Ausschlussregeln – Übersicht

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Ausschlussregeln bieten eine Möglichkeit, Erkennungen während des Erfassungsprozesses in zu filtern oder auszuschließen, dass sie in angreifbare Elemente (Vits) konvertiert werden Vulnerability Response.

    Diese Regeln können für verschiedene Szenarien eingerichtet werden, z. B.:
    • Ausschließen von Schwachstellen mit niedrigem Schweregrad oder Risiko, die keine sofortige Korrektur erfordern.
    • Verbesserung des Korrekturprozesses durch Priorisierung der kritischsten Vits für Maßnahmen.
    • Reduzierung der Verarbeitungszeit während des Datenimports, indem ein Prozentsatz der Erkennungen aus der VIT-Konvertierung ausgeschlossen wird.
    Während des Prozesses der Datenerfassung gibt es unterschiedliche Ansätze für die Handhabung neuer und vorhandener Erkennungen.
    • Für neue Erkennungen:
      • Wenn eine neue Erkennung die Bedingungen einer Ausschlussregel nicht erfüllt, wird eine Erkennung mit den Vits erstellt.
      • Wenn eine neue Erkennung die Bedingungen einer Ausschlussregel erfüllt, wird die Regel der Erkennung zugeordnet, VIT wird jedoch nicht erstellt. Füllen Sie die Referenz für die übereinstimmende Ausschlussregel im Erkennungsdatensatz aus​. Die Spalte „Ausschlussregel“ wird im Erkennungsdatensatz entsprechend mit der Referenz für die Ausschlussregel ausgefüllt.
    • Für vorhandene Erkennungen:
      • Wenn die Erkennung die Bedingungen einer Ausschlussregel nicht erfüllt, wird mit dem normalen Workflow fortgefahren.
      • Wenn eine vorhandene Erkennung den Bedingungen einer Ausschlussregel entspricht, bleibt das dieser Erkennung zugeordnete VIT im aktuellen Status, die Regel wird jedoch der Erkennung zugeordnet. Der Status des VIT wird durch den in definierten Wert bestimmt sn_vul.close_vit_with_excluded_detectionsEigenschaft. Standardmäßig ist der Wert in dieser Eigenschaft auf „falsch“ festgelegt. Wenn der Wert auf „falsch“ festgelegt ist, werden die Erkennungen unter einem VIT ausgeschlossen, und der Status der Vits bleibt im aktuellen Status. Wenn der Wert jedoch auf „wahr“ festgelegt ist, können die folgenden Szenarien auftreten:
        • Wenn jede Erkennung unter einem VIT ausgeschlossen ist, wird der Status des VIT in „als ausgeschlossen geschlossen“ aktualisiert.
          Hinweis:
          Ab v22.1.2 von Vulnerability ResponseEin neuer Substatus namens „Ausgeschlossen“ wurde hinzugefügt.
        • Wenn eine Erkennung als geschlossen markiert ist, während die verbleibenden ausgeschlossen sind, wird die VIT als „Geschlossen behoben“ festgelegt.
        • Wenn das VIT offene Erkennungen hat, bleibt das VIT offen.