Vulnerability Response Korrekturzielregeln

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Korrekturzielregeln definieren den erwarteten Zeitrahmen für die Korrektur angreifbarer Elemente (VI), ähnlich wie SLAs einen Zeitrahmen für die Korrektur der Schwachstelle selbst bereitstellen. Wenn ein Asset beispielsweise PCI-Daten (Kreditkartendaten) enthält, muss die Schwachstelle in diesem Element gemäß PCI DSS innerhalb von 30 Tagen behoben werden.

    Schwachstellenmanager können Korrekturzielregeln erstellen, indem sie Folgendes definieren:
    • Das Nachbesserungsziel
    • Das Erinnerungsziel
    • Die Erinnerungs- und Benachrichtigungsempfänger – Wer benachrichtigt werden soll, wenn die angreifbaren Elemente (AEs) das Erinnerungs- oder Korrekturzieldatum überschritten haben und nicht korrigiert wurden.

    Schwachstellenanalysten und -manager können das Korrekturzieldatum im Formular für angreifbare Elemente und in Listenansichtenanzeigen, solange sich die angreifbaren Elemente nicht im Status „Zurückgestellt“, „Gelöst“oder „Geschlossen “ befinden. Korrekturzielregeln werden beim Import ausgeführt und erneut ausgeführt, wenn eine VI erneut geöffnet wird.

    Das Korrekturzieldatum wird in der VI-Listenansicht wie folgt als Punkte farbcodiert:
    • Angreifbare Elemente, deren Benachrichtigungsdatum noch nicht erreicht ist, werden in Grün angezeigt.
    • Angreifbare Elemente, die sich dem Korrekturzieldatum nähern, werden in Orange angezeigt.
    • Angreifbare Elemente nach dem Korrekturzieldatum werden rot angezeigt.

    Gemäß der Korrekturzielregel wird eine Zusammenfassungs-E-Mail gesendet, wenn eine oder mehrere AEs sich ihrem Korrekturzieldatum nähern oder das Korrekturzieldatum verstrichen ist.

    Korrekturzielregeln können deaktiviert oder gelöscht werden

    Wenn eine Regel deaktiviert wird, werden die aktuellen Korrekturzieldaten für die AEs gelöscht, auf die sie angewendet wurde. Wenn ein VI eine aktive Regel erfüllt, wird diese Regel angewendet, andernfalls hat der VI keine Regel oder kein Zieldatum und sein Status ist Kein Ziel.

    Wenn Regeln gelöscht werden, werden das Korrekturzieldatum und zugehörige Felder für geschlossene, zurückgestellte oder gelöste AEs beibehalten. Das Korrekturzieldatum und zugehörige Felder in nicht geschlossenen AEs werden gelöscht, und alle abhängigen Regeln werden erneut angewendet.

    Szenario der Korrekturzielregel

    Wenn mehrere Korrekturzielregeln auf dasselbe angreifbare Element angewendet werden, wird die restriktivste Regel angewendet.
    Hinweis:
    Korrekturziele werden aus dem Datum von „ Zuletzt geöffnet “ plus der Anzahl der Tage (gemessen in 24-Stunden-Schritten) berechnet.

    Ab V17.1 werden Korrekturziele aus dem Ziel ab (Datum)berechnet. Der Standardwert bleibt Zuletzt geöffnet am.

    Beispiel: Wenn ein angreifbares Element die Bedingung für zwei Korrekturzielregeln erfüllt:

    Szenario: Angreifbares Element zuletzt geöffnet am 01.03.2018 um 10:00:00.
    • Korrekturzielregel 1: Zuletzt geöffnet am 03.07.2018; Korrekturziel ist 15 Tage seit dem letzten Öffnen. Das berechnete Korrekturzieldatum ist der 16.03.2018 10:00:00.
    • Korrekturzielregel 2: Zuletzt geöffnet am 10.03.2018; Korrekturziel ist 10 Tage seit dem letzten Öffnen. Das berechnete Korrekturzieldatum ist der 11.03.2018 10:00:00.
    In diesem Szenario gilt die Korrekturzielregel 2 für das angreifbare Element, da es das restriktivere Datum hat. 10 Tage seit der ersten Identifizierung des angreifbaren Elements im Vergleich zu 15 Tagen.
    Hinweis:
    Sobald die Korrekturzielregel definiert ist, werden die Korrekturzieldaten von der geplanten Aufgabe Evaluate remediation targets berechnet.

    Über die geplante Aufgabe „Korrekturziele auswerten“

    Evaluate remediation targets wird einmal täglich um 4:00:00 Uhr ausgeführt.

    Sie durchläuft alle aktiven Schwachstellenregeln, beginnend mit den Regeln mit dem frühesten Korrekturzieldatum. Es werden alle angreifbaren Elemente betrachtet, die:
    • Sie befinden sich nicht im Status „ Geschlossen“, „Zurückgestellt“oder „Gelöst“.
    • Hat kein Korrekturzieldatum.
    • Sie haben ein Korrekturzieldatum, das nach dem Datum in der Korrekturzielregel liegt.

    Evaluate remediation targets fügt ein Korrekturzieldatum hinzu, wenn keines vorhanden ist, oder wenn eine Regel zu einem früheren Datum als dem im Datensatz führt, wird das vorhandene Zieldatum aktualisiert. Schließlich werden die Felder Korrekturziel und Korrekturstatus im Formular für angreifbare Elemente aktualisiert.

    Sobald Evaluate remediation targets ausgeführt wird, werden verfügbare Benachrichtigungen gesendet.

    Evaluate remediation targets löscht die Korrekturfelder im VI und beendet das Senden von Benachrichtigungen.

    Ab Vulnerability Response v19.0 verhindert die Eigenschaft sn_sec_cmn.evaluate_targetmissed_records, wenn sie aktiviert ist, dass die geplante Aufgabe Remediation Target Rules verpasste AEs auswertet. Diese Eigenschaft ist standardmäßig aktiviert.

    Korrekturzielregeln werden erneut angewendet

    Wenn Sie eine Korrekturzielregel ändern, verwenden Sie die Schaltfläche Änderungen anwenden auf der Listenseite „Korrekturzielregeln“, um alle geänderten Regeln für alle aktiven offenen AEs mit Ausnahme derer im Status „ Geschlossen“, „Zurückgestellt“ oder „Gelöst “ erneut auszuführen. Je nachdem, wie viele VIs Sie haben, kann dies einige Zeit dauern.
    Hinweis:

    Wenn die geplante Aufgabe Evaluate remediation targets ausgeführt wird, können Sie keinen erneuten Anwendungsprozess initiieren. Wenn jedoch bereits ein Prozess zum erneuten Anwenden ausgeführt wird und die geplante Aufgabe, die er ausgelöst hat, ausgeführt wird, werden sie parallel ausgeführt.

    Die Prozesse zum erneuten Anwenden in Vulnerability Response und Application Vulnerability Response sind unabhängig und können parallel ausgeführt werden.