Veraltete Erkennungen in automatisch schließen Vulnerability Response

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Aktivieren Sie Veraltete Erkennungen automatisch schließen, um veraltete angreifbare Erkennungen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden, automatisch zu schließen.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.vulnerability_admin oder sn_vuln.admin (veraltet) oder ein Schwachstellenmanager mit der granularen Rolle sn_vul.manage_auto_close_stale_vi.

    Weitere Informationen zu dieser Funktion, zu wichtigen Begriffen und zu allen Setups, die möglicherweise für Ihre Drittanbieterintegrationen erforderlich sind, die Erkennungsdaten importieren, finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response.

    Prozedur

    1. Navigieren zu Vulnerability Response > Administration > Konfiguration für automatisches Schließen > Veraltete Erkennungen.
      Das Formular „Veraltete Konfiguration automatisch schließen“ wird angezeigt.
    2. Füllen Sie die Felder aus.
    3. Wählen Sie für das Feld Veraltete Erkennungen automatisch schließen basierend auf eine Option für Ihre Suche aus.

      Beide Suchvorgänge entsprechen dem Alter älterer, veralteter Erkennungen in Tagen bis zu einem von Ihrem Scanner bereitgestellten Datum.

      • Zuletzt gefundene Erkennungen. Mit dieser Option wird nach dem aktuellen oder letzten Datum gesucht, an dem Erkennungen erneut vom Scanner gefunden wurden.
        Hinweis:
        Für Rapid7 - und Microsoft TVM-Benutzer wird eine Warnmeldung angezeigt, dass aktuelle Erkennungsinformationen erforderlich sind.

        Wenn Sie Zuletzt gefundene Erkennungen auswählen, um Ihre Suche darauf zu stützen, erfordert diese Funktion eine erfolgreiche Integrationsausführung einer der Rapid7 Comprehensive Vulnerable Item-Integrationen innerhalb der letzten sieben Tage.

        Wenn Sie Zuletzt gefundene Erkennungen als Grundlage für Ihre Suche auswählen, erfordert diese Funktion eine erfolgreiche Integrationsausführung der Microsoft TVM-Integration von Computerschwachstellen (Vollständiger Import) innerhalb der letzten sieben Tage.

      • Zuletzt gescannte Assets. Mit dieser Option wird nach dem aktuellen Datum gesucht, an dem ein Asset zuletzt von einem Drittanbieter-Scanner gescannt wurde.
    4. Vergewissern Sie sich nur für Rapid7 - und Microsoft TVM-Benutzer, dass alle erforderlichen Integrationen aktiviert sind.
      Weitere Informationen finden Sie unter Rapid7 Vulnerability Integration verstehen und Informationen zur Integration von Microsoft Threat and Vulnerability Management Vulnerability.
    5. Um das Modul zu aktivieren, klicken Sie auf das Kontrollkästchen Aktiv, um es auszuwählen.
    6. Geben Sie im Feld Zuletzt gefundene Erkennungen (vor Tagen) das Alter älterer, veralteter Erkennungen in Tagen ein.

      Der Standardwert ist 90 Tage. Sie können einen beliebigen positiven Wert für die Anzahl der Tage eingeben. Dieser Wert wird verwendet, um ein von Ihrem Scanner bereitgestelltes Datum abzugleichen. Wenn 90 und Zuletzt gefundene Erkennungen angezeigt werden, werden alle in den letzten 90 Tagen nicht gefundenen Erkennungen automatisch geschlossen. Wenn 90 und Zuletzt gescannte Assets angezeigt werden, werden alle Erkennungen, die mit Assets verknüpft sind, die in den letzten 90 Tagen nicht gescannt wurden, automatisch geschlossen.

      Hinweis:

      Es besteht eine Beziehung zwischen dem Feld Zuletzt gefundene Erkennungen/Zuletzt gescannte Assets (vor Tagen) für diese Funktion und dem Feld Importieren seit in der Rapid7 Comprehensive Vulnerable Item Integration – API und der Microsoft TVM Machine Vulnerabilities-Integration.

      Für diese Integrationen ist das Feld Importieren seit auf den Konfigurationsseiten standardmäßig leer.

      Wenn Sie keinen Wert eingeben oder das Feld keinen Wert hat, werden die Daten für die Anzahl der im Feld Zuletzt gefundene Erkennungen/Zuletzt gescannte Assets (vor Tagen) konfigurierten Anzahl von Tagen verwendet.

      Beispiel: Wenn die Anzahl der im Formular für die automatische Schließung definierten Tage 90ist und das Feld Importieren seit auf den Integrationskonfigurationsseiten leer ist, werden bei der ersten Integrationsausführung die Daten für die letzten 90 Tage importiert. Die Felder „ Importieren seit “ für die Integration von Rapid7 Comprehensive Vulnerable Item Integration – API und die Integration von Microsoft TVM Machine Vulnerabilities können bearbeitet werden, sodass Sie auch beliebige Werte angeben können. Der 90-Tage-Wert wird als Standard angegeben, wenn das Feld leer bleibt, damit die Funktion zum automatischen Schließen die Falschmeldungen nicht schließt.

      Diese Beziehung zwischen diesen Feldern gilt nur für die erste Integrationsausführung. Danach hat eine Änderung des Felds Zuletzt gefundene Erkennungen/Zuletzt gescannte Assets (vor Tagen) im Formular „Veraltete angreifbare Erkennungen automatisch schließen“ keine Auswirkungen auf das Feld Importieren seit auf den Integrationskonfigurationsseiten. Das Feld wird in die Startzeit der ersten Ausführung geändert, sodass bei nachfolgenden Integrationsausführungen nur die Delta-Informationen importiert werden.

    7. Wahlweise: Aktivieren Sie das Kontrollkästchen Veraltete Erkennungen für zurückgestellte AEs ignorieren, um veraltete Erkennungen zu ignorieren, die zurückgestellten AEs oder AEs zugeordnet sind, die derzeit auf Zurückstellung überprüft werden.

      Wenn Sie diese Option deaktiviert lassen, werden alle Erkennungen geschlossen, die Ihren Kriterien entsprechen und zurückgestellten VIs oder VIs zugeordnet sind, die zur Zurückstellung überprüft werden. Die zurückgestellten VIs oder VIs, die überprüft werden und diesen Erkennungen entsprechen, werden basierend auf der Rollup-Logik ebenfalls automatisch geschlossen. Weitere Informationen zur Rollup-Logik finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response.

      Wenn Sie diese Option aktivieren, werden beim automatischen Schließen alle Erkennungen übersprungen, die Ihren Kriterien entsprechen und zurückgestellten VIs oder VIs zugeordnet sind, die zur Zurückstellung überprüft werden.

    8. Wahlweise: Deaktivieren Sie das Kontrollkästchen Veraltete Erkennungen für geschlossene VIs ignorieren.
      Standardmäßig ist diese Checkbox aktiviert, damit die geschlossene VI nicht erneut geöffnet wird, wenn eine neue Erkennung im Zusammenhang mit dieser geschlossenen VI erkannt wird.

      Weitere Informationen zur Rollup-Logik finden Sie unter Veraltete Erkennungen in werden geschlossen Vulnerability Response.

    9. Klicken Sie auf Aktualisieren, um die Änderungen zu speichern.

      Die regelmäßige Aufgabe Veraltete Erkennungen automatisch schließen wird täglich ausgeführt. Die Aufgabe gibt an, ob Sie das Datum ausgewählt haben, an dem Erkennungen zuletzt gefunden wurden, oder ob das Datum, an dem Assets zuletzt gescannt wurden. Die entsprechenden Erkennungen gehen in den Status „Veraltet“ über. Die Funktion „Veraltete Erkennung automatisch schließen“ schließt veraltete Erkennungen nur für aktive Integrationsinstanzen. Die angreifbaren Elemente und Erkennungen, die aktiven Integrationsinstanzen zugeordnet sind, werden geschlossen.

      Nachdem die Erkennungen als Veraltet markiert wurden und der Scanner meldet, dass diese Erkennung erneut gefunden wurde, wird das Feld Status der Erkennungen in „Offen“ geändert. Die entsprechenden angreifbaren Elemente der Erkennung werden ebenfalls erneut geöffnet.

      Wenn die Erkennung außerdem als Veraltet markiert ist und der Scanner feststellt, dass sie behoben ist, geht die Erkennung in Geschlossen über. Für den Status wird auch ein Rollup zu den AEs durchgeführt.