Übersicht über Ausschlussregeln

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Ausschlussregeln bieten eine Möglichkeit, Erkennungen während des Erfassungsprozesses in zu filtern oder auszuschließen, dass sie nicht in angreifbare Elemente (Vits) konvertiert werden Vulnerability Response.

    Diese Regeln können für verschiedene Szenarien eingerichtet werden, z. B.:
    • Ausgenommen Schwachstellen mit niedrigem Schweregrad oder Risiko, die keine sofortige Korrektur erfordern.
    • Verbesserung des Korrekturprozesses durch Priorisierung der kritischsten Vits für Aktionen.
    • Reduzieren Sie die Verarbeitungszeit während des Datenimports, indem Sie einen Prozentsatz der Erkennungen aus der VIT-Konvertierung ausschließen.
    Während des Prozesses der Datenerfassung gibt es unterschiedliche Ansätze für die Verarbeitung neuer und vorhandener Erkennungen.
    • Für neue Erkennungen:
      • Wenn eine neue Erkennung die Bedingungen einer Ausschlussregel nicht erfüllt, wird eine Erkennung mit den Vits erstellt.
      • Wenn eine neue Erkennung die Bedingungen einer Ausschlussregel erfüllt, wird die Regel der Erkennung zugeordnet, VIT wird jedoch nicht erstellt. Füllen Sie die Referenz für die übereinstimmende Ausschlussregel im Erkennungsdatensatz aus​. Die Spalte „Ausschlussregel“ wird im Erkennungsdatensatz entsprechend mit der Referenz „Ausschlussregel“ ausgefüllt.
    • Für vorhandene Erkennungen:
      • Wenn die Erkennung die Bedingungen einer Ausschlussregel nicht erfüllt, wird mit dem normalen Workflow fortgefahren.
      • Wenn eine vorhandene Erkennung den Bedingungen einer Ausschlussregel entspricht, bleibt die dieser Erkennung zugeordnete VIT im aktuellen Status, die Regel wird jedoch der Erkennung zugeordnet. Der Status der VIT wird durch den in definierten Wert gesteuert sn_vul.close_vit_with_excluded_detectionsEigenschaft. Standardmäßig ist der Wert in dieser Eigenschaft auf „falsch“ festgelegt. Wenn der Wert auf „falsch“ festgelegt ist, werden die Erkennungen unter einer VIT ausgeschlossen, und der Status der Vits bleibt im aktuellen Status. Wenn der Wert jedoch auf „wahr“ festgelegt ist, können die folgenden Szenarien auftreten:
        • Wenn jede Erkennung unter einer VIT ausgeschlossen ist, wird der Status der VIT in „Geschlossen ausgeschlossen“ aktualisiert.
          Hinweis:
          Ab v22.1.2 von Vulnerability Response Ein neuer Substatus namens Ausgeschlossen wurde hinzugefügt.
        • Wenn eine Erkennung als geschlossen markiert ist, während die verbleibenden ausgeschlossen sind, wird die VIT als „Geschlossen behoben“ festgelegt.
        • Wenn die VIT offene Erkennungen hat, bleibt die VIT offen.