Initiieren Sie einen erneuten Scan für die Rapid7 Schwachstellenintegration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Initiieren Sie erneute Scans auf der Rapid7 -Plattform, um sicherzustellen, dass Ihre angreifbaren Elemente zwischen geplanten Scan-Zyklen korrigiert wurden.

    Vorbereitungen

    Hinweis:
    Erneute Scans für Rapid7 angreifbare Data Warehouse-Elemente werden nicht unterstützt.

    Sie können erneute Scans über die Vulnerability Response-Arbeitsbereiche initiieren. Weitere Informationen finden Sie unter Scannen Sie Datensätze und Korrekturaufgaben im Arbeitsbereich des Schwachstellenmanagers erneut und Scannen Sie angreifbare Elemente und Korrekturaufgaben im erneut IT Remediation Workspace.

    Erforderliche Rollen: Erforderliche Rollen: sn_vul.write_all oder sn_vul.write_assigned

    Warum und wann dieser Vorgang ausgeführt wird

    Informationen zum erneuten Scannen in der klassischen Umgebung finden Sie in den folgenden Abschnitten.

    Erneute Scans werden unterstützt. Sie können bei Bedarf einen erneuten Scan für angreifbare Elemente initiieren, die aus Rapid7 InsightVM -Integrationen aus Ihrer Now Platform® -Instanz importiert wurden.
    Hinweis:
    Der Scanner Rapid7 ist in der Anwendung Vulnerability Response standardmäßig deaktiviert. Wenn Sie versuchen, einen erneuten Scan aus den angreifbaren Elementen oder Korrekturaufgaben durchzuführen, die die Anwendung Rapid7 als Quelle haben, ist die Schaltfläche Erneut scannen nicht verfügbar.

    Um den Overhead und das Volumen geplanter, vollständiger Scans zu reduzieren, können Korrekturbesitzer, IT-Spezialisten, Schwachstellenanalysten oder Schwachstellenmanager bei Bedarf gezielte erneute Scans für bestimmte Schwachstellen in Assets (Konfigurationselemente) in ihren Umgebungen initiieren. Sie können erneute Scans von angreifbaren Elementen (AEs), Korrekturaufgaben (RTs), Drittanbietereinträgen (TPE) oder Datensätzen erkannter Elemente aus Ihrer Now Platform® -Instanz initiieren.

    Mit erneuten Scans können Sie überprüfen, ob mit Ihren Korrekturaktivitäten, Patches und anderen Aktionen bestimmte Schwachstellen in Ihren Konfigurationselementen (Configuration Items, CIs) erfolgreich behoben wurden.

    Beispiel: Ihre gesamte Umgebung wird alle drei Wochen gescannt. Der letzte vollständige Scan wurde vor einer Woche abgeschlossen, Sie haben jedoch gestern einen Patch angewendet, um eine kritische Schwachstelle zu beheben. Aufgrund der Art dieser Schwachstelle können Sie nicht zwei Wochen auf den nächsten geplanten Scan warten, um sicherzustellen, dass die Schwachstelle behoben wurde. Um sicherzustellen, dass Ihr Patch eine kritische Schwachstelle, die während eines früheren Scans erkannt wurde, erfolgreich behoben hat, können Sie einen gezielten erneuten Scan von Now PlatformRapid7 auf angreifbare Elemente von [] initiieren. Sie können aktualisierte Ergebnisse für Ihre angreifbaren Elemente beim nächsten geplanten Import von Rapid7 InsightVM Schwachstelle und Integrationen angreifbarer Elemente anzeigen.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Angreifbare Elemente.
    2. Suchen Sie den Datensatz des angreifbaren Elements, für den Sie einen erneuten Scan auslösen möchten, und öffnen Sie ihn.
      Hinweis:
      Initiieren Sie erneute Scans für AEs mit Rapid7 als Quelle. Vergewissern Sie sich, dass Rapid7 in der Spalte „ Quelle “ in den VI-Listenansichten oder in den Feldern „ Quelle “ in einzelnen Datensätzen angezeigt wird. Sie können den Bedingungsgenerator verwenden, um AEs nach Quelle zu gruppieren. Oder, wenn die Spalte Quelle in der VI-Listenansicht nicht angezeigt wird, klicken Sie oben links in der Liste auf das Zahnradsymbol, und verschieben Sie Quelle von Verfügbar zu Ausgewählt.

      Wenn Sie erneute Scans initiieren, vermeiden Sie es, gleichzeitig Scans für eine Quell-ID aus mehreren Quellen auszulösen. Die letzte Scan-Anforderung weist einen Fehler auf.

      Wenn Sie beispielsweise einen erneuten Scan für einen VI aus einem VI-Datensatz initiieren und einen weiteren erneuten Scan aus einem Korrekturaufgaben-Datensatz anfordern, der denselben VI enthält, schlägt die zweite Anforderung wahrscheinlich fehl.

      Quellfeld auf VI hervorgehoben
    3. Navigieren Sie alternativ zu Vulnerability Response > Korrekturaufgaben oder Vulnerability Response > Bibliotheken > Drittpartei für die Korrekturaufgabe bzw. Drittpartei-Eintragsdatensätze, die Sie für den erneuten Scan verwenden möchten.

      Abhängig von Ihrer Auswahl ist die Schaltfläche Erneut scannen für die folgenden Datensätze verfügbar:

      • In einem einzelnen AE-Datensatz muss der AE aus dem Produkt Rapid7 stammen und sich in einem anderen Status als „Geschlossen“ befinden. Bei mehreren VI-Datensätzen müssen alle VIs, die Sie in der Listenansicht auswählen, aus dem Produkt Rapid7 stammen und sich in einem anderen Status als Geschlossen befinden.
      • In einem Korrekturaufgabendatensatz kann sich die Korrekturaufgabe in einem anderen Status als „Geschlossen“ befinden, und alle zugehörigen AEs müssen aus dem Produkt Rapid7 stammen.
      • In einem TPE-Datensatz (Third Party Entry) muss dem Datensatz mindestens ein zugeordneter VI-Datensatz aus dem Produkt Rapid7 in einem anderen Status als „Geschlossen“ zugeordnet sein.
      • In einem Datensatz eines erkannten Elements muss der VI aus dem Produkt Rapid7 stammen und sich in einem anderen Status als Geschlossenbefinden.
    4. Klicken Sie oben rechts im Datensatz auf Erneut scannen.
      Wählen Sie für Listenansichten die AEs aus der Liste aus, die Sie erneut scannen möchten, und wählen Sie in der Liste Aktion für ausgewählte Zeilen die Option Erneut scannen aus.
    5. Bestätigen Sie im angezeigten Popup den erneuten Scan.
      Eine Nachricht wird angezeigt, die angibt, dass Ihr Scan verarbeitet wird (In derWarteschlange). Klicken Sie in der Nachricht auf den Link Details anzeigen, um den Status des erneuten Scans (untergeordneter Scan) zu überprüfen und alle anderen aus dem Datensatz gestarteten erneuten Scans anzuzeigen. Der Status für alle erneuten Scans kann jederzeit unter der zugehörigen Liste „Scans“ am unteren Rand der Datensätze für VI, Korrekturaufgabe, TPE und erkannte Elemente gefunden werden, die Sie zum Starten der erneuten Scans verwenden.

      Wenn der Scanvorgang läuft, ändert sich das Feld Status in Scanning ( Scanning), und im Feld Statusmeldung wird Scan is in progress(Scan wird ausgeführt) angezeigt.

      Hinweis:
      Jeder erneute Scan unterstützt 500 Assets pro Scan. Wenn Ihre Anforderung mehr als 500 Assets umfasst, werden weitere untergeordnete Scans angefordert.

      Ihre Instanz Now Platform® verfolgt den Status des erneuten Scannens bis zum erfolgreichen Abschluss oder bis zum Ablauf des festgelegten Nachverfolgungszeitraums, je nachdem, was zuerst eintritt.

      Abbildung : 1. Erneuter Scan wird ausgeführt

      Die Zeitüberschreitung stoppt den Scan nicht. Die Zeitüberschreitung bezieht sich auf den Zeitpunkt, zu dem Now Platform® die Nachverfolgung Ihres Status des erneuten Scannens beendet hat, nicht auf das Ende des tatsächlichen erneuten Scannens. Alle AEs, die in den Status „Geschlossen/Korrigiert“ überführt wurden oder werden, werden mit dem nächsten geplanten Import der Rapid7 -Integrationen importiert.

      Abbildung : 2. Erneuter Scan abgeschlossen
      Informationen zum abgeschlossenen Scan hervorgehoben

      Alternativ können Sie bei Bedarf einen erneuten Scan für eine bestimmte Schwachstelle in einem bestimmten Asset initiieren. Sie können die Ergebnisse dieser Scans anzeigen, sobald der Scan für die aktualisierten AE-, Korrekturaufgaben-, TPE- und erkannten Elementdatensätze abgeschlossen ist, von denen aus Sie den Scan gestartet haben.

      Der Wert des Felds Status in Datensätzen von Schwachstellen Scan wird aus Rapid7importiert. Wenn der Scan erfolgreich abgeschlossen wurde, wird der Status auf Abgeschlossen gesetzt. Wenn der Scan nicht erfolgreich abgeschlossen wird, wird ein Fehlerwert angezeigt.

      Automatische Scans und geplante Scans

      Als Schwachstellenmanager oder Analyst können Sie angeben und planen, wann erneute Scans für VIs und RTs initiiert werden. Sie können auch automatische Scans für VIs und Korrekturaufgaben aktivieren, die auf „Auflösen“ festgelegt sind.

    6. Um die Integrationsparameter für die Integrationsinstanz zu ändern, navigieren Sie zu Rapid7 Vulnerability Integration > Administration > Konfiguration.
    7. Wenn diese Option im Rapid7-Konfigurationsdatensatz in der Liste „ Integrationstyp “ nicht ausgewählt ist, wählen Sie Rapid7 InsightVM aus.
    8. Klicken Sie rechts neben dem Feld Integrationsinstanz auf das Informationssymbol, gefolgt von Datensatz öffnen.
    9. Suchen Sie im Datensatz der Integrationsinstanz Rapid7 InsightVM nach den Parametern für die Planung von Scans, und bearbeiten Sie sie nach Bedarf.
      Scan-Parameter

      scan_on_resolved gibt an, ob der Scan initiiert wird, wenn eine Schwachstelle behoben wird. Der Standardwert ist „ false “ (deaktiviert).

      Wenn dieser Parameter auf „ true“ festgelegt ist und ein VI oder eine RT auf „Gelöst“ festgelegt wird, wird der Workflow zum erneuten Scannen des entsprechenden VI und der Korrekturaufgabe automatisch ausgelöst.

      scan_start_time
      Legen Sie die Scan-Startzeit in HH:mm (24-Stunden-Format) in der UTC-Zeitzone für die Startzeit des Fensters fest, in dem erneute Scans verfügbar sein sollen.

      Der Standardwert ist 00:00.

      scan_end_time
      Legen Sie die Scan-Endzeit in HH:mm (24-Stunden-Format) in der UTC-Zeitzone für die Endzeit des verfügbaren Scan-Fensters fest.

      Der Standardwert ist 23:59.

      Wenn ein Scan innerhalb des geplanten Zeitfensters initiiert wird, wird er sofort gestartet. Wenn der Scan außerhalb des Fensters initiiert wird, wird er für das nächste geplante Fenster in die Warteschlange gestellt.

      Wenn Sie beispielsweise eine Startzeit von 00:00 für den Parameter scan_start_time und eine scan_end_time von 10:00 Uhr desselben Morgens eingeben, werden Scans, die außerhalb des Zeitfensters von Mitternacht bis 10 Uhr geplant oder manuell gestartet wurden, in die Warteschlange gestellt und gestartet zur Startzeit des Zeitfensters des folgenden Tages um 00:00 Uhr.

      Wenn Sie im selben Beispiel einen erneuten Scan um 11:00 Uhr manuell initiieren, wird der erneute Scan nicht sofort gestartet, da er außerhalb der verfügbaren konfigurierten Scan-Zeiten liegt. Die Scan-Anforderung bleibt bis zum Beginn des Zeitfensters des folgenden Tages in der Warteschlange, in diesem Beispiel 00:00.