Iniciar uma nova verificação para Rapid7Integração de vulnerabilidades

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 7 min. de leitura
  • Iniciar novas varreduras no Rapid7plataforma para verificar se seus itens vulneráveis foram corrigidos entre os ciclos de verificação agendados.

    Antes de Iniciar

    Nota:
    Novas verificações para Rapid7itens vulneráveis do data warehouse não são compatíveis.

    Você pode iniciar novas verificações nos espaços de trabalho de Resposta a vulnerabilidades. Para obter mais informações, consulte Novamente verificar registros e tarefas de correção no Vulnerability Manager Workspace e Novamente verificar itens vulneráveis e tarefas de correção no Espaço de correção de problemas de TI.

    Funções necessárias: Funções necessárias: sn_vul.write_all ou sn_vul.write_assigned

    Por Que e Quando Desempenhar Esta Tarefa

    Para novas verificações no ambiente clássico, consulte as seções a seguir.

    Novas verificações são compatíveis. Você pode iniciar uma nova verificação sob demanda para itens vulneráveis importados de Rapid7 InsightVMintegrações do seu Now Platform®instância.
    Nota:
    . Rapid7o scanner é desativado por padrão no Resposta a vulnerabilidadesaplicação. Se você tentar executar uma nova verificação dos itens vulneráveis ou tarefas de correção que têm Rapid7Como origem, o botão Verificar Novamente não está disponível.

    Para ajudar a reduzir a sobrecarga e o volume envolvidos com verificações completas agendadas, responsáveis pela correção, especialistas EM TI, analistas de vulnerabilidades, ou os gerentes de vulnerabilidades podem iniciar novas verificações direcionadas sob demanda para vulnerabilidades específicas em ativos (itens de configuração) em seus ambientes. Você pode iniciar novas varreduras de itens vulneráveis (VI), tarefas de correção (RT)s, entrada de terceiros (TPE) ou registros de itens descobertos no Now Platform®instância.

    As novas verificações permitem que você verifique se suas atividades de correção, patches e outras ações corrigiram vulnerabilidades específicas com sucesso em seus itens de configuração (ICs).

    Por exemplo, todo o seu ambiente é verificado uma vez a cada três semanas. A verificação completa mais recente foi concluída há uma semana, mas você aplicou um patch ontem para corrigir uma vulnerabilidade crítica. Devido à natureza desta vulnerabilidade, você não pode esperar duas semanas pela próxima verificação agendada para verificar se ela foi corrigida. Para verificar se o patch corrigiu com sucesso uma vulnerabilidade crítica descoberta durante uma verificação anterior, você pode iniciar uma nova verificação direcionada do seu Now Platformpara Rapid7itens vulneráveis. Você pode exibir resultados atualizados em seus itens vulneráveis com a próxima importação agendada de Rapid7 InsightVMVulnerabilidades e Integrações de item vulnerável.

    Procedimento

    1. Navegar até Tudo > Resposta a vulnerabilidades > Itens vulneráveis.
    2. Localize o registro de item vulnerável do qual você deseja acionar uma nova verificação e abra-o.
      Nota:
      Iniciar novas varreduras para IVs com Rapid7como a origem. Verifique Rapid7é exibido em Origem Nas Exibições de lista de VI ou no Origem campos em registros individuais. Você pode usar o Construtor de condições para agrupar IVs por origem. Ou, se Origem A coluna não é exibida na exibição Lista de VI. No canto superior esquerdo da lista, clique no ícone de engrenagem e mova Origem de Disponível para Selecionado .

      Ao iniciar novas verificações, evite acionar simultaneamente verificações de um ID de origem de várias origens. A solicitação de verificação mais recente gerará um erro.

      Por exemplo, se você iniciar uma nova verificação de uma VI a partir de um registro de VI e também solicitar outra nova verificação de um registro de tarefa de correção que contém essa mesma IV, é provável que a segunda solicitação falhe.

      Campo de origem realçado em VI
    3. Como alternativa, navegue até Resposta a vulnerabilidades > Tarefas de correção ou Resposta a vulnerabilidades > Bibliotecas > terceiro para a tarefa de correção ou registros de entrada de terceiros, respectivamente, que você deseja usar para a nova verificação.

      Dependendo da sua escolha, o. Nova verificação o botão está disponível nos seguintes registros:

      • Em um único registro de VI, o VI deve ser do Rapid7E em qualquer estado diferente de Encerrado. Para vários registros de VI, todos os IVs selecionados na exibição de lista devem ser do Rapid7E em qualquer estado diferente de Encerrado.
      • Em um registro de tarefa de correção, a tarefa de correção pode estar em qualquer estado diferente de Encerrado, e todos os IVs associados devem ser do Rapid7produto.
      • Em um registro de entrada de terceiros (TPE), o registro deve ter pelo menos um registro de VI associado do Rapid7Produto em qualquer estado diferente de Encerrado.
      • Em um registro de item descoberto, o IV deve ser do Rapid7e em qualquer estado diferente de Encerrado .
    4. No canto superior direito do registro, clique em Nova verificação .
      Para exibições de lista, selecione os IVs na lista que você deseja verificar novamente e, em Ação nas linhas selecionadas , selecione Nova verificação .
    5. No pop-up exibido, confirme a nova verificação.
      É exibida uma mensagem que indica que sua verificação está sendo processada ( Em fila ). Na mensagem, clique em Exibir detalhes link para verificar o status da nova verificação (verificação secundária) e exibir outras novas verificações iniciadas a partir do registro. O status de todas as novas verificações pode ser encontrado a qualquer momento na lista relacionada Verificações na parte inferior dos registros de VI, tarefa de correção, TPE e item descoberto que você usa para iniciar as novas verificações.

      Quando a verificação está em andamento, o campo Estado muda para Verificando E o campo Mensagem de status será exibido A verificação está em andamento .

      Nota:
      Cada nova verificação oferece suporte a 500 ativos por verificação. Se sua solicitação tiver mais de 500 ativos, mais verificações secundárias serão solicitadas.

      Seu Now Platform®a instância rastreia o status da nova verificação até que ele seja concluído com sucesso ou até que o período de acompanhamento definido expire, o que ocorrer primeiro.

      Figura 1. Nova verificação em andamento
      Estado e campos de mensagem de status realçados

      O tempo limite não interrompe a verificação. O tempo limite se refere a quando o. Now Platform®o rastreamento do status de nova verificação foi interrompido, não quando a nova verificação foi interrompida. Todos os IVs que fizeram a transição, ou farão a transição, para Encerrado/Fixo são importados com a próxima importação agendada do Rapid7integrações.

      Figura 2. Nova verificação concluída
      Informações de verificação concluída realçadas

      Como alternativa, você pode iniciar uma nova verificação sob demanda para uma vulnerabilidade específica em um ativo específico. Você pode exibir os resultados dessas verificações depois que a verificação for concluída no VI atualizado, na tarefa de correção, no TPE e nos registros de item descoberto a partir dos quais você iniciou a verificação.

      O valor do campo Estado nos registros de Verificação de vulnerabilidades é importado de Rapid7. Quando a verificação for concluída com sucesso, o estado será definido como Concluído. Se a verificação não for concluída com sucesso, um valor de erro será exibido.

      Verificações automáticas e agendadas

      Como gerente ou analista de vulnerabilidades, você pode especificar e programar quando novas verificações são iniciadas para IVs e RTS. Você também pode habilitar verificações automáticas para IVs e tarefas de correção definidas para resolver.

    6. Para modificar os parâmetros de integração na instância de integração, navegue até Integração com Rapid7 Vulnerability > Administração > Configuração.
    7. No registro de Configuração do Rapid7, se não estiver selecionado, no Tipo de integração , selecione Rapid7 InsightVM .
    8. À direita do Instância de integração , clique no ícone de informações, seguido por Abrir registro .
    9. No registro de Integration Instance Rapid7 InsightVM, localize os parâmetros para programar verificações e edite conforme necessário.
      parâmetros de verificação

      scan_on_resolved indica se a verificação é iniciada quando uma vulnerabilidade é resolvida. O padrão é falso (desabilitado).

      Se este parâmetro estiver definido como verdadeiro , Sempre que um VI ou RT é definido como Resolvido, o fluxo de trabalho para verificar novamente o respectivo VI e a tarefa de correção é acionado automaticamente.

      scan_start_time
      Defina a hora de início da verificação em HH:MM (Formato de 24 horas) no Fuso horário UTC para a hora de início da janela que você deseja disponibilizar novas verificações.

      O valor padrão é 00:00 .

      scan_end_time
      Defina a hora de término da verificação em HH:MM (Formato de 24 horas) no fuso horário UTC para a hora de término da janela de verificação disponível.

      O valor padrão é 23:59 .

      Se uma verificação for iniciada dentro da janela de tempo agendada, ela será iniciada instantaneamente. Se a verificação for iniciada fora da janela, ela será enfileirada para a próxima janela agendada.

      Por exemplo, se você inserir uma hora de início de 00:00 para scan_start_timeparâmetro e a. scan_end_timeDas 10:00 da mesma manhã, as verificações agendadas ou iniciadas manualmente fora da janela de tempo da meia-noite às 10 horas são enfileiradas e iniciadas na hora de início da janela de tempo do dia seguinte 00:00 .

      No mesmo exemplo, se você iniciar manualmente uma nova verificação às 11:00 AM, a nova verificação não será iniciada imediatamente, porque está fora dos tempos de verificação configurados disponíveis. A solicitação de verificação permanece na fila até o início da janela de tempo do dia seguinte, neste exemplo 00:00 .