Ansicht Vulnerability ResponseErkennungsdaten für angreifbare Elemente

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die vollständigen Daten, die von Ihren Drittanbieter-Scannerintegrationen mit erfasst wurden Vulnerability ResponseWerden auf den Registerkarten Erkennungen und erste Erkennungen in den Datensätzen angreifbarer Elemente (VIT) angezeigt. Sie wird auch in Erkennungsdatensätzen in der Liste „Erkennung angreifbarer Elemente“ in angezeigt Now Platform®Instanz.

    Vorbereitungen

    Drittpartei-Integrationen rufen Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, wie von den Scannern gemeldet. Erkennungsdaten werden mit angreifbaren Elementen gekoppelt, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn kein VI gefunden wird, wird ein neues erstellt. Erkennungen werden nur von Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden werden.

    Erforderliche Rolle:
    • sn_vuln.admin initiiert Integrationsausführungen und zeigt Erkennungsdaten für angreifbare Elemente an.
    • „sn_vul.Remediation_owner“ sind angreifbare Elemente zugewiesen, die aus Erkennungen angreifbarer Elemente erstellt wurden, und zeigt Daten in VI-Datensätzen an.

    Prozedur

    1. Um die Erkennungsdaten für angreifbare Elemente anzuzeigen, navigieren Sie zu einem Datensatz für angreifbare Elemente, und öffnen Sie ihn.
      Der Datensatz wird mit den Registerkarten „erste Erkennungen“ und „Erkennungen“ angezeigt.
      Hinweis:
      Daten, die zuvor auf der Registerkarte „Konfigurationsdetails“ angezeigt wurden, werden zusammen mit anderen Erkennungsdaten auf den Registerkarten „erste Erkennung“ und „Erkennungen“ angezeigt.
      Registerkarten „erste Erkennung“ und „Erkennungen“ im VI-Datensatz hervorgehoben.
    2. Klicken Sie auf Erkennungen Registerkarte.

      Wenn ein angreifbares Element aus den Ergebnissen eines Drittpartei-Scans erstellt wird, werden die Daten aus dem Scan im Erkennungsdatensatz angezeigt, wie in der folgenden Abbildung gezeigt.

      Registerkarte „Erkennungen“
      Jede Zeile im Abschnitt „Erkennungen angreifbarer Elemente“ stellt Daten aus einer eindeutigen Erkennung dar. In der Spalte „erste gefundene Elemente“ wird das Datum angezeigt, an dem das angreifbare Element erstmals vom Scanner erkannt wurde. In der Spalte „zuletzt gefunden“ wird das Datum der neuesten Erkennung angezeigt. Im Feld „Quelle“ wird der Scanner angezeigt, der die Daten abgerufen hat.
      Hinweis:
      Für Qualys, Mit Erkennungen angreifbarer Elemente sind die folgenden Felder im VI-Datensatz veraltet und werden nicht mehr ausgefüllt:
      • Qualys Schweregrad
      • Zuletzt aktualisiert von Quelle

      Auch für Qualys, Wie in der vorangehenden Abbildung gezeigt, wird der Wert aus dem Scan für Ergebnisse in der Nachweisspalte im Erkennungsdatensatz angezeigt, wenn ein VI aus einem Scan erstellt wird. Dieser Wert wird jedoch nicht im oberen Teil des VI-Datensatzes angezeigt.

      Wenn für Rapid7 ein VI aus einem Scan erstellt wird, kann der Wert für den Nachweis aus dem Scan sowohl in der Nachweisspalte im Erkennungsdatensatz als auch im oberen Teil des VI-Datensatzes angezeigt werden, aber nicht standardmäßig. Um diesen Wert im oberen Teil des VI-Datensatzes anzuzeigen, wählen Sie im Formularlayout das Nachweisfeld aus.

    3. Wahlweise: Führen Sie die folgenden Schritte aus, um das Layout der Registerkarte „Erkennungen“ im Datensatz zu konfigurieren.
      1. Die folgenden Spalten werden standardmäßig auf der Registerkarte „Erkennungen“ angezeigt.
        • Status
        • Zuerst gefunden (Daten)
        • Zuletzt gefunden (Datum)
        • DNS-Name
        • Net BIOSName
        • IP-Adresse
        • Anzahl Ermittlungen
        • Port
        • Protokoll
        • Nachweis
        • SSL
        Hinweis:

        Hinweis: Wenn in einer Spalte kein Wert vorhanden ist, wurden die Daten für dieses Feld vom Scanner nicht erkannt.

      2. Klicken Sie auf das Zahnradsymbol ( Zahnradsymbol), um Ihre Ansicht zu personalisieren.
      3. Wählen Sie die Spalten aus dem Slushbucket aus, um bestimmte Daten anzuzeigen, und klicken Sie auf OK .
    4. Wenn die Registerkarte Erkennungen ausgewählt ist, klicken Sie in der Spalte Status auf ein Element, um den Erkennungsdatensatz zu öffnen und die Details anzuzeigen, die diesem angreifbaren Element zugeordnet sind, einschließlich einer Lösungszusammenfassung (nur Rapid7-InsightVM-Integration).
      Abbildung : 1. Qualys Erkennungsdatensatz
      Erkennungsdatensatz
      Abbildung : 2. Rapid7-Erkennungsdatensatz
      Rapid7-Erkennungsdatensatz mit Lösung
    5. Kehren Sie zum Datensatz zurück, und wählen Sie die Registerkarte „erste Erkennung“ aus.

      Auf der Registerkarte „anfängliche Erkennungen“ werden die Daten angezeigt, die beim ersten Auftreten der Erkennung vom Scanner der Drittpartei importiert wurden. Diese Informationen auf der Registerkarte „erste Erkennung“ ändern sich nicht, wenn Erkennungsdaten aktualisiert werden.

      Registerkarte „anfängliche Erkennungen“
    6. Wahlweise: Navigieren Sie zu Erkennungen angreifbarer Elemente, um die Erkennungsliste für angreifbare Elemente anzuzeigen.

      Die Liste der Erkennung angreifbarer Elemente wird angezeigt. Jede Zeile in der Liste der Erkennungen angreifbarer Elemente stellt eine eindeutige Erkennung dar. Die Spalten zeigen dieselben Daten wie der VI-Datensatz an.

      Erkennungsliste

      Erkennungen werden nur von Daten geöffnet oder geschlossen, die von einem Scanner gefunden werden, sie werden nicht von VIS heruntergerollt. Wenn Erkennungen importiert werden, werden sie verwendet, um VIS zu erstellen und die status von VIS​zu aktualisieren Wenn alle Erkennungen für ein angreifbares Element geschlossen sind, wird dieses angreifbare Element geschlossen. Im VI-Datensatz ist der Status Geschlossen , Und der Substatus ist Behoben .

      Hinweis:
      Fehler werden protokolliert während:
      • Vom Scanner abgerufene Anhänge werden verarbeitet.
      • Erstellen oder Aktualisieren von Erkennungen oder angreifbaren Elementen.
      Informationen zur Behandlung von Erkennungsfehlern finden Sie unter Fehlerbehandlung für Erkennungen.

      Wenn alle VIS für eine Korrekturaufgabe geschlossen sind, wird die Korrekturaufgabe geschlossen.

      Geschlossene VIS mit einem Substatus von Behoben Oder Veraltet Werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die VIS mit der neuen Schwachstelle abgeglichen werden können.

      Angreifbare Elemente auf festgelegt Gelöst In Ihrer Instanz, aber nicht zu übergegangen Geschlossen/Behoben Durch die nachfolgenden Integrationsausführungen werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

      Wenn alle VIS für eine Korrekturaufgabe geschlossen sind, wird der Datensatz geschlossen.

      Angreifbare Elemente, die in Ihrer Instanz auf „gelöst“ festgelegt sind, aber nicht durch die nachfolgenden Integrationsausführungen in „Geschlossen/behoben“ geändert wurden, werden erneut geöffnet, wenn sie während erneuter Scans erkannt werden.

      Für Rapid7Erkennungen ist jetzt auf der Rapid7-Konfigurationsseite in Ihrer Instanz eine Option verfügbar, um gelöste VIS nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden VIS auf festgelegt Gelöst Aber dann nicht zu übergegangen Geschlossen/Behoben Durch nachfolgende Scans geht zurück zu Offen Nach der von Ihnen eingegebenen Anzahl von Tagen.

      Für QualysErkennungen, wenn der Scanner weiterhin VIS findet, die auf „gelöst“ festgelegt wurden, aber dann nicht zu übergegangen wurden Geschlossen/Behoben Durch nachfolgende Scans werden diese VIS zurück zu verschoben Offen Wenn das letzte gefundene Datum nach dem Lösungsdatum liegt.

    Nächste Maßnahme

    Um weitere Daten anzuzeigen, einschließlich der Element- und Erkennungsanzahlen, können Sie Verifizieren Vulnerability ResponseErkennungsdaten für angreifbare Elemente in Integrationsausführungs-Datensätzen (VINTRUN).