Vulnerability Response Rechner und Regeln für Schwachstellenrechner

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Schwachstellenrechner automatisieren die Berechnung der Anfangswerte für die Felder in angreifbaren Elementen. Die Bedingung für jeden Rechner wird in der Reihenfolge ausgewertet, und der erste übereinstimmende Rechner wird verwendet.

    Schwachstellen-Rechner

    Die Vulnerability ResponseDas Basissystem enthält zwei Schwachstellenrechner, die die Basis festlegen Risikopunktzahl Für das angreifbare Element.
    • Standardrisikorechner
    • Schwachstellenschweregrad

    Schwachstellenrechner können erstellt werden, um die Auswirkungen angreifbarer Elemente basierend auf beliebigen Kriterien mithilfe von Bedingungsfiltern zu priorisieren und zu bewerten. Unabhängig davon, ob es sich um die Geschäftsauswirkung der Schwachstelle, die Klasse des Konfigurationselements (CI) oder das Alter des angreifbaren Elements handelt, können Sie zusätzliche Schwachstellenrechner erstellen, um andere Felder für angreifbare Elemente festzulegen. Oder Sie können die vorhandenen Schwachstellenrechner anpassen. Ein Rechner kann geschrieben werden, um einen beliebigen Satz von Prioritäten widerzuspiegeln. Siehe Erstellen Sie ein Vulnerability ResponseRechnerUnd Filtert innerhalb Vulnerability ResponseFür weitere Informationen.

    Darüber hinaus können Sie Attribute in Configuration_item [cmdb_ci] in der Konfigurationsverwaltungsdatenbank (CMDB) verwenden, um Logik für Ihre Rechner für das Risiko der Schwachstellenantwort zu erstellen. Wenn Sie beispielsweise feststellen, dass CIs, die in Ihrer Organisation nach außen gerichtet sind, angreifbarer sind und möglicherweise sofortige Korrektur erfordern, können Sie Attribute wie zuweisen Internet FacingFür diese CIs. Dieses Attribut und andere sind in den Release-Hinweisen des allgemeinen Servicedatenmodells für das Orlando-Familienrelease aufgeführt. Für aktuelle Informationen und Anleitungen zu CMDB, Siehe die folgenden Themen:

    Jeder Rechner enthält eine Liste von Rechnerregeln mit einer Bedingung, die bestimmt, wann sie angewendet werden sollen. Wenn der Rechner ausgeführt wird, wird die Bedingung für jede Rechnerregel in der Reihenfolge ausgewertet, und die erste übereinstimmende Rechnerregel wird verwendet.

    Die Schwachstellenschweregrad Der Rechner berechnet Risikopunktzahl Für angreifbare Elemente mit dem normalisierten Schwachstellenschweregrad.
    Hinweis:
    • Nur ein Rechner pro Zielfeld ( Risikopunktzahl ) Kann gleichzeitig aktiv sein. Schwachstellenschweregrad Ist standardmäßig deaktiviert.
    • Beginnend mit v23.0 von Vulnerability Response, Wenn die Risikopunktzahl für ein VIT aktualisiert wird, wird Notizen Abschnitt wird mit den folgenden Details aktualisiert:
      • Rechnergruppenname
      • Rechnername: Je nachdem, ob die Rechnerregel auf einer Vorlage oder einem Skript basiert, wird der Name mit den Details in Klammern angehängt. Um die Basis der Rechnerregel zu ändern oder anzuzeigen, klicken Sie auf eine beliebige Regel, und wählen Sie aus Erweiterte Ansicht Kontrollkästchen. Von Werttyp Wählen Sie die erforderliche Option aus. Wenn Vorlage ausgewählt ist, wird die Risikopunktzahl gemäß der in der Regel angegebenen Bedingung aktualisiert. Wenn Skript ausgewählt ist, können Sie das vorhandene Skript entweder hinzufügen oder aktualisieren.

        Die Systemeigenschaft sn_sec_cmn.risk_score_changes_add_worknotesHilft beim Ausfüllen des Abschnitts „Arbeitsnotizen“. Beginnend mit v25.0.3 von Vulnerability Response, Die Systemeigenschaft ist standardmäßig inaktiv. Wenn Sie sie aktivieren, können Sie nur alle Änderungen im Zusammenhang mit der Risikopunktzahl anzeigen.

    Alle aktivierten Schwachstellenrechner legen die ausgewählten Felder jedes Mal fest, wenn ein angreifbares Element erstellt wird, wenn sich ein zugehöriges CI oder eine Schwachstelle ändert oder wenn sich ändert Berechnen Sie Die Risikopunktzahl Zugehöriger Link in einem angreifbaren Element wird verwendet. Beispielsweise wird die Risikopunktzahl in Datensätzen angreifbarer Elemente automatisch aktualisiert, wenn der Schweregradwert für eine importierte Schwachstelle aktualisiert wird. Nachdem ein Schwachstellenimport eine Schwachstellenpunktzahl aktualisiert hat, ist die Kennzeichnung „Neu berechnen“ für diese Schwachstelle aktiviert. Die Risikopunktzahlen für die angreifbaren Elemente, für die die Kennzeichnung „Neuberechnung“ für diese Schwachstelle aktiviert ist (wahr), werden neu berechnet.

    In einem vorhandenen angreifbaren Element, wenn Sie auf klicken Berechnen Sie Die Risikopunktzahl Zugehöriger Link und einer der Rechner ist aktiviert, der Risikopunktzahl Feld im angreifbaren Element wird aktualisiert.
    Hinweis:
    • Die Berechnen Sie Die Risikopunktzahl Der zugehörige Link ist nur sichtbar, wenn mindestens ein Schwachstellenrechner aktiviert ist.
    • Beginnend mit v22.0 von Vulnerability Response, Sie können die Risikopunktzahl für ein angreifbares Element in aktualisieren Vulnerability Manager WorkspaceUnd IT Remediation WorkspaceIndem Sie auswählen Berechnen Sie Die Risikopunktzahl Schaltfläche in der Datensatzansicht.
    • Ab Version 23,0 von Vulnerability Response, Wenn sich die Risikopunktzahl für ein VIT ändert, werden die folgenden Details im Abschnitt „Notizen“ des VIT dokumentiert:
      • Rechnergruppenname
      • Rechnername
      • Feldwerte mit ihrer Gewichtung und ihrem Beitrag zur Risikopunktzahl
      • Endgültige Risikopunktzahl

    Regeln des Schwachstellen-Rechners

    Der Basissystemrechner Standardrisikorechner Enthält die Regel Standardrisikoregel , Eine spezialisierte Regel für Schwachstellenrechner, die als bezeichnet wird Risikoregel . Wird berechnet Risikopunktzahl Basierend auf mehreren Werten:
    • Schwachstellenschweregrad
    • Exploit-Informationen
    • Relevanz
    • Externes Risiko des CI mit der Schwachstelle
    Sie können die Werte anpassen, die in verwendet werden sollen Standardrisikoregel Und wie viel Gewichtung jeder dieser Werte gegeben werden soll. Gewichtungen werden verwendet, um anzupassen, wie viel jedes Element beim Festlegen der Basis zählt Risikopunktzahl .

    Sie können die Kriterien für die Standardrisikoregel anpassen. Weitere Informationen finden Sie unter Definieren Sie Felder und Gewichtungen für die Risikoregel für Risikorechner für Schwachstellenantwort.

    Ein Beispiel dafür, wie Risikopunktzahlen für Risikoregelrechner bestimmt werden, finden Sie unter Beispiel für die Berechnung der Risikopunktzahl Vulnerability Response.

    Gewichtungsprozentsatz wird zugewiesen

    Sie können den Gewichtungsprozentsatz (0–100) auch auf der Feldebene zuweisen. Sie können beispielsweise jeder Schweregradstufe einen Gewichtungsprozentsatz zuweisen (keine bis Kritisch).

    Wenn die Schweregradgewichtung für die Risikoregel 50 beträgt und die folgenden Gewichtungswerte für die Schweregradstufe zugewiesen werden:
    Schwachstellenschweregrad Risikopunktzahl
    Kritisch 100
    Hoch 50
    Mittel 20
    Keine 0

    Wenn der Schweregrad „Kritisch“ ist, beträgt die entsprechende Gewichtung 50. Wenn der Schweregrad hoch ist, beträgt die äquivalente Gewichtung 25, und wenn der Schweregrad Mittel ist, beträgt die äquivalente Gewichtung 10. Wenn der Schweregrad „keine“ ist, ist die entsprechende Gewichtung 0. Weitere Informationen finden Sie unter Beispiel für die Berechnung der Risikopunktzahl Vulnerability Response.

    Regeleinstellungen für Schwachstellenrechner

    Jede Regel hat einen Reihenfolge Einstellung. Die erste, die den Bedingungen entspricht, aktualisiert jedoch Risikopunktzahl Feld im angreifbaren Element. Weitere Informationen zu Regeleinstellungen für Schwachstellenrechner finden Sie unter Erstellen Sie ein Vulnerability ResponseRechner. Nicht geskriptete Rechnerregeln verursachen normalerweise weniger Auswirkungen auf die Leistung als geskriptete Rechnerregeln.

    Das Basissystem Schwachstellenschweregrad Der Rechner enthält Rechnerregeln, die jedem Schweregrad (keine bis Kritisch) einen Wert (0–100) für zuweisen Risikopunktzahl Basierend auf Schweregrad. Unbekannter Schweregrad Wird automatisch eine Risikopunktzahl von 100 zugewiesen. Diese Werte können angepasst werden und z. B. Standardrisikorechner , Neue Rechnerregeln oder neue Risikoregeln können erstellt werden.

    Gewichtungen Der Schwachstellenrisikopunktzahl

    Allen Schwachstellen wird eine Risikopunktzahl und eine Bewertung basierend auf Faktoren wie Schweregrad, Relevanz, Ausnutzungsinformationen usw. zugewiesen. Die Business-Regel Update Risk Rating from Risk ScoreIn der Tabelle „angreifbare Elemente“ ist für die Berechnung der Risikobewertung verantwortlich. Wenn sich die Risikopunktzahl ändert, wird die Risikobewertung berechnet und für die angreifbaren Elemente ausgefüllt. Vor Version 17,1 von Vulnerability Response(VR)-Anwendung wurden die folgenden Risikobewertungen als Teil der Skripteinbindung bereitgestellt SchwachstellenUtils , Die hartcodiert waren.
    Wert (Risikobewertung) Gewichtung (Risikopunktzahl)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    Beginnend mit der Version 18,0 von Vulnerability Response,
    • Die Risikobewertungstypen werden in der Basistabelle als vr_Risk_Rating geliefert. Diese Typen werden als Teil der Business-Regel an jede Tabelle übergeben, in der die Risikobewertung berechnet wird.
    • Das Skript wird geändert, damit Sie die Einträge in den Tabellenwerten der Risikopunktzahlgewichtungen für die Berechnung der Risikobewertung abfragen können.
    • Fügen Sie zusätzliche Einträge für einen vorhandenen Typ hinzu, oder erstellen Sie einen neuen Typ. Wenn Sie einen neuen Typ erstellen, stellen Sie sicher, dass Sie die Bezeichnungen für die neue Risikobewertung hinzufügen und auch die zugehörigen Skripts und Business-Regeln ändern. Sie müssen auch einen neuen Stil für die neue Risikopunktzahl hinzufügen.
    • Ändern Sie das Skript, um die Datensätze in der Basistabelle abzufragen.
    Sie können auf die Tabelle „Risikopunktzahlgewichtungen“ zugreifen, indem Sie „sn_sec_cmn_risk_score_weight“ im Filternavigator eingeben.
    Darüber hinaus wird die Risikopunktzahl in den folgenden Szenarien automatisch neu berechnet:
    • Wenn ein Konfigurationselement (CI) von nicht mit Internetzugriff zu Internetzugriff wechselt.
    • Wenn die zugehörigen allgemeinen Schwachstellen und Risiken (CVEs) oder Drittparteieinträge (TPEs) in den Schwachstellen-Elementen (VIS) mit einer CVE-Schwachstelle mit Known Exploit (KEV) verknüpft sind.

    Tenable-Schwachstellenintegration und Tenable-Risikoregel

    Die Tenable-Risikoregel ist verfügbar mit Tenable Vulnerability Integration. Die Schwachstellenprioritätsbewertung (Vulnerability Priority Rating, VPR) ist ein Attribut aus dem Tenable-Produkt, das importiert und mit einem neuen Standardrisikorechner in verwendet wird Vulnerability Response. Die Tenable-Risikoregel wird mit installiert Vulnerability Response Integration with TenableAnwendung als Teil des Standardrisikorechners in den Schwachstellenrechnern von Vulnerability Response.

    Diese Risikoregel ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter Konfigurieren Sie die Tenable-Schwachstellenintegration mit dem Setup-Assistenten.