Visão geral das regras de exclusão

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • As regras de exclusão fornecem uma maneira de filtrar ou impedir que as detecções sejam convertidas em itens vulneráveis (VITs) durante o processo de ingestão em Resposta a vulnerabilidades.

    Essas regras podem ser configuradas para lidar com vários cenários, como:
    • Excluindo vulnerabilidades com baixa gravidade ou risco que não exigem correção imediata.
    • Melhorar o processo de correção priorizando os VITs mais críticos para ação.
    • Reduzindo o tempo de processamento durante a importação de dados excluindo uma porcentagem de detecções da conversão de VIT.
    Durante o processo de ingestão de dados, há abordagens distintas para lidar com detecções novas e existentes.
    • Para novas detecções:
      • Se uma nova detecção não atender às condições de uma regra de exclusão, uma detecção será criada com os VITs.
      • Se uma nova detecção atender às condições de uma regra de exclusão, a regra será associada à detecção, mas o VIT não será criado. Preencha a referência da regra de exclusão correspondente no registro de detecção​. A coluna Regra de exclusão é preenchida com a referência da Regra de exclusão no registro de detecção.
    • Para detecções existentes:
      • Se a detecção não atender às condições de nenhuma regra de exclusão, ela continuará com o fluxo de trabalho normal.
      • Se uma detecção existente corresponder às condições de uma regra de exclusão, o VIT associado a essa detecção permanecerá no estado atual, mas a regra será associada à detecção. O estado do VIT é regido pelo valor definido na propriedade sn_vul.close_vit_with_excluded_detections. Por padrão, o valor nesta propriedade é definido como falso. Se o valor estiver definido como Falso, as detecções em um VIT serão excluídas e o estado dos VITs permanecerá no estado atual. No entanto, se o valor estiver definido como Verdadeiro, os seguintes cenários poderão ocorrer:
        • Se todas as detecções em um VIT forem excluídas, o status do VIT será atualizado para Encerrado excluído.
          Nota:
          A partir da v22.1.2 de Resposta a vulnerabilidades, um novo subestado chamado Excluído foi adicionado,
        • Se uma detecção for marcada como encerrada enquanto as restantes forem excluídas, o VIT será designado como encerrado fixo.
        • Se o VIT tiver detecções em aberto, o VIT permanecerá Aberto.