Exibir Resposta a vulnerabilidades dados de detecção de itens vulneráveis

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Os dados completos coletados por suas integrações de scanner de terceiros com Resposta a vulnerabilidades são exibidos nas guias Detecções e Detecções iniciais nos registros de itens vulneráveis (VIT). Também é exibido em registros de Detecção na lista de Detecção de Item Vulnerável em sua instância Now Platform®.

    Antes de Iniciar

    As integrações de terceiros recuperam dados de detecção de itens vulneráveis. As detecções são ocorrências distintas de vulnerabilidades conforme relatadas pelos scanners. Os dados de detecção são emparelhados com itens vulneráveis e o estado de VI é atualizado com base no estado das detecções. Se um IV não for encontrado, um novo será criado. As detecções são abertas ou fechadas somente por dados encontrados diretamente por um scanner.

    Função necessária:
    • sn_vuln.admin inicia execuções de integração e exibe dados de detecção de itens vulneráveis.
    • sn_vul.remediation_owner está atribuído a itens vulneráveis criados a partir de detecções de itens vulneráveis e exibe dados em registros de VI.

    Procedimento

    1. Para exibir os dados de detecção de item vulnerável, navegue até um registro de item vulnerável e abra-o.
      O registro é exibido com as guias Detecções iniciais e Detecções.
      Nota:
      Os dados exibidos anteriormente na guia Detalhes da configuração são exibidos junto com outros dados de detecção nas guias Detecção inicial e Detecções.
      Guias Detecção inicial e Detecções realçadas no registro IV.
    2. Clique na guia Detecções.

      Quando um item vulnerável é criado a partir dos resultados de uma verificação de terceiros, os dados da verificação são exibidos no registro de detecção, conforme mostrado na figura a seguir.

      Guia Detecções
      Cada linha na seção Detecções de itens vulneráveis representa dados de uma detecção distinta. Na coluna Primeiro encontrado, a data em que o item vulnerável foi detectado pela primeira vez pelo scanner é exibida. Na coluna Último encontrado, a data da detecção mais atual é exibida. O campo Origem exibe o scanner que recuperou os dados.
      Nota:
      Para Qualys, com detecções de item vulnerável, os seguintes campos estão obsoletos no registro VI e não são mais preenchidos:
      • Qualys severidade
      • Última atualização pela origem

      Também para Qualys, conforme mostrado na figura anterior, quando um VI é criado a partir de uma verificação, o valor da verificação de Resultados é exibido na coluna Prova no registro de detecção. No entanto, este valor não é exibido na parte superior do registro VI.

      Para Rapid7, quando um VI é criado a partir de uma verificação, o valor da Prova da verificação pode ser exibido na coluna Prova no registro de detecção e na parte superior do registro de VI, mas não por padrão. Para exibir este valor na parte superior do registro VI, selecione o campo Prova no layout do formulário.

    3. Opcional: Para configurar o layout da guia Detecções no registro, siga estas etapas.
      1. As colunas a seguir são exibidas na guia Detecções por padrão.
        • Status
        • Primeiro encontrado (dados)
        • Último encontrado (data)
        • Nome DNS
        • Net BIOSname
        • Endereço IP
        • Horas encontradas
        • Porta
        • Protocolo
        • Prova
        • SSL
        Nota:

        Observação: se não houver valor em uma coluna, os dados desse campo não foram detectados pelo scanner.

      2. Clique no ícone de engrenagem ( ícone de engrenagem) para personalizar sua exibição.
      3. Selecione as colunas do slushbucket para exibir dados específicos e clique em OK.
    4. Com a guia Detecções selecionada, na coluna Status, clique em um item para abrir o registro de detecção e exibir os detalhes associados a esse item vulnerável, incluindo um Resumo da solução (somente integração do Rapid7 InsightVM).
      Figura 1. Qualys registro de detecção
      Registro de detecção
      Figura 2. Registro de detecção do Rapid7
      Registro de detecção do Rapid7 com solução
    5. Retorne ao registro e selecione a guia Detecção inicial.

      A guia Detecções iniciais exibe os dados importados do scanner de terceiros na primeira ocorrência da detecção. Essas informações na guia de detecção inicial não mudam conforme os dados de detecção são atualizados.

      Guia de detecções iniciais
    6. Opcional: Navegue até Detecções de itens vulneráveis para exibir a Lista de detecção de itens vulneráveis.

      A lista de Detecção de item vulnerável é exibida. Cada linha na lista de Detecções de itens vulneráveis representa uma detecção distinta. As colunas exibem os mesmos dados que o registro VI.

      Lista de detecções

      As detecções são abertas ou fechadas somente pelos dados encontrados por um scanner. Eles não são acumulados a partir de IVs. Conforme as detecções são importadas, elas são usadas para criar IVs e atualizar os estados dos IVs​. Se todas as detecções de um item vulnerável forem encerradas, esse item vulnerável será encerrado. No registro VI, o estado é fechadoe o subestado é fixo.

      Nota:
      Os erros são registrados enquanto:
      • Processando anexos recuperados do scanner.
      • Criar ou atualizar detecções ou itens vulneráveis.
      Para obter informações sobre como lidar com erros de detecção, consulte Manipulação de erros para detecções.

      Quando todos os IVs são encerrados para uma tarefa de correção, a tarefa de correção é encerrada.

      IVs encerrados com um subestado fixo ou obsoleto serão reabertos se uma nova detecção for criada e os VIs puderem ser correspondidos com a nova vulnerabilidade.

      Itens vulneráveis definidos como Resolvidos em sua instância, mas não transicionados para Encerrado/Corrigido pelas execuções de integração subsequentes, serão reabertos se forem detectados durante novas verificações.

      Quando todos os IVs são encerrados para uma tarefa de correção, o registro é encerrado.

      Itens vulneráveis definidos como "Resolvidos" em sua instância, mas não transicionados para "Fechados/Corrigidos" pelas execuções de integração subsequentes, serão reabertos se forem detectados durante novas verificações.

      Para Rapid7 detecções, uma opção agora está disponível na página de configuração do Rapid7 em sua instância para reabrir IVs resolvidos por idade. Se habilitado, os IVs definidos como Resolvidos, mas não transicionados para Encerrado/Corrigido por verificações subsequentes, retornam para Aberto após o número de dias inserido.

      Para Qualys detecções, se o scanner continuar a encontrar IVs que foram definidos como "Resolvidos", mas que não foram transicionados para Encerrado/Corrigido por verificações subsequentes, esses VIs voltarão para Aberto quando a última data encontrada for posterior à data de Resolvido.

    O que Fazer Depois

    Para exibir mais dados, incluindo contagens de item e detecção, você pode Verificar Resposta a vulnerabilidades dados de detecção de item vulnerável em registros de execução de integração (VINTRUN).