Vulnerability Response -Rechner und Schwachstellen-Rechnerregeln

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Schwachstellenrechner automatisieren die Berechnung der Anfangswerte für die Felder in angreifbaren Elementen. Die Bedingung für jeden Rechner wird der Reihe nach ausgewertet, und der erste übereinstimmende Rechner wird verwendet.

    Sicherheitsrisiko-Rechner

    Das Vulnerability Response Basissystem enthält zwei Schwachstellenrechner, die die Basis- Risikopunktzahl für das angreifbare Element festlegen.
    • Standardrisikorechner
    • Schwachstellenschweregrad

    Schwachstellenrechner können erstellt werden, um die Auswirkungen angreifbarer Elemente basierend auf beliebigen Kriterien mithilfe von Bedingungsfiltern zu priorisieren und zu bewerten. Unabhängig davon, ob es sich um die Geschäftsauswirkung der Schwachstelle, die Klasse des Konfigurationselements (CI) oder das Alter des angreifbaren Elements handelt, können Sie zusätzliche Schwachstellenrechner erstellen, um andere Felder für angreifbare Elemente festzulegen. Oder Sie können die vorhandenen Schwachstellenrechner anpassen. Ein Rechner kann so geschrieben werden, dass er einen beliebigen Satz von Prioritäten widerspiegelt. Weitere Informationen finden Sie unter Erstellen Sie einen Vulnerability Response -Rechner und Filtern innerhalb Vulnerability Response.

    Darüber hinaus können Sie Attribute in „configuration_item“ [cmdb_ci] in der Configuration Management Database (CMDB) verwenden, um die Logik für Ihre Vulnerability Response-Risikorechner zu erstellen. Wenn Sie beispielsweise feststellen, dass CIs, die in Ihrer Organisation nach außen gerichtet sind, angreifbarer sind und möglicherweise eine sofortige Korrektur erfordern, können Sie diesen CIs Attribute wie Internet Facing zuweisen. Dieses und andere Attribut sind in den Versionshinweisen zu Common Service Data Model für das Familien-Release Orlando aufgeführt. Aktuelle Informationen und Anleitungen zu CMDBfinden Sie in den folgenden Themen:

    Jeder Rechner enthält eine Liste von Rechnerregeln mit einer Bedingung, die bestimmt, wann sie angewendet werden sollen. Wenn der Rechner ausgeführt wird, wird die Bedingung für jede Rechnerregel der Reihe nach ausgewertet, und die erste übereinstimmende Rechnerregel wird verwendet.

    Der Schwachstellenschweregrad- Rechner berechnet die Risikopunktzahl für angreifbare Elemente anhand des normalisierten Schwachstellenschweregrads.
    Hinweis:
    Pro Zielfeld (Risikopunktzahl) kann jeweils nur ein Rechner aktiv sein. Schwachstellenschweregrad ist standardmäßig deaktiviert.

    Alle aktivierten Schwachstellenrechner legen die ausgewählten Felder jedes Mal fest, wenn ein angreifbares Element erstellt wird, wenn sich ein zugeordnetes CI oder eine Schwachstelle ändert oder wenn der zugehörige Link Risikopunktzahl berechnen in einem angreifbaren Element verwendet wird. Beispiel: Die Risikopunktzahl wird in Datensätzen für angreifbare Elemente automatisch aktualisiert, wenn der Schweregradwert für eine importierte Schwachstelle aktualisiert wird. Nachdem ein Schwachstellenimport eine Schwachstellenpunktzahl aktualisiert hat, wird die Kennzeichnung für die Neuberechnung für diese Schwachstelle aktiviert. Die Risikopunktzahlen für die angreifbaren Elemente, bei denen die Kennzeichnung „Neu berechnen“ für diese Schwachstelle aktiviert (wahr) ist, werden neu berechnet.

    Wenn Sie in einem vorhandenen angreifbaren Element auf den zugehörigen Link Risikopunktzahl berechnen klicken und einer der Rechner aktiviert ist, wird das Feld Risikopunktzahl im angreifbaren Element aktualisiert.
    Hinweis:
    Der zugehörige Link Risikopunktzahl berechnen ist nur sichtbar, wenn mindestens ein Schwachstellenrechner aktiviert ist.

    Regeln zum Schwachstellenrechner

    Der Standardrisikorechner des Basissystems enthält die Standardrisikoregel, eine spezialisierte Schwachstellenrechnerregel, die als Risikoregelbezeichnet wird. Sie berechnet die Risikopunktzahl basierend auf mehreren Werten:
    • Schwachstellenschweregrad
    • Exploit-Informationen
    • Relevanz
    • Externe Gefährdung des CI mit der Schwachstelle
    • EPSS-Punktzahlen
    Sie können die in der Standardrisikoregel zu verwendenden Werte anpassen und festlegen, wie viel Gewichtung jeder dieser Werte erhalten soll. Gewichtungen werden verwendet, um anzupassen, wie viel jedes Element beim Festlegen der Basis- Risikopunktzahlzählt.

    Sie können die Kriterien für die Standardrisikoregel anpassen. Weitere Informationen finden Sie unter Definieren Sie Felder und Gewichtungen für die Risikoregel für Vulnerability Response-Risikorechner.

    Ein Beispiel dafür, wie Risikopunktzahlen für Risikoregelrechner bestimmt werden, finden Sie unter Beispiel für die Berechnung der Risikopunktzahl für Vulnerability Response.

    Zuweisen eines Gewichtungsprozentsatzes

    Sie können auch einen Gewichtungsprozentsatz (0-100) auf Feldwertebene zuweisen, z. B. können Sie jeder Schweregradebene (Keine bis Kritisch) einen Gewichtungsprozentsatz zuweisen.

    Wenn die Schweregradgewichtung für die Risikoregel 50 beträgt und die folgenden Gewichtungswerte für den Schweregrad zugewiesen werden:
    Schwachstellenschweregrad Risikopunktzahl
    Kritisch 100
    Hoch 50
    Mittel  20
    Keine 0

    Wenn der Schweregrad „Kritisch“ ist, beträgt die entsprechende Gewichtung 50. Bei einem hohen Schweregrad beträgt die entsprechende Gewichtung 25, bei einem mittleren Schweregrad beträgt die entsprechende Gewichtung 10. Wenn der Schweregrad Keine lautet, ist die entsprechende Gewichtung 0. Weitere Informationen finden Sie unter Beispiel für die Berechnung der Risikopunktzahl für Vulnerability Response.

    Einstellungen für Schwachstellenrechner-Regeln

    Jede Regel hat eine Einstellung für Reihenfolge. Die erste Übereinstimmung mit den Bedingungen aktualisiert jedoch das Feld Risikopunktzahl im angreifbaren Element. Weitere Informationen zu Regeleinstellungen für Schwachstellenrechner finden Sie unter Erstellen Sie einen Vulnerability Response -Rechner. Nicht geskriptete Rechnerregeln haben in der Regel weniger Auswirkungen auf die Leistung als geskriptete Rechnerregeln.

    Der Basissystem- Schwachstellenschweregradrechner enthält Rechnerregeln, die jeder Schweregradstufe (Keine bis Kritisch) basierend auf dem Schweregrad einen Wert (0 bis 100) für die Risikopunktzahl zuweisen. DemSchweregrad „Unbekannt“ wird automatisch eine Risikopunktzahl von 100 zugewiesen. Diese Werte können angepasst werden, und wie beim Standardrisikorechnerkönnen neue Rechnerregeln oder neue Risikoregeln erstellt werden.

    Gewichtungen der Schwachstellen-Risikopunktzahl

    Allen Schwachstellen werden eine Risikopunktzahl und eine Bewertung basierend auf Faktoren wie Schweregrad, Relevanz, Exploit-Informationen usw. zugewiesen. Die Geschäftsregel Update Risk Rating from Risk Score in der Tabelle „Angreifbares Element“ ist für die Berechnung der Risikobewertung verantwortlich. Immer wenn sich die Risikopunktzahl ändert, wird die Risikobewertung berechnet und für die angreifbaren Elemente ausgefüllt. Vor Version 17.1 der Anwendung Vulnerability Response (VR) wurden die folgenden Risikobewertungen als Teil der Skripteinbindung VulnerabilityUtilsbereitgestellt, die hartcodiert war.
    Wert (Risikobewertung) Gewichtung (Risikopunktzahl)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    Ab Version 18.0 von Vulnerability Response,
    • Die Risikobewertungstypen werden in der Basistabelle als vr_risk_rating bereitgestellt. Diese Typen werden als Teil der Geschäftsregel in jeder Tabelle übergeben, in der die Risikobewertung berechnet wird.
    • Das Skript wurde so geändert, dass Sie die Einträge in den Werten der Tabelle „Risikopunktzahlgewichtungen“ für die Risikobewertungsberechnung abfragen können.
    • Fügen Sie zusätzliche Einträge für einen vorhandenen Typ hinzu, oder erstellen Sie einen neuen Typ. Wenn Sie einen neuen Typ erstellen, stellen Sie sicher, dass Sie die Bezeichnungen für die neue Risikobewertung hinzufügen und auch die zugehörigen Skripts und Geschäftsregeln ändern. Sie müssen auch einen neuen Stil für die neue Risikopunktzahl hinzufügen.
    • Ändern Sie das Skript, um die Datensätze in der Basistabelle abzufragen.
    Sie können auf die Tabelle „Gewichtungen der Risikopunktzahl“ zugreifen, indem Sie im Filternavigator sn_sec_cmn_risk_score_weight eingeben.
    Darüber hinaus wird die Risikopunktzahl in den folgenden Szenarien automatisch neu berechnet:
    • Wenn sich ein Konfigurationselement (CI) von „Nicht mit Internetzugriff“ in „Mit Internetzugriff“ ändert.
    • Wenn die zugeordneten Common Vulnerabilities and Exposures (CVEs) oder Drittanbietereinträge (TPEs) für die angreifbaren Elemente (VIs) mit einer CVE Known Exploit Vulnerability (KEV) verknüpft sind

    Integration von Tenable Vulnerability und die Tenable-Risikoregel

    Die Tenable-Risikoregel ist mit Tenable Vulnerability Integrationverfügbar. Die Schwachstellenprioritätsbewertung (VPR) ist ein Attribut aus dem Tenable-Produkt, das importiert und mit einem neuen Standardrisikorechner in Vulnerability Responseverwendet wird. Die Tenable Risk-Regel wird mit der Anwendung Vulnerability Response Integration with Tenable als Teil des Standardrisikorechners in den Schwachstellenrechnern von Vulnerability Responseinstalliert.

    Diese Risikoregel ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter Konfigurieren Sie die Integration von Tenable Vulnerability mit dem Setup-Assistenten.