierten Gruppen-IDs gesendet. Navigieren zu Alle > Systemeigenschaften Und wählen Sie aus sn_vul_container.container_exception_approver_L1, sn_vul_container.container_exception_approver_L2, Oder sn_vul_container.container_false_positive_approver_groupZum Ändern des Eigenschaftswerts.
    • Genehmigung für Ausnahmeregeln: Sie verfügt nicht über eine Konfiguration, sondern über zwei Genehmigungsebenen.
    • Genehmigung für falsch positive Ergebnisse: Sie verfügt über eine Konfiguration mit einer Genehmigungsebene.
    Hinweis:
    Ab v2.5 von Container Vulnerability Response, Sie können die Zeitrahmen für die Genehmigung von falsch positiven Ergebnissen und Ausnahmen sowie E-Mail-Benachrichtigungen für den Genehmiger und die anfordernde Person nach einer festgelegten Anzahl von Tagen konfigurieren. Wenn eine Anforderung ausgelöst wird, ändert sich das angreifbare Container-Element in den Status „in Überprüfung“, und ein Statusänderungsdatensatz wird erstellt. Wenn der Genehmiger nicht innerhalb des konfigurierten Zeitrahmens antwortet, wird das angreifbare Container-Element oder die Korrekturaufgabe auf den Status „Offen“ zurückgesetzt. Der vorherige Status wird in gespeichert Backup_State Feld. Weitere Informationen finden Sie unter Konfigurieren Sie Genehmigungsregeln für das Ausnahmemanagement.