Veraltete Erkennungen in automatisch schließen Vulnerability Response

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Aktivieren Sie das automatische Schließen veralteter Erkennungen, um veraltete angreifbare Erkennungen automatisch zu schließen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.Vulnerability_admin oder sn_vuln.admin (veraltet) oder ein Schwachstellenmanager mit der granularen Rolle sn_vul.manage_Auto_close_stale_VI.

    Weitere Informationen zu dieser Funktion, wichtigen Begriffen und allen Setups, die möglicherweise für Ihre Drittanbieterintegrationen erforderlich sind, die Erkennungsdaten importieren, finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response Weitere Informationen finden Sie unter .

    Hinweis:
    Die im folgenden Verfahren bereitgestellten Informationen gelten nur für Versionen vor v22.0 von Vulnerability Response. Ab v22.0 von Vulnerability Response, Sie haben die Möglichkeit, zusätzliche Suchoptionen zu konfigurieren. Weitere Informationen finden Sie unter Erstellen Sie Regeln für das automatische Schließen.

    Prozedur

    1. Navigieren zu Vulnerability Response > Administration > Konfiguration für automatisches Schließen > Veraltete Erkennungenan.
      Das Formular „veraltete Konfiguration automatisch schließen“ wird angezeigt.
    2. Füllen Sie die Felder aus.
    3. Für Veraltete Erkennungen basierend auf automatisch schließen Wählen Sie eine Option für Ihre Suche aus.
      Beide Suchen entsprechen dem Alter älterer, veralteter Erkennungen in Tagen zu einem von Ihrem Scanner angegebenen Datum.
      Hinweis:
      Beginnend mit v22.0 von Vulnerability Response, Die Optionen Zuletzt gefundene Erkennungen Und Zuletzt gescannte Assets Werden als Liste erstellt.
      • Zuletzt gefundene Erkennungen . Diese Option sucht nach dem aktuellsten oder neuesten Datum, an dem Erkennungen vom Scanner erneut gefunden wurden.
        Hinweis:
        Für Rapid7 Und Microsoft TVM-Anwender wird eine Warnmeldung angezeigt, dass aktuelle Erkennungsinformationen erforderlich sind.

        Wenn Sie auswählen Zuletzt gefundene Erkennungen Um Ihre Suche auf zu basieren, erfordert diese Funktion eine erfolgreiche Integrationsausführung von einem der Rapid7 Umfassende Integrationen angreifbarer Elemente innerhalb der letzten sieben Tage.

        Wenn Sie auswählen Zuletzt gefundene Erkennungen Damit Ihre Suche auf basiert, erfordert diese Funktion eine erfolgreiche Integrationsausführung der Microsoft TVM-Computer-Schwachstellen-Integration (vollständiger Import) innerhalb der letzten sieben Tage.

      • Zuletzt gescannte Assets . Diese Option sucht nach dem aktuellen Datum, an dem ein Asset zuletzt von einem Scanner einer Drittpartei gescannt wurde.
    4. Für Rapid7 Und Microsoft Nur TVM-Anwender. Überprüfen Sie, ob alle erforderlichen Integrationen aktiviert sind.
      Siehe Rapid7 Vulnerability-Integration verstehen und Verständnis der Integration von Microsoft Threat and Vulnerability Management Vulnerability, um weitere Informationen zu erhalten.
    5. Um das Modul zu aktivieren, klicken Sie auf das Kontrollkästchen aktiv, um es auszuwählen.
    6. In Zuletzt gefundene Erkennungen (vor Tagen) Geben Sie das Alter älterer, veralteter Erkennungen in der Anzahl der Tage ein.

      Der Standardwert ist 90 Tage. Sie können einen beliebigen positiven Wert für die Anzahl der Tage eingeben. Dieser Wert wird verwendet, um einem von Ihrem Scanner bereitgestellten Datum zu entsprechen. Mit 90 und Zuletzt gefundene Erkennungen Angezeigt werden alle Erkennungen, die in den letzten 90 Tagen nicht gefunden wurden, automatisch geschlossen. Mit 90 und Zuletzt gescannte Assets Angezeigt werden alle Erkennungen, die Assets zugeordnet sind, die in den letzten 90 Tagen nicht gescannt wurden, automatisch geschlossen.

      Hinweis:

      Es besteht eine Beziehung zwischen Zuletzt gefundene Erkennungen/zuletzt gescannte Assets (vor Tagen) Feld für diese Funktion und den Importieren seit Feld in der Rapid7 Comprehensive Angreifbare Item Integration – API und der Microsoft TVM Machine Vulnerabilities Integration.

      Für diese Integrationen Importieren seit Das Feld auf den Konfigurationsseiten ist standardmäßig leer.

      Wenn Sie keinen Wert eingeben oder das Feld keinen Wert hat, werden die Daten für die Anzahl der in konfigurierten Tage angezeigt Zuletzt gefundene Erkennungen/zuletzt gescannte Assets (vor Tagen) Feld wird verwendet.

      Beispiel: Die Anzahl der Tage, die im Konfigurationsformular für das automatische Schließen definiert sind 90 , Und Importieren seit Das Feld ist auf den Integrationskonfigurationsseiten leer, dann importiert die erste Integrationsausführung die Daten der letzten 90 Tage. Die Importieren seit Felder für Rapid7 Umfassende Integration angreifbarer Elemente – API und die Integration von Microsoft TVM-Computer-Schwachstellen können bearbeitet werden, sodass Sie auch beliebige Werte angeben können. Der Wert für 90 Tage wird als Standard bereitgestellt, wenn das Feld leer bleibt, damit die Funktion zum automatischen Schließen die falsch positiven Ergebnisse nicht schließt.

      Diese Beziehung zwischen diesen Feldern gilt nur für die erste Integrationsausführung. Ändern Sie danach Zuletzt gefundene Erkennungen/zuletzt gescannte Assets (vor Tagen) Das Feld im Formular „veraltete angreifbare Erkennungen automatisch schließen“ wirkt sich nicht auf aus Importieren seit Feld auf den Integrationskonfigurationsseiten. Das Feld wird in die Startzeit der ersten Ausführung geändert, sodass bei der nachfolgenden Integration nur die Delta-Informationen importiert werden.

    7. Wahlweise: Wählen Sie aus Veraltete Erkennungen für zurückgestellte VIS ignorieren Kontrollkästchen zum Ignorieren veralteter Erkennungen, die zurückgestellten VIS oder VIS zugeordnet sind, die derzeit für die Zurückstellung überprüft werden.

      Wenn Sie diese Option deaktiviert lassen, werden alle Erkennungen, die Ihren Kriterien entsprechen, geschlossen, die zurückgestellten VIS zugeordnet sind, oder VIS, die zur Zurückstellung überprüft werden. Die zurückgestellten VIS oder VIS, die überprüft werden und diesen Erkennungen entsprechen, werden ebenfalls basierend auf der Rollup-Logik automatisch geschlossen. Weitere Informationen zur Rollup-Logik finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response Und Status-Rollup- und Rollup-Szenarien.

      Wenn Sie diese Option aktivieren, werden alle Erkennungen, die Ihren Kriterien entsprechen, die zurückgestellten VIS oder VIS zugeordnet sind, die für eine Zurückstellung überprüft werden, beim automatischen Schließen übersprungen.

    8. Wahlweise: Deaktivieren Sie Veraltete Erkennungen für geschlossene VIS ignorieren Kontrollkästchen.

      Standardmäßig ist dieses Kontrollkästchen aktiviert, damit das geschlossene VI nicht erneut geöffnet wird, wenn eine neue Erkennung im Zusammenhang mit diesem geschlossenen VI identifiziert wird. Weitere Informationen zur Rollup-Logik finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response Und Status-Rollup- und Rollup-Szenarien.

    9. Klicken Sie auf Aktualisieren, um die Änderungen zu speichern.

      Die regelmäßige Auto-Close Stale Detections-Aufgabe wird täglich ausgeführt. Der Auftrag bestimmt, ob Sie das Datum ausgewählt haben, an dem Erkennungen zuletzt gefunden wurden, oder das Datum, an dem Assets zuletzt gescannt wurden. Anschließend werden die entsprechenden Erkennungen in den Status „Veraltet“ versetzt. Es ist wichtig zu beachten, dass die Funktion „Veraltete Erkennung automatisch schließen“ nur veraltete Erkennungen für aktive Integrationsinstanzen schließt. Angreifbare Elemente und Erkennungen, die aktiven Integrationsinstanzen zugeordnet sind, werden geschlossen. Ab v22.0 von Vulnerability Response Die geplante Aufgabe wurde geändert, um die allgemeine Tabelle [sn_vul_cmn_Auto_close_rule] zu berücksichtigen.

      Nachdem die Erkennungen als veraltet markiert wurden und der Scanner meldet, dass diese Erkennung erneut gefunden wird, wechselt das Feld Status der Erkennungen in Offen. Die entsprechenden angreifbaren Elemente der Erkennung werden ebenfalls erneut geöffnet.

      Wenn die Erkennung als veraltet markiert ist und der Scanner feststellt, dass sie behoben ist, wechselt die Erkennung außerdem zu Geschlossen. Für den Status wird auch ein Rollup zu den VIS durchgeführt.