제외 규칙 개요
제외 규칙은 에서 수집 프로세스 취약성 대응중에 탐지가 취약한 항목(VIT)으로 변환되지 않도록 필터링하거나 제외하는 방법을 제공합니다.
이러한 규칙은 다음과 같은 다양한 시나리오를 처리하도록 설정할 수 있습니다.
- 심각도가 낮거나 즉각적인 정정이 필요하지 않은 위험은 제외됩니다.
- 작업에 가장 중요한 VIT의 우선순위를 지정하여 정정 프로세스를 개선합니다.
- VIT 변환에서 탐지 백분율을 제외하여 데이터를 임포트하는 동안 처리 시간을 단축합니다.
데이터를 수집하는 과정에서 신규 및 기존 탐지를 처리하기 위한 고유한 접근 방식이 있습니다.
- 새 탐지의 경우:
- 새 탐지가 제외 규칙의 조건을 충족하지 않으면 VIT를 사용하여 탐지가 생성됩니다.
- 새 탐지가 제외 규칙의 조건을 충족하면 규칙이 탐지와 연결되지만 VIT는 생성되지 않습니다. 탐지 기록에서 일치하는 제외 규칙 참조를 채웁니다. 제외 규칙 열은 그에 따라 탐지 기록에 대한 제외 규칙 참조로 채워집니다.
- 기존 탐지의 경우:
- 탐지가 제외 규칙의 조건을 충족하지 않으면 일반 워크플로우를 진행합니다.
- 기존 탐지가 제외 규칙의 조건과 일치하는 경우 해당 탐지와 연결된 VIT는 현재 상태로 유지되지만 규칙은 탐지와 연결됩니다. VIT의 상태는 속성에 정의된 sn_vul.close_vit_with_excluded_detections 값에 의해 제어됩니다. 기본적으로 이 속성의 값은 False로 설정됩니다. 값이 아니오로 설정되면 VIT의 탐지가 제외되고 VIT의 상태가 현재 상태로 유지됩니다. 그러나 값을 True로 설정하면 다음과 같은 시나리오가 발생할 수 있습니다.
- VIT의 모든 탐지가 제외되면 VIT의 상태가 종결된 제외됨으로 업데이트됩니다.주:v22.1.2 취약성 대응 부터 Excluded라는 새로운 하위 상태가 추가되었습니다.
- 하나의 탐지가 종결됨으로 표시되고 나머지는 제외되면 VIT는 고정 종결로 지정됩니다.
- VIT에 오픈 탐지가 있는 경우 VIT는 오픈 상태로 유지됩니다.
- VIT의 모든 탐지가 제외되면 VIT의 상태가 종결된 제외됨으로 업데이트됩니다.