Identifizieren Sie doppelte angreifbare Elemente mit Now Assist für Vulnerability Response

  • Freigeben Version: Zurich
  • Aktualisiert 25. August 2025
  • 5 Minuten Lesedauer

    • Erstellen oder führen Sie einen Auftrag aus, um die primären (zuerst gefundenen) angreifbaren Elemente für Konfigurationselemente zusammen mit doppelten angreifbaren Elementen zu identifizieren, die von Ihren Schwachstellen-Scannern importiert werden.

    Vorbereitungen

    Siehe Verwenden Now Assist für Vulnerability Response Zur Korrektur angreifbarer Elemente Um weitere Informationen zu den Anforderungen für zu erhalten Now Assist Kompetenz. Siehe Konfigurieren und aktivieren Sie eine Kompetenz für Now Assist für Vulnerability Response Um weitere Informationen zur Aktivierung zu erhalten.

    Erforderliche Rollen:
    Hinweis:
    sn_vul.Vulnerability_admin und sn_vul.Vulnerability_Analyst erben die folgenden Rollen, wenn Sie installieren Now Assist für Vulnerability Response Anwendung.
    • Deduplizierungsmodul für angreifbare Elemente im Arbeitsbereich anzeigen – sn_vul_ai.now_assist_user
    • Deduplizierungsauftragskonfigurationen erstellen – sn_vul_ai.configure_VI_dedup
    • Deduplizierungsaufträge ausführen – sn_vul_ai.run_vi_dedup_job
    • Überprüfen Sie doppelte Auftragsdatensätze – sn_vul_ai.Review_duplicate_VI

    Prozedur

    1. Navigieren zu Alle > Arbeitsbereiche > Arbeitsbereich des Schwachstellenmanagersan.
    2. Wählen Sie aus Now Assist Funkeln-SymbolSymbol im Navigationsbereich.
      Die Alle Auftragskonfigurationen , Alle Aufträge , Und Alle doppelten Überprüfungen Registerkarten werden im angezeigt Now Assist Seite. Sie müssen einen Deduplizierungsauftrag als ersten Schritt für die Deduplizierung angreifbarer Elemente (Vits) erstellen.
      Hinweis:
      Sie müssen über die Rolle sn_vul_ai.configure_VI_dedup verfügen, um Aufträge zu erstellen.
    3. Um einen Auftrag zu erstellen, wählen Sie aus Neu Und füllen Sie die Felder aus.
      Feld Beschreibung
      Titel Eindeutiger Name, der Ihnen hilft, diesen Auftrag von anderen Jobs zu identifizieren.
      E-Mail-Benachrichtigung Aktivieren Sie das Kontrollkästchen, um E-Mail-Benachrichtigungen zu erhalten, wenn dieser Auftrag abgeschlossen ist. Wenn diese Option ausgewählt ist, können Sie die folgenden Informationen in einer E-Mail anzeigen:
      • Doppelte angreifbare Elemente gefunden
      • Gesamtzahl der verarbeiteten angreifbaren Elemente
      • Betroffene Konfigurationselemente
      • Wählen Sie aus Überprüfen Sie Duplikate Link zum Anzeigen der Liste der Duplikate im Arbeitsbereich.

      Alternativ können Sie im oberen Banner das Symbol Benachrichtigungen anzeigen (Gell) auswählen, um Nachrichten mit den doppelten angreifbaren Elementen anzuzeigen, die für abgeschlossene Aufträge gefunden wurden.
      Bedingungen festlegen
      1. Wählen Sie aus Legen Sie Bedingungen fest Link zum Filtern der angreifbaren Elemente, die Sie auf Duplikate überprüfen möchten.

        Ein Beispiel könnte sein: [Konfigurationselement] [enthält] [serverbasierte VIS] .

        Die Legen Sie Bedingungen fest Der Link wird aktualisiert und zeigt eine Anzahl mit Ihren übereinstimmenden Ergebnissen an. Möglicherweise möchten Sie Ihren Auftrag basierend auf Ihren zurückgegebenen Ergebnissen umbenennen.

        Sie können auswählen Zeigen Sie übereinstimmende Ergebnisse an Link, um angreifbare Elemente anzuzeigen, die Ihre Bedingungen erfüllen, und weitere Details wie eine Zusammenfassung, Konfigurationselemente und Risikobewertungen im Bedingungsmodal anzuzeigen.

      2. Wenn Sie mit den Ergebnissen zufrieden sind, wählen Sie aus Speichern .
    4. Nachdem Sie den Auftrag gespeichert haben, die Auftrag ausführen Die Schaltfläche wird im Datensatz angezeigt und aktiviert.

      Sie sind bereit, einen Auftrag auszuführen.

      Hinweis:
      Sie müssen über die Rolle sn_vul_ai.run_vi_dedup_job verfügen, um sie anzuzeigen Auftrag ausführen Schaltfläche und Aufträge initiieren.
      1. Navigieren Sie zum Ausführen eines Auftrags zu Alle > Arbeitsbereiche > Arbeitsbereich des Schwachstellenmanagers > Now Assist > Alle Auftragskonfigurationenan.
      2. Suchen Sie den gewünschten Auftrag, wählen Sie den Datensatz in der Spalte Nummer aus, um ihn zu öffnen, und wählen Sie aus Auftrag Ausführen .
        Es wird eine Meldung angezeigt, dass der Auftrag im Hintergrund ausgeführt wird. Um weitere Informationen zum Status Ihres Jobs zu erhalten, wählen Sie aus Zeigen Sie den Fortschritt an Link.

        Nachdem Sie Auftrag ausführen ausgewählt haben, wird der Auftrag zum Überprüfen der Deduplizierung angreifbarer Elemente initiiert und im Hintergrund ausgeführt.

        Es gibt einen weiteren Auftrag, der alle 30 Minuten ausgeführt wird, um sicherzustellen, dass die aktiven Aufträge abgeschlossen wurden.

        Nachdem Ihr Auftrag erfolgreich abgeschlossen wurde, können Sie die von Ihrem Auftrag gefundenen doppelten Vits überprüfen, bewerten und schließen.
        Hinweis:
        Sie müssen über die Rolle sn_vul_ai.Review_duplicate_VI verfügen, um doppelte Vits zu überprüfen.
    5. Überprüfen Sie doppelte Vits.
      1. Um abgeschlossene Aufträge und die Listen doppelter angreifbarer Elemente zu überprüfen, navigieren Sie zu Alle > Arbeitsbereiche > Arbeitsbereich des Schwachstellenmanagers > Now Assist > Alle Aufträgean.
      2. Öffnen Sie einen Datensatz ( AUFTRAG NR. ) Und wählen Sie aus Doppelte Angreifbare Elementüberprüfungen Zugehörige Liste.
      3. Wahlweise: Wählen Sie die Links aus, um das angreifbare Element zu öffnen ( VIT-NUMMER ) Datensätze zur Überprüfung, bevor Sie bestimmen, ob die Vits im Datensatz Duplikate sind.
      4. Wählen Sie für einen Side-by-Side-Vergleich der doppelten VIT-Datensätze ein ( DUP-NR. ) Datensatz, um ihn zu öffnen.
        • Auftragsnummer und Status ( Muss Überprüft Werden ) Wird angezeigt.
        • Die Felder „Konfidenz“ und „Grund“ enthalten weitere Informationen. In der Spalte Grund werden die Gründe für generative KI und Now LLM-Service angezeigt, warum diese Vits als Duplikate gelten.
        • Informationen zum primären VIT und zur doppelten VIT sind im Abschnitt „Details zu angreifbaren Elementen“ nebeneinander zu finden.
        • Datum der ersten Suche für das primäre und die doppelten Vits. Ein primärer VIT hat normalerweise das früheste Datum der ersten Entdeckung.
        • Wählen Sie die Informationen aus Kleiner Buchstabe iSymbol in den Feldern Details zu primären angreifbaren Elementen und Duplikat, wenn Sie die VIT-Datensätze auf dieser Seite öffnen möchten.
      5. Wählen Sie eine aus.
        Option Beschreibung
        Als nicht Duplikat markieren

        Dies sind zwei unterschiedliche angreifbare Elemente, die mindestens zwei eindeutige Schwachstellen darstellen. Diese beiden angreifbaren Elemente werden in den zukünftig erstellten Aufträgen nicht als Duplikate betrachtet.

        Der Status geht von über Muss Überprüft Werden Bis Kein Duplikat Für DUP-NR. Datensatz.
        Duplikat bestätigen

        Ihre Überprüfung zeigt an, dass diese beiden Vits Duplikate sind. Der VIT-Datensatz, der im doppelten Datensatz mit der Bezeichnung angezeigt wird Duplikat Übergeht zu Geschlossen .

        Eine Arbeitsnotiz mit Abschlussnotizen wird dem geschlossenen VIT-Datensatz hinzugefügt.

        Alle zugehörigen Erkennungen im geschlossenen VIT werden in den primären VIT-Datensatz verschoben. Arbeitsnotizen werden dem primären VIT hinzugefügt, um anzuzeigen, dass ein Duplikat geschlossen und seine Erkennungen verknüpft wurden.

        Hinweis:

        Die Systemeigenschaft sn_vul_ai.duplicate_VI_Confidence_threshold automatisiert den Deduplizierungsworkflow für angreifbare Elemente.

        Diese Systemeigenschaft ist standardmäßig aktiviert, hat jedoch keinen Schwellenwert für eine Konfidenzpunktzahl. Ohne Wert für den Schwellenwert schließt der automatisierte Workflow keine Duplikate.
        Hinweis:
        Konfidenzpunktzahlen von 100 für Vits werden nicht von berechnet Now Assist Kompetenz. Diese Punktzahl wird durch Abgleich mit deterministischer Logik berechnet.

        Wenn Sie einen Schwellenwert eingeben, werden alle Duplikate, deren Vertrauenspunktzahlen größer als der von Ihnen angegebene Wert sind, automatisch geschlossen, und ihre Erkennungen werden in das primäre angreifbare Element zusammengefasst.

        Möglicherweise möchten Sie diese Systemeigenschaft in ihrer Standardeinstellung ohne Schwellenwert belassen, bis Sie mit dem Workflow vertraut sind und einige Zeit haben, um einen genauen Wert festzulegen. In der Standardeinstellung können Sie die Kontrolle über die Bedingungen behalten, unter denen Ihre doppelten Vits überprüft, markiert und verarbeitet werden.

        Sie müssen über die Rolle sn_vul_ai.configure_VI_dedup oder sn_vul_ai.Review_duplicate_VI verfügen, um diese Systemeigenschaft zu ändern.
      6. Wahlweise: Alternativ können Sie doppelte Elemente aus dem überprüfen Alle doppelten Überprüfungen Listenregisterkarte aus einem DUP-NR. Datensatz.
        Mit dieser Liste können Sie eine Massenbearbeitung der doppelten Datensätze und der zugehörigen VIT-Datensätze durchführen.