Veraltete Erkennungen in werden geschlossen Vulnerability Response

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 8 Minuten Lesedauer

    • Das Modul „veraltete Erkennungen automatisch schließen“ hilft Ihnen, ältere, veraltete angreifbare Erkennungen automatisch zu bereinigen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden. Durch das Verschieben dieser Erkennungen in „Geschlossen“ wird die Anzahl der aktiven angreifbaren Elemente und Korrekturaufgaben in Ihrem reduziert ServiceNow AI Platform Instanz und hilft Ihnen beim Abgleich von Assets in Ihrer CMDB.

    Übersicht und wichtige Begriffe

    Um die Rollup-Erkennungsdaten für Ihre angreifbaren Elemente genauer zu gestalten, hilft Ihnen das Modul „veraltete Erkennungen automatisch schließen“, ältere Erkennungen für veraltete angreifbare Elemente zu bereinigen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden. Weitere Informationen zu dieser Funktion finden Sie im Anwendungsfall unten.

    In vorherigen Versionen von Vulnerability Response, Das Modul „angreifbare Elemente automatisch schließen“ hat angreifbare Elemente, die nicht kürzlich von Ihren Drittanbieter-Scannerintegrationen gefunden oder aktualisiert wurden, automatisch auf „Geschlossen – Veraltet“ gesetzt.

    Bevor Sie die Funktion „veraltete Erkennungen automatisch schließen“ aktivieren, überprüfen Sie die folgenden Begriffe, wie status für angreifbare Elemente und Korrekturaufgaben zusammengefasst werden, und die Voraussetzungen für Ihre Drittpartei-Integrationen, die Erkennungsdaten importieren.

    Informationen zum Aktivieren der Funktion finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

    Wichtige Begriffe

    Veraltete Erkennungen
    Bezieht sich auf Erkennungen, die angreifbaren Elementen in zugeordnet sind ServiceNow AI Platform® Instanzen, die veraltet sind und von Integrationsscans von Drittparteien seit längerer Zeit nicht gefunden, aktualisiert oder erkannt wurden.
    Zuletzt gefundene Erkennungen
    Diese Suchoption verwendet ein Datum und eine Uhrzeit, die vom Scanner des Drittanbieters bereitgestellt werden. Dieser Begriff bezieht sich auf das aktuellste oder späteste Datum und die Uhrzeit, zu der Erkennungen vom Scanner erneut gefunden wurden.
    Zuletzt gescannte Assets
    Diese Suchoption verwendet ein Datum und eine Uhrzeit, die vom Scanner des Drittanbieters bereitgestellt werden. Dieser Begriff bezieht sich auf das aktuelle Datum und die Uhrzeit, zu der ein Asset zuletzt von einem Scanner einer Drittpartei gescannt wurde.

    Anwendungsfall

    Manchmal können Assets (Konfigurationselemente) in Ihrer Umgebung außer Betrieb genommen oder von Drittanbieterscannern gelöscht werden, und ihre zugehörigen Erkennungen werden nicht durch Erkennungen angreifbarer Elemente aktualisiert. Daher werden die Erkennungen und die zugehörigen angreifbaren Elemente in nicht aktualisiert Vulnerability Response Anwendung, und sie werden inaktiv (veraltet).

    Um diese veralteten Erkennungen mit unveränderten Daten zu angreifbaren Elementen zu schließen und die Anzahl der aktiven VIS- und Korrekturaufgaben (RTS) zu reduzieren, aktivieren Sie das automatische Schließen veralteter Erkennungen. Diese Funktion schließt automatisch Erkennungen angreifbarer Elemente, die von Ihren Scannerintegrationen von Drittanbietern nicht kürzlich gefunden oder aktualisiert wurden, basierend auf Suchkriterien und einem von Ihnen festgelegten Alter in Tagen.

    Angenommen, ein bestimmtes Konfigurationselement (Configuration Item, CI) hat mehrere Asset-IDs, und eine dieser IDs wurde in den letzten 90 Tagen nicht bei einer Erkennung von einem Scanner eines Drittanbieters importiert. Diese Funktion schließt automatisch diese Erkennung, die keine neuen Schwachstellendaten enthält, sodass das zugehörige VI geschlossen werden kann.

    Da einem VI mehr als eine Erkennung zugeordnet sein kann, übergeht diese Funktion nur die Erkennungen, die durch die von Ihnen festgelegten Parameter als veraltet festgelegt wurden. Wenn einem VI beispielsweise vier Erkennungen zugeordnet sind und zwei Erkennungen veraltet sind, d. h. dass in den letzten 90 Tagen keine neuen Schwachstellendaten importiert wurden, schließt diese Funktion nur die veralteten Erkennungen. Bevor das VI geschlossen werden kann, müssen Sie zuerst die beiden anderen offenen Erkennungen korrigieren.

    Rollup der erkennungsstatus zu VIS

    Um die automatisch geschlossenen Erkennungen von Erkennungen zu unterscheiden, die von Drittanbieterscannern geschlossen wurden, wurde ein neuer Wert für das Feld Status, Veraltet, hinzugefügt. Die möglichen Werte für dieses Feld sind Offen, Geschlossen und Veraltet. Veraltet gibt an, dass eine Erkennung durch die Erkennungsfunktion zum automatischen Schließen geschlossen wurde.

    Statusvorrang: „Offen“ > „Geschlossen“ > „Veraltet“.

    1. Wenn Erkennungen offen sind, bleibt der zugeordnete VI-Status offen.
    2. Wenn keine Erkennungen offen sind, einige geschlossen sind und einige veraltet sind, wechselt der zugehörige VI-Status in „Geschlossen – behoben“.
    3. Wenn alle Erkennungen veraltet sind, wechselt der zugeordnete VI-Status in Geschlossen – Veraltet.

      Beginnend mit Vulnerability Response20.0: Wenn die Erkennung veraltet ist und sich das zugehörige VI im Status Geschlossen befindet, wechselt der Status des VI nicht in Geschlossen – Veraltet. Dadurch soll verhindert werden, dass das VI erneut geöffnet wird, wenn eine neue Erkennung identifiziert wird, sodass Sie vermeiden können, dass der gesamte falsch positive Anforderungs- und Genehmigungsprozess durchlaufen wird. Um dieses Verhalten umzukehren, deaktivieren Sie Veraltete Erkennungen für geschlossene VIS ignorieren Kontrollkästchen im Formular „Konfiguration automatisch schließen“. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

    Rollup von VI-status zu Korrekturaufgaben (VUL)

    Statusvorrang: Offen > Geschlossen – behoben > Geschlossen – Veraltet.

    1. Wenn VIS in einer ANGREIFBAREN Aufgabe (Korrekturaufgabe) „Offen“ sind, wird der Status „UNGÜLTIG“ nicht geändert.
    2. Wenn mindestens ein VI „Geschlossen – behoben“ ist und der Rest „Geschlossen – Veraltet“ ist, wechselt der Status „ANFECHTEN“ in „Geschlossen – behoben“.
    3. Wenn alle VIS in einer ANFECHTUNG geschlossen – Veraltet sind, wechselt der Status „ANFECHTUNG“ in „Geschlossen – Abgebrochen“.
    4. Wenn ein VIS als „Geschlossen – falsch positiv“ geschlossen wird, wird der WIDERRUF nicht automatisch geschlossen.

    Weitere Informationen zu Status-Rollup- und Rolldown-Szenarien finden Sie unter . Status-Rollup- und Rollup-Szenarien.

    Erkennungen und Integrationsanforderungen von Drittparteien automatisch schließen

    Microsoft TVM-Anwender und Erkennung veralteter Elemente automatisch schließen

    Prüflistenelement Beschreibung
    Die Microsoft TVM-Schwachstellenintegration Mit der Microsoft TVM Vulnerability Integration, wenn Sie auswählen Zuletzt gefundene Erkennungen Um Ihre Suche auf zu basieren, erfordert diese Funktion eine erfolgreiche Ausführung der Microsoft TVM Machine Vulnerabilities Integration (vollständiger Import) innerhalb der letzten sieben Tage. Diese Integration wird wöchentlich ausgeführt.

    Wenn das automatische Schließen veralteter Erkennungen aktiviert und für konfiguriert sind Zuletzt gefundene Erkennungen , Und die Microsoft TVM-Computer-Schwachstellen-Integration deaktiviert ist oder ein Datenimport innerhalb der letzten sieben Tage nicht erfolgreich abgeschlossen wurde, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, einige veraltete Erkennungen werden jedoch möglicherweise nicht wie erwartet geschlossen.

    Wenn Sie auswählen Zuletzt gescannte Assets Um Ihre Suche auf zu basieren, ist die Ausführung der Integration von Microsoft TVM-Rechnerschwachstellen nicht erforderlich.

    So aktivieren Sie diese Integration:

    1. Navigieren zu Microsoft TVM-Schwachstellenintegration > Administration > Integrationan.
    2. Suchen und aktivieren Sie Integration von Microsoft TVM-Computer-Schwachstellen (vollständiger Import) .
    (Optional) Stellen Sie mehrere Instanzen der Microsoft TVM-Integrationen in Ihrer Umgebung bereit. Sie können optional mehrere Instanzen der Integrationen in Ihrer Umgebung bereitstellen.

    Das automatische Schließen veralteter Erkennungen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden in Instanzen, die erfolgreich abgeschlossen wurden, automatisch in „Veraltet“ überführt.

    Wenn das automatische Schließen veralteter Erkennungen aktiviert ist und Sie die Integrationen deaktivieren, die wöchentlich in einer Instanz ausgeführt werden, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, einige Erkennungen werden jedoch möglicherweise nicht wie erwartet automatisch in Veraltet übergehen.

    Qualys Anwender und veraltete angreifbare Elemente automatisch schließen

    • Beliebig aktiviert Qualys Drittpartei-Integrationen, die Erkennungsdaten abrufen, können mit diesem Modul ausgeführt werden. Es gibt keine spezifischen Qualys Anwendungen erforderlich.
    • Sie können optional mehrere Instanzen von bereitstellen Qualys Integrationen in Ihrer Umgebung.
    • Das automatische Schließen veralteter Erkennungen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden in allen Instanzen automatisch in veraltet überführt.

    Rapid7 Anwender und veraltete Erkennungen automatisch schließen

    Prüflistenelement Beschreibung
    Die Rapid7 Schwachstellenintegration Wenn Sie auswählen Zuletzt gefundene Erkennungen Um Ihre Suche auf zu basieren, erfordert diese Funktion die erfolgreiche Ausführung eines der Rapid7 Umfassende Integrationen angreifbarer Elemente innerhalb der letzten sieben Tage. Diese umfassenden Integrationen werden wöchentlich ausgeführt:
    • Für Rapid7 Nexpose Data Warehouse, eine erfolgreiche Ausführung aus dem Rapid7 Umfassende Integration angreifbarer Elemente ist erforderlich.
    • Für Rapid7 InsightVM, Eine erfolgreiche Ausführung von Rapid7 Umfassende Integration angreifbarer Elemente – API ist erforderlich.

    Wenn das automatische Schließen veralteter Erkennungen aktiviert und für konfiguriert ist Zuletzt gefundene Erkennungen , Und Rapid7 Umfassende Integrationen angreifbarer Elemente sind deaktiviert, oder ein Datenimport wurde innerhalb der letzten sieben Tage nicht erfolgreich abgeschlossen. Die geplante Aufgabe zum Schließen von Erkennungen wird weiterhin täglich ausgeführt, einige veraltete Erkennungen werden jedoch möglicherweise nicht wie erwartet geschlossen.

    Wenn Sie auswählen Zuletzt gescannte Assets Um Ihre Suche auf zu basieren, keine umfassende Rapid7 Integrationsausführung ist erforderlich.

    So aktivieren Sie diese Integrationen:

    1. Navigieren zu Rapid7 Vulnerability-Integration > Administration > Integrationan.
    2. Suchen und aktivieren Sie Rapid7 Umfassende Integration angreifbarer Elemente, die Sie benötigen.
    Hinweis:

    Zusätzlich zu diesen Integrationen, die wöchentlich ausgeführt werden, Rapid7 Nexpose Und Rapid7 InsightVM Jedes hat VI-Integrationen, die täglich ausgeführt werden, die Rapid7-Integration für angreifbare Elemente und die Rapid7-Integration für angreifbare Elemente – API.

    Wenn sowohl täglich als auch wöchentlich Rapid7 Integrationen sind aktiviert, es wird jeweils nur eine Integration ausgeführt. Wenn einer dieser Integrationsaufträge ausgeführt wird, wird der Auftrag für die andere Integration bis zur nächsten geplanten Aufgabe übersprungen.
    (Optional) Stellen Sie mehrere Instanzen von bereit Rapid7 Integrationen in Ihrer Umgebung. Sie können optional mehrere Instanzen der umfassenden Integrationen in Ihrer Umgebung bereitstellen.

    Das automatische Schließen veralteter Erkennungen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden in Instanzen, die erfolgreich abgeschlossen wurden, automatisch in „Veraltet“ überführt.

    Wenn das automatische Schließen veralteter Erkennungen aktiviert ist und Sie die Integrationen deaktivieren, die wöchentlich in einer Instanz ausgeführt werden, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, einige Erkennungen werden jedoch möglicherweise nicht wie erwartet automatisch in Veraltet übergehen.

    Tenable-Schwachstellenintegrationsanwender und veraltete angreifbare Elemente automatisch schließen

    • Alle aktivierten Integrationen aus der Tenable-Schwachstellenintegration, die Erkennungsdaten abrufen, können mit diesem Modul ausgeführt werden. Es sind keine spezifischen Tenable-Schwachstellenintegrationen erforderlich.
    • Sie können optional mehrere Instanzen der Tenable-Schwachstellenintegration in Ihrer Umgebung bereitstellen.
    • Das automatische Schließen veralteter Erkennungen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden automatisch zu übergehen Veraltet Auf allen Instanzen.

    Nachdem Sie überprüft haben, ob Ihre Integrationen ordnungsgemäß konfiguriert sind, finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response Zum Aktivieren der Funktion.

    Aktualisieren Sie Informationen von „veraltete angreifbare Elemente automatisch schließen“ auf „veraltete Erkennungen automatisch schließen“

    Wenn Sie für das Modul „veraltete Erkennungen automatisch schließen“ zuvor veraltete angreifbare Elemente automatisch schließen verwendet haben:
    • Der Wert für die Anzahl der Tage, die Sie für eingegeben haben Zuletzt gescannte Assets Die Option „veraltete angreifbare Elemente automatisch schließen“ wird automatisch für beibehalten Zuletzt gescannte Assets In „veraltete Erkennungen automatisch schließen“.
    • Der Wert für die Anzahl der Tage, die Sie für eingegeben haben Zuletzt gefundene angreifbare Elemente Die Option „veraltete angreifbare Elemente automatisch schließen“ wird automatisch für beibehalten Zuletzt gefundene Erkennungen In „veraltete Erkennungen automatisch schließen“.
    • Vorhandene offene Erkennungen mit angreifbaren Elementen als „Geschlossen – Veraltet“ werden gemäß den Konfigurationseinstellungen für das automatische Schließen in „Veraltet“ geändert, wenn Auto-Close Stale DetectionsDie geplante Aufgabe wird nach dem Upgrade ausgeführt.

    Rollup-Informationen

    • Wenn ein angreifbares Element vor dem Upgrade als veraltet geschlossen wurde und alle seine Erkennungen nach dem Upgrade als veraltet markiert sind, bleibt der VI-Status „Geschlossen – Veraltet“.
    • Wenn ein angreifbares Element vor dem Upgrade als veraltet geschlossen wurde und nur einige seiner Erkennungen nach dem Upgrade als veraltet markiert sind und der Rest vom Scanner geschlossen wurde, wechselt das angreifbare Element gemäß der Rollup-Logik zu Geschlossen – behoben.