Mit Container Vulnerability Response installierte Komponenten
Mehrere Arten von Komponenten werden mit Aktivierung von installiert Container Vulnerability ResponseAnwendung, einschließlich Tabellen, Anwenderrollen und geplanten Aufgaben.
Für diese Funktion sind Demodaten verfügbar.
Beginnend mit v2.11 von Container Vulnerability Response, Die am häufigsten verwendeten Systemeigenschaften sind jetzt innerhalb von zugänglich Container Vulnerability ResponseAnwendung. Um diese Systemeigenschaften anzuzeigen, navigieren Sie zu Container Vulnerability Responsean.
Mit Container Vulnerability Response installierte Rollen
Rollen werden mit Aktivierung von hinzugefügt Container Vulnerability Response.
Persona und granulare Rollen sind verfügbar, um zu verwalten, was Anwender und Gruppen in sehen und tun können Vulnerability ResponseAnwendung. Eine erste Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie zu Vulnerability ResponsePersona-Rollen mit Setup-Assistent. Weitere Informationen zur Verwaltung granularer Rollen finden Sie unter Verwalten Sie Persona und granulare Rollen für Vulnerability Response.
Wenn Sie ein Upgrade-Kunde sind, hat sich der Zugriff für die Anwender und Gruppen, die Sie mit den Berechtigungen „sn_vul.Vulnerability_read“ und „sn_vul.Vulnerability_write“ vor v10.3 zugewiesen haben, nicht geändert. Anwender und Gruppen bleiben diesen Rollen zugewiesen, bis Sie sie ändern. Ab v10.3 können Sie jedoch granulare Rollen zuweisen, um mehr Kontrolle darüber zu erhalten, was Anwender und Gruppen in tun und sehen können Vulnerability ResponseAnwendung. Eine Übersicht und weitere Informationen zur Verwaltung dieser Rollen finden Sie unter Vulnerability Response Personas und granulare RollenUnd Verwalten Sie Persona und granulare Rollen für Vulnerability Response.
| Rollentitel [Name] | Beschreibung |
|---|---|
| V2.10: sn_vul_container.delete | Löscht Quelldatensätze. Enthält die Rollen sn_vul_cmn.delete und sn_vul_container.delete_vi. |
| sn_vul_container.ci_manager | Verwaltet die Neuklassifizierung nicht abgeglichener Konfigurationselemente (CIs). |
| sn_vul_container.configure_integrations | Konfiguriert Container-Integrationen. |
| sn_vul_container.configure_vi_granularity | Konfiguriert die Granularität angreifbarer Container-Elemente. |
| sn_vul_container.create_vi | Kann angreifbare Container-Elemente manuell erstellen. |
| sn_vul_container.delete_vi | Kann manuell erstellte angreifbare Container-Elemente löschen. |
| sn_vul_container.exception_approver | Genehmigt Ausnahmen, Zurückstellungen und Abschlüsse von angreifbaren Containerelementen. Enthält die sn_vul.view_manager_workspace-Rolle. |
| sn_vul_container.false_positive_approver | Genehmigt oder lehnt das Schließen angreifbarer Container-Elemente als falsch positiv ab. Enthält die sn_vul.view_manager_workspace-Rolle. |
| sn_vul_container.manage_assignment_rules | Definiert und aktualisiert Zuweisungsregeln für angreifbare Container-Elemente. |
| sn_vul_container.manage_auto_close_stale_vi | Konfigurieren Sie das automatische Schließen veralteter angreifbarer Container-Elemente |
| sn_vul_container.manage_auto_exception_rule | Verwalten (erstellen/lesen/aktualisieren/löschen) Ausnahmeregeln |
| sn_vul_container.manage_normalized_severity | Kann die Zuordnung aktualisieren, um den Schweregrad zu normalisieren. |
| sn_vul_container.manage_permissions | Kann Anwendern Rollen für die Antwort auf Container-Schwachstellen zuweisen. |
| sn_vul_container.manage_remediation_targ… | Definiert und aktualisiert Zielregeln für Containerkorrekturen. |
| sn_vul_container.manage_risk_score_confi... | Definiert und aktualisiert Risikopunktzahlrechner, Risikoregeln und Schwachstellen-Rollup-Rechner für angreifbare Container-Elemente. |
| sn_vul_container.read_all | Kann alle angreifbaren Container-Elemente und zugehörigen Informationen anzeigen. Enthält die sn_vul.view_manager_workspace-Rolle |
| sn_vul_container.read_assigned | Kann angreifbare Container-Elemente anzeigen, die Ihnen oder Ihren Gruppen zugewiesen sind, entweder in der klassischen Anwenderoberfläche oder IT Remediation Workspace. Enthält die sn_vul.view_rem_workspace-Rolle. Wichtig: Beginnend mit v24.0 von Vulnerability Response, Die sn_vul_container.read_assigned-Rolle hat die Berechtigung zum Zugriff auf IT Remediation Workspace. |
| sn_vul_container.read_assignment_rules | Kann Zuweisungsregeln für angreifbare Container-Elemente anzeigen. |
| sn_vul_container.read_auto_exception_rule | Lesen Sie Ausnahmeregeln |
| sn_vul_container.read_discovered_image | Kann erkannte Elemente anzeigen. |
| sn_vul_container.read_integrations | Kann Ergebnisse von Integrationsausführungen anzeigen. |
| sn_vul_container.read_normalized_severity | Kann die normalisierte Schweregradzuordnung anzeigen. |
| sn_vul_container.read_remediation_target... | Kann Korrekturzielregeln anzeigen. |
| sn_vul_container.read_risk_score_configu... | Kann Risikopunktzahlrechner, Risikoregeln und Schwachstellen-Rollup-Rechner für angreifbare Container-Elemente anzeigen. |
| sn_vul_container.remediation_owner | Liest und schreibt angreifbare Container-Elemente, die ihnen zugewiesen sind. Schwachstellendatensätze können auch von einem Anwender mit dieser Rolle gelesen werden. |
| sn_vul_container.update_assigned_to | Kann die Zuweisung angreifbarer Container-Elemente aktualisieren. Erfordert sn_vul_container.write_all oder sn_vul_container.write_assigned. |
| sn_vul_container.update_assignment_group | Kann Zuweisungsgruppe für angreifbare Container-Elemente aktualisieren. Erfordert sn_vul_container.write_all oder sn_vul_container.write_assigned. |
| sn_vul_container.update_state | Kann status angreifbarer Elemente aktualisieren. Erfordert sn_vul_container.write_all oder sn_vul_container.write_assigned. |
| sn_vul_container.vulnerability_admin | Konfiguriert alle Regeln, Integrationen usw. für Container Vulnerability ResponseProdukt. |
| sn_vul_container.vulnerability_analyst | Überwacht die Korrektur aller angreifbaren Container-Elemente. |
| sn_vul_container.write_all | Kann alle angreifbaren Container-Elemente und Korrekturaufgaben aktualisieren. |
| sn_vul_container.write_assigned | Kann angreifbare Container-Elemente oder Korrekturaufgaben aktualisieren, die mir oder meinen Gruppen zugewiesen sind. |
| sn_vul_container.read_watch_topic | Kann Überwachungsthemen für Container-Schwachstellen lesen. |
| sn_vul_container.create_watch_topic | Kann Überwachungsthemen für Container-Schwachstellen erstellen. |
| sn_vul_container.edit_watch_topic | Kann Überwachungsthemen für Container-Schwachstellen bearbeiten. |
| sn_vul_container.manage_exception_configuration | Kann Ausnahmeverwaltungskonfigurationen verwalten. |
Mit Container Vulnerability Response installierte Tabellen
Tabellen werden mit Aktivierung von hinzugefügt Container Vulnerability Response(CVR).
| Tabelle | Beschreibung |
|---|---|
| Container-Image-Ergebnis sn_vul_container_image_findings |
Speichert Informationen zu den zugehörigen Schwachstellen, der Image-Ebene, dem Docker-Image, dem Image-Repository und dem erkannten Image. Ab v2.11.3 von Container Vulnerability Response, Sie können auch den Pfad anzeigen, in dem das Ergebnis angezeigt wird. |
| Container-Image-Ebene sn_vul_container_image_layer |
Enthält die Informationen jeder Bildebene. Ein Image ist eine statische Datei mit ausführbarem Code, die einen Container auf einem Computersystem erstellen kann. |
| Container-Image-Paket sn_vul_container_image_package |
Stellt Informationen zu den Paketen bereit, in denen die Schwachstellen vorhanden sind. Die Binärpaketdetails werden auch als kommagetrennter Wert bereitgestellt. Ab v2.11.3 von Container Vulnerability Response, Sie können auch die Paket-URL (PURL) anzeigen. |
| Angreifbares Container-Element sn_vul_container_image_vulnerable_item |
Enthält Details zu jedem Ergebnis und der entsprechenden Schwachstelle. Ab v2.11.3 von Container Vulnerability Response, Sie können auch Informationen zum Datum des letzten Scans eines Bildes anzeigen, das als Container ausgeführt wird. |
| Schwachstelleneintrag (v2.11.3) sn_vul_entry |
Stellt Informationen zum Schweregrad eines CVE und alle zusätzlichen Informationen bereit, die von Prisma gesendet werden. |
| Erkanntes Container-Image sn_vul_container_image |
Stellt Informationen zur Image-ID, zum Docker-Image und zum Image-Repository bereit. Außerdem werden die Ebeneninformationen gespeichert und dem erkannten Bild zugeordnet. Ab v2.11.3 von Container Vulnerability Response, Enthält auch Informationen zum Bilddigest eines Docker-Images und zum Datum des letzten Scans eines Images, das als Container und Registrierung ausgeführt wird. |
| Ergebniszuordnungen sn_vul_container_finding_m2m_vul_item |
M2M-Beziehung der Container-Image-Ergebnisse und der angreifbaren Container-Elemente (CVITs). |
| Angreifbare Elemente automatisch schließen sn_vul_container_image_auto_close_config |
Enthält Informationen zum Schließen der Ergebnisse des veralteten Container-Images und zum Rollup des Status zu den CVITs. |
| Container-Image-Schwachstellenschlüssel sn_vul_container_image_vulnerability_keys |
Enthält die Granularität-Konfiguration für die Erstellung von CVITs aus den Container-Image-Ergebnissen. |
| Docker-bezogene Services sn_vul_container_m2m_ci_services |
Enthält alle Business-Services im Zusammenhang mit einem Container-Image. |
| Anzahlen der VR-Container sn_vul_container_vr_container_counts |
Enthält den rollierenden Durchschnitt der Containerinstanzen, die in den letzten 90 Tagen aus einem Container-Image abgeleitet wurden. |
| Element der Container-Korrekturaufgabe sn_vul_container_m2m_vul_group_item |
M2M-Tabelle zwischen CVIT- und Container-Korrekturaufgaben. |
| Container-Korrekturaufgabe sn_vul_container_vulnerability |
Enthält Container-Korrekturaufgaben. |
| Container-Korrekturaufgabe – Manifest sn_vul_container_rt_manifest |
Alle Aktualisierungen der Korrekturaufgabe werden mithilfe dieser Manifesttabelle nach geplanten Aufgaben vorgenommen. |
Mit Container Vulnerability Response installierte geplante Aufgaben
Geplante Aufgaben werden mit Aktivierung von hinzugefügt Container Vulnerability Response.
Für diese Funktion sind Demodaten verfügbar.
| Geplante Aufgabe | Beschreibung |
|---|---|
| Ordnen Sie vorhandene Container-VIS der automatischen Ausnahmeregel zu | Ordnet die automatische Ausnahmeregel automatisch vorhandenen angreifbaren Containerelementen (CVITs) zu. |
| Überprüfen Sie Den Ablauf Der Zurückstellung Des Angreifbaren Containerelements | Sendet Benachrichtigungen, wenn angreifbare Container-Elemente oder Container-Schwachstellen abgelaufen sind (und wenn sie in einer Woche ablaufen). |
| Anzahl der Container für Schwachstellenantwort (Anwendung – Schwachstellenantwort und Konfigurations-Compliance für Container) | Wird täglich ausgeführt, um die sn_vul_container_vr_container_counts-Tabelle auszufüllen, die den gleitenden 90-Tage-Durchschnitt für Container berechnet. |
| CVITs automatisch schließen | Schließt automatisch angreifbare Container-Elemente, die der in der Konfiguration für das automatische Schließen definierten Bedingung entsprechen. Ihr Status wird in „behoben“ geändert. |
| Geschäftsrelevanz für CVIT berechnen | Verarbeitet alle aktiven CVITs und aktualisiert das Feld „Geschäftsrelevanz“ basierend auf den betroffenen Services des Docker-Images des CVIT. |
| Schließen Sie CVITs abbrechen, denen kein Docker-Image zugeordnet ist | Läuft automatisch CVITs ab, denen kein CI zugeordnet ist. Ihr Status wird auf „Geschlossen“ und der Substatus auf „Abgebrochen“ festgelegt. |
| Berechnen Sie die zugehörigen VI-Anzahlen für die Container-Korrekturaufgabe | Berechnet die Anzahl in Datensätzen der Container-Korrekturaufgabe. |
| Rollup-Container-Werte für angreifbare Elemente zu Schwachstelle und Gruppe | Berechnet Schwachstellen und Gruppen-Rollups für angreifbare Container-Elemente. Hinweis: Beginnend mit v2.10 von Container Vulnerability Response, Die geplante Aufgabe wird erweitert, um Hintergrundaufträge mit Multithreading-Fähigkeiten zu erstellen. Dieses Upgrade beinhaltet die Segmentierung des Auftrags in mehrere kleinere untergeordnete Aufträge, die entweder parallel oder gleichzeitig ausgeführt werden. Diese Änderung ermöglicht die gleichzeitige Verarbeitung mehrerer Datensätze, wodurch die Gesamtaufgabe erheblich beschleunigt wird. |