Vulnerability Response Korrekturzielregeln

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Korrekturzielregeln definieren den erwarteten Zeitrahmen für die Korrektur angreifbarer Elemente (VI), ähnlich wie SLAs einen Zeitrahmen für die Behebung der Schwachstelle selbst bieten. Wenn ein Asset beispielsweise PCI-Daten (Kreditkartendaten) enthält, muss die Schwachstelle für dieses Element gemäß PCI DSS innerhalb von 30 Tagen behoben werden.

    Schwachstellenmanager können Korrekturzielregeln erstellen, indem sie Folgendes definieren:
    • Das Nachbesserungsziel
    • Das Erinnerungsziel
    • Die Erinnerung und Benachrichtigungsempfänger – Wer soll benachrichtigt werden, wenn die angreifbaren Elemente (VIS) das Erinnerungsziel oder das Korrekturziel überschritten und nicht behoben wurden.

    Analysten und Manager von Schwachstellen können das Korrekturzieldatum im Formular für Schwachstellen-Elemente und in Listenansichten anzeigen, solange sich die angreifbaren Elemente nicht in befinden Zurückgestellt , Gelöst , Oder Geschlossen status. Korrekturzielregeln werden beim Import ausgeführt und erneut ausgeführt, wenn ein VI erneut geöffnet wird.

    Die Korrekturzieldatum Ist in der VI-Listenansicht wie folgt farbcodiert:
    • Angreifbare Elemente, die ihr Benachrichtigungsdatum nicht erreicht haben, werden grün angezeigt.
    • Angreifbare Elemente, die sich dem Korrekturzieldatum nähern, werden orange angezeigt.
    • Angreifbare Elemente, die das Korrekturzieldatum überschritten haben, werden rot angezeigt.

    Eine Zusammenfassungs-E-Mail pro Korrekturzielregel wird gesendet, wenn ein oder mehrere VIS sich dem Korrekturzieldatum nähern oder das Korrekturzieldatum überschritten ist.

    Korrekturzielregeln können deaktiviert oder gelöscht werden

    Wenn eine Regel deaktiviert ist, werden die aktuellen Korrekturzieldaten für die VIS gelöscht, auf die sie angewendet wurde. Wenn ein VI eine aktive Regel erfüllt, wird diese Regel angewendet, andernfalls hat das VI keine Regel oder kein Zieldatum, und sein Status ist Kein Ziel .

    Wenn Regeln gelöscht werden, wird Korrekturziel Datum und zugehörige Felder für geschlossene, zurückgestellte oder gelöste VIS werden beibehalten. Die Korrekturziel Datum und zugehörige Felder für nicht geschlossene VIS werden gelöscht, und alle abhängigen Regeln werden erneut angewendet.

    Korrekturzielregel-Szenario

    Wenn mehrere Korrekturzielregeln auf dasselbe angreifbare Element angewendet werden, wird die restriktivste Regel angewendet.
    Hinweis:
    Korrekturziele werden aus berechnet Zuletzt Geöffnet Datum plus Anzahl der Tage (gemessen in 24-Stunden-Schritten).

    Ab V17.1 werden Korrekturziele aus berechnet Ziel von (Datum) . Der Standardwert bleibt erhalten Datum der letzten Öffnung .

    Beispiel: Wenn ein angreifbares Element die Bedingung für zwei Korrekturzielregeln erfüllt:

    Szenario: Angreifbares Element zuletzt geöffnet am 01/2018 um 10:00:00.
    • Korrekturzielregel 1: Zuletzt geöffnet am 03/07/2018; Korrekturziel ist 15 Tage seit dem letzten Öffnen; berechnetes Korrekturzieldatum ist 03/16/2018 10:00:00.
    • Korrekturzielregel 2: Zuletzt geöffnet am 03/10/2018; Korrekturziel ist 10 Tage seit dem letzten Öffnen; berechnetes Korrekturzieldatum ist 03/11/2018 10:00:00.
    In diesem Szenario gilt die Korrekturzielregel 2 für das angreifbare Element, da es das restriktivere Datum hat. 10 Tage seit der ersten Identifizierung des angreifbaren Elements im Vergleich zu 15 Tagen.
    Hinweis:
    Sobald die Korrekturzielregel definiert ist, werden die Korrekturzieldaten von berechnet Evaluate remediation targets Geplante Aufgabe.

    Über die geplante Aufgabe „Korrekturziele auswerten“

    Evaluate remediation targets Wird einmal täglich um 16:00 Uhr ausgeführt.

    Es wird durch alle aktiven Schwachstellenregeln iteriert, beginnend mit diesen Regeln mit dem frühesten Korrekturzieldatum. Es werden alle angreifbaren Elemente untersucht, die:
    • Befinden sich nicht in Geschlossen , Zurückgestellt , Oder Gelöst status.
    • Hat kein Korrekturzieldatum.
    • Haben ein Korrekturzieldatum, das nach dem Datum in der Korrekturzielregel liegt.

    Evaluate remediation targets Fügt ein Korrekturzieldatum hinzu, wenn eines nicht vorhanden ist oder wenn eine Regel zu einem früheren Datum als dem im Datensatz führt, aktualisiert sie das vorhandene Zieldatum. Schließlich wird aktualisiert Korrekturziel Und Korrekturstatus Felder im Formular „Angreifbares Element“.

    Sobald Evaluate remediation targetsWird ausgeführt, verfügbare Benachrichtigungen werden gesendet.

    Evaluate remediation targets Löscht die Korrekturfelder im VI und stoppt das Senden von Benachrichtigungen.

    Die sn_sec_cmn.evaluate_targetmissed_recordsWenn diese Eigenschaft aktiviert ist, wird verhindert Remediation Target RulesGeplante Aufgabe aus der Bewertung verpasster VIS. Diese Eigenschaft ist standardmäßig aktiviert.

    Korrekturzielregeln werden erneut angewendet

    Wenn Sie eine Korrekturzielregel ändern, verwenden Sie Änderungen Anwenden Schaltfläche auf der Listenseite „Korrekturzielregeln“, um alle geänderten Regeln für alle aktiven offenen VIS außer denen in erneut auszuführen Geschlossen , Zurückgestellt Oder Gelöst status. Je nachdem, wie viele VIS Sie haben, kann dies einige Zeit dauern.
    Hinweis:

    Wenn die geplante Aufgabe Evaluate remediation targetsWird ausgeführt, Sie können keinen Prozess zum erneuten Anwenden initiieren. Wenn jedoch bereits ein Prozess zur erneuten Anwendung ausgeführt wird und die geplante Aufgabe ausgelöst wurde, werden sie parallel ausgeführt.

    Prozesse in erneut anwenden Vulnerability Response Und Application Vulnerability Response Sind unabhängig und können parallel ausgeführt werden.

    Wichtig:
    Als Schwachstellenadministrator und -Analyst können Sie das neueste Korrekturzieldatum für ausgewählte angreifbare Elemente in abrufen Arbeitsbereich des Schwachstellenmanagers. Diese Methode ist effizienter als die Ausführung der Korrekturzielregeln für alle angreifbaren Elemente in klassisch UI, die ein zeitaufwändiger Prozess ist. Weitere Informationen finden Sie unter Bewerten Sie die Korrektureigenschaften der Datensätze in neu Arbeitsbereich des Schwachstellenmanagers.