Solução de gestão de vulnerabilidade

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 18 min. de leitura

    • Correlacione automaticamente as vulnerabilidades em seu ambiente com o. soluções que poderiam corrigi-los. Identifique as ações de correção que se aplicam às suas vulnerabilidades e priorize-as pela maior redução no risco de vulnerabilidade.

    Solução de gestão de vulnerabilidade

    As equipes de segurança e TI geralmente gastam um número significativo de tempo pesquisando descobertas de vulnerabilidade para identificar os tratamentos mais eficazes para seu ambiente. Dado o volume e a complexidade das vulnerabilidades em grandes organizações, traduzir descobertas de vulnerabilidade em tarefas de correção é um processo manual, tedioso e propenso a erros.

    Com Solução de gestão de vulnerabilidade, você pode correlacionar automaticamente suas descobertas de vulnerabilidade com as soluções que as corrigem. Identifique os patches de software, atualizações de configuração e outros controles que têm o maior impacto para sua organização sem a sobrecarga manual.

    Requisitos do Solução de gestão de vulnerabilidade

    Solução de gestão de vulnerabilidadeé um recurso disponível no Resposta a vulnerabilidadesaplicação. Solução de gestão de vulnerabilidadenecessário uma assinatura separada.

    Para obter mais informações sobre como obter direitos para aplicações do ServiceNow Store, consulte Obter direito para um Operações de segurançaproduto ou aplicação. Consulte Instalar a aplicação Solução de gestão de Resposta a vulnerabilidadespara obter mais informações sobre como instalar a aplicação depois de baixá-la em sua instância.

    Após a instalação, Solução de gestão de vulnerabilidadefornece acesso ao Microsoft Security Response Centere o. Red Hatdados da solução de dentro Resposta a vulnerabilidades.

    Nota:

    Você pode configurar ambas as aplicações da solução no Assistente de configuração. Consulte Configure integrações de soluções instaladas para Solução de gestão de vulnerabilidadeUsando o Assistente de configuração.

    Consulte Integração com a solução Microsoft Security Response Center e. Red Hat Solution Integrationpara obter mais informações sobre as soluções importadas .

    Versões disponíveis

    Para a versão mais atual de Solução de gestão de vulnerabilidade, verifique se você tem a versão mais atual de Resposta a vulnerabilidadesinstalado.

    Versão da versão de Solução de gestão de vulnerabilidade Versões compatíveis de Resposta a vulnerabilidades Notas da versão

    Solução de gestão de vulnerabilidade v10.3

    		 Resposta a vulnerabilidades v18.0

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade de resposta a vulnerabilidades e mudanças de esquema de versão

    Sobre soluções e substituições

    Uma atualização substituída é uma substituição completa de uma versão ou versões anteriores. Por exemplo, uma atualização de hot fix pode ser substituída por um Service Pack. As soluções estão relacionadas a vulnerabilidades. As soluções também podem se relacionar a outras soluções em uma cadeia de substituição. As soluções abordam vulnerabilidades nas soluções anteriores, bem como são cumulativas. Solução de gestão de vulnerabilidadeassocia automaticamente vulnerabilidades de soluções anteriores a soluções de substituição. Se uma vulnerabilidade mais antiga for encontrada, qualquer solução de substituição superior poderá resolvê-la, mas a solução de substituição mais alta será a mais cumulativa.

    Soluções potenciais versus preferenciais

    Uma possível solução é aquela que pode resolver uma vulnerabilidade. As vulnerabilidades geralmente têm muitas soluções potenciais. Uma solução preferencial é a solução única destinada a corrigir uma vulnerabilidade ou item vulnerável (VI). Ele comunica a intenção e permite métricas de implantação mais detalhadas.

    Soluções Preferenciais

    Solução de gestão de vulnerabilidadedefine automaticamente a solução mais eficaz ( Solução preferencial ) para a vulnerabilidade detectada com base na substituição mais alta quando existe apenas uma solução de substituição mais alta. Se existir mais de uma substituição mais alta para a vulnerabilidade, nenhum valor será definido. Em Resposta a vulnerabilidades. Solução preferencial . Microsoft Security Response Centerou Red Hatsolução com a substituição mais alta derivada das soluções associadas à vulnerabilidade.

    Solução preferencial os valores podem ser definidos no item vulnerável ou na vulnerabilidade. Quando definidos diretamente na vulnerabilidade, todos os itens vulneráveis associados à vulnerabilidade herdam essa solução. Mude o. Solução preferencial valores para vários itens vulneráveis usando o recurso de edição em massa. Quando editado em massa, somente o. Solução preferencial em, o item vulnerável é atualizado como definindo o. Solução preferencial no nível de entrada de vulnerabilidade definiria o. Solução preferencial Para todos os novos IVs daqui para frente. A edição em massa se aplica somente aos itens vulneráveis atuais.
    Nota:
    Se existirem várias soluções de substituição mais alta para uma vulnerabilidade, Solução preferencial os valores no nível de vulnerabilidade são limpos, pois essa solução depende do ativo afetado. Quando houver várias soluções de substituição mais alta para uma vulnerabilidade, defina um Solução preferencial no item vulnerável. Você pode definir uma solução diferente usando Pesquisa lista no Item vulnerável formulário.

    Todas as soluções preferenciais para os itens vulneráveis em tarefas de correção estão em uma lista relacionada no Tarefa de correção registro.

    Nem todas as importações de soluções resultam em atualizações completas de dados. O processo de substituição é atualizado quando:
    • Um item vulnerável foi criado.
    • Os dados foram alterados em um VI ativo
      Nota:
      A partir da v22.0 de Resposta a vulnerabilidades, as soluções não estão enfileiradas nos dois casos acima.
    • Um novo mapeamento é criado para uma entrada de terceiros com o CVE.
    • Os novos dados da solução foram liberados desde a última importação, uma solução existente é atualizada.
    A partir da v24.0.6 de Resposta a vulnerabilidades, você pode ingerir soluções de scanners além de soluções de fornecedores. Os dados de correção de scanners, como Tenable, Qualys, E o Microsoft TVM é aproveitado para criar as soluções. Essas soluções de scanner são importadas usando as seguintes integrações:
    • Tenable.sc Integração de plug-in
    • Tenable.io Integração de plug-in
    • Qualys Base de conhecimento (preenchimento)
    • Microsoft TVM Machine Vulnerabilities Integration (importação completa)
    • Microsoft TVM Machine Vulnerabilities Integration (importação delta)
    Quando as integrações de vulnerabilidade são executadas, uma carga de informações de correção é criada antes de processar entradas de terceiros. Para Tenable e. Qualys, os dados de correção são recebidos no nível de vulnerabilidade ou de entrada de terceiros. Por outro lado, para o Microsoft TVM, as soluções são criadas no nível de detecção, permitindo um preenchimento direto de soluções preferenciais nos itens vulneráveis sem a necessidade de processamento adicional. Essas soluções são criadas com base nessas informações de correção e processadas conforme necessário. No processamento, a solução preferencial é preenchida com base nas vulnerabilidades e acumulada para os itens vulneráveis. A solução preferencial é preenchida na seguinte ordem:
    • Seleção manual: Se você selecionar uma solução manualmente, ela não será substituída.
    • Soluções do fornecedor (importações da Microsoft, RedHat, CVRF e CSAF): Se você não selecionar uma solução manualmente, a solução do fornecedor será selecionada automaticamente.
    • Soluções mais recentes (se habilitadas): Se houver várias soluções de substituição superior disponíveis para uma vulnerabilidade, então solução preferencial o campo permanece vazio. Nesses casos, se você habilitar a propriedade sn_vul.latest_solutions, a solução de fornecedor de substituição superior mais recente é preenchida como a solução preferencial.
    • Soluções de boletim do scanner (se habilitado): Se você não selecionar uma solução manualmente ou se as soluções do fornecedor estiverem indisponíveis, o. Solução preferencial o campo é preenchido com as soluções de scanner, desde que haja uma única solução de scanner. Você deve habilitar a propriedade sn_vul.populate_scanner_solutionspara preencher as soluções do scanner.
    Figura 1. Soluções de várias fontes
    Soluções recebidas de várias origens
    Este exemplo ilustra a seleção de uma solução se várias soluções estiverem disponíveis de fontes diferentes. Nesse caso, há duas soluções para uma vulnerabilidade - uma de um fornecedor e outra de um scanner. Como a solução VS0116107 é recebida de um fornecedor, ou seja, Redhat, que tem preferência mais alta, ela é selecionada como a solução preferencial.
    Figura 2. Soluções do mesmo fornecedor
    Soluções do mesmo fornecedor
    Este exemplo ilustra a seleção de uma solução se várias soluções estiverem disponíveis do mesmo fornecedor, ou seja, a Redhat neste caso. . sn_vul.latest_solutionsa propriedade está habilitada e nenhuma outra solução de fornecedor está disponível para uma vulnerabilidade específica. essas soluções são processadas, preenchendo as soluções preferenciais nas vulnerabilidades e, posteriormente, nos itens vulneráveis. Se você habilitar a propriedade sn_vul.latest_solutions, a solução mais recente é selecionada como a solução preferencial.
    Figura 3. Soluções do mesmo scanner
    Soluções do mesmo scanner
    Este exemplo ilustra a seleção de uma solução se apenas uma solução de scanner estiver disponível nos scanners. . sn_vul.populate_scanner_solutionsa propriedade está habilitada, as soluções são processadas, preenchendo as soluções preferenciais nas vulnerabilidades e, posteriormente, nos itens vulneráveis. Se houver várias soluções de scanner, o. Solução preferencial o campo foi deixado em branco devido à ambiguidade.

    Melhoria da gestão de soluções e da otimização de desempenho

    As soluções são recebidas de várias integrações, incluindo Microsoft e Redhat. O primeiro fornece atualizações mensais e estabelece uma cadeia de dependências para rastrear a solução preferencial para vulnerabilidades. No entanto, outras integrações não seguem este formato de atualização e não precisam estabelecer uma cadeia de dependências para elas. Anteriormente, era usada uma lógica de processamento que envolvia a criação de um gráfico para manter a precedência e identificar as soluções de substituição mais altas. Essas soluções foram sugeridas como a solução preferencial para as vulnerabilidades. No entanto, como a construção do gráfico é demorada, as outras integrações são excluídas desse processo. Para melhorar o desempenho, a partir da v22.0 de Resposta a vulnerabilidades, o método utility.processNonGraphSolutions() é chamado em Process Vulnerability Solutions Metrics Queuetrabalho agendado. Este método lida com soluções de integrações diferentes da Microsoft.

    Em segundo lugar, as soluções são enfileiradas de várias origens usando o trabalho agendado Process Vulnerability Solutions Metrics Queue. Este trabalho agendado envolve o acúmulo de soluções de entradas de NVD para entradas de terceiros, preenchendo soluções preferenciais sobre vulnerabilidades e atualizando as métricas de status de correção nas soluções. Nos cenários a seguir, somente as métricas de status de correção devem ser atualizadas:
    • Quando a solução preferencial muda nas vulnerabilidades
    • Quando os Vits são criados ou excluídos
    • Quando uma importação de VIT é concluída
    Embora as soluções sejam enfileiradas para atualizar somente as métricas de status de correção, elas ainda tentam acumular soluções de entradas de NVD para entradas de terceiros e preencher as soluções preferenciais. Para otimizar este processo, na tabela Solução de vulnerabilidade, a coluna Atualizar status é introduzido. Quando as métricas de status de correção nas soluções precisarem ser atualizadas sem exigir o acúmulo ou o preenchimento de soluções preferenciais, as soluções não serão mais enfileiradas. Em vez disso, o. Atualizar status a coluna é atualizada diretamente como verdadeira. Essa abordagem permite lidar com casos em que somente as métricas de status de correção devem ser atualizadas, resultando em economia de tempo e recursos. No trabalho agendado, depois que o processamento das soluções enfileiradas for concluído, as soluções marcadas com um status Atualizar como verdadeiro serão identificadas. Em seguida, eles são iterados por meio dessas soluções, calculando as contagens e atualizando as métricas de status de correção de acordo. Esta etapa desempenha um papel significativo na melhoria do desempenho do trabalho agendado, pois o número de soluções que devem ser enfileiradas é reduzido. Para exibir métricas de status de correção, navegue até a tabela Solução de vulnerabilidade [sn_vul_solution] e selecione uma solução de vulnerabilidade. Em seguida, selecione Status de correção . A guia fornece os seguintes campos:
    Tabela 1. Métricas de status de correção
    Campo Descrição
    Destinos preferenciais da solução - Status de correção para IVs para os quais esta é a solução preferencial
    Itens vulneráveis Número de itens vulneráveis ativos (não encerrados) para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    ICs Restantes Número de ICs associados a um ou mais itens vulneráveis ativos para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    Total de IVs Número de itens vulneráveis ativos e encerrados para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    Total de ICs Número de ICs associados a um ou mais itens vulneráveis ativos e encerrados para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    Percentual de IVs corrigidos Percentual concluído para correção de item vulnerável (VI). Aplica-se a IVs para os quais esta solução é preferencial. Esta contagem exclui itens vulneráveis adiados.
    Percentual de ICs corrigidos Percentual concluído para correção de IC. Aplica-se a IVs para os quais esta solução é preferencial. Esta contagem exclui itens vulneráveis adiados.
    Destinos preferenciais da solução (inclui adiado) - Status de correção para IVs, incluindo adiado, para o qual esta é a solução preferencial
    Itens vulneráveis Número de itens vulneráveis ativos (não encerrados) para os quais esta solução é a preferencial para correção.
    ICs Restantes Número de ICs associados a um ou mais itens vulneráveis ativos para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    Total de IVs Número de itens vulneráveis ativos e encerrados para os quais esta solução é a preferencial para correção.
    Total de ICs Número de ICs associados a um ou mais itens vulneráveis ativos e encerrados para os quais esta solução é a preferencial para correção.
    Percentual de IVs corrigidos Percentual concluído para correção de item vulnerável (VI). Aplica-se a IVs para os quais esta solução é preferencial.
    Percentual de ICs corrigidos Percentual concluído para correção de IC. Aplica-se a IVs para os quais esta solução é preferencial.
    Possíveis destinos da solução - Status de correção para todos os IVs com uma vulnerabilidade relacionada a esta solução
    Itens vulneráveis Número de itens vulneráveis ativos (não encerrados) para os quais esta solução é uma solução potencial para correção. Esta contagem exclui itens vulneráveis adiados.
    ICs Restantes Número de ICs associados a um ou mais itens vulneráveis ativos para os quais esta solução é uma possível solução para correção. Esta contagem exclui itens vulneráveis adiados.
    Possíveis destinos da solução (inclui adiado) - Status de correção para todos os IVs, incluindo adiado, com uma vulnerabilidade relacionada a esta solução
    Itens vulneráveis Número de itens vulneráveis ativos (não encerrados) para os quais esta solução é uma possível solução para correção.
    ICs Restantes Número de ICs associados a um ou mais itens vulneráveis ativos para os quais esta solução é uma possível solução para correção.
    Em terceiro lugar, a disponibilidade de uma solução preferencial para vulnerabilidades e Vits deve ser garantida para corrigir as vulnerabilidades. No entanto, em situações em que existem várias soluções de substituição superiores para uma vulnerabilidade, uma solução preferencial não é preenchida devido à ambiguidade. Para lidar com esse cenário, uma abordagem é implementada que envolve a execução da lógica de processamento e o preenchimento da solução preferencial quando ela estiver disponível. Nos casos em que há apenas uma solução de substituição superior, ela é preenchida como a solução preferencial. Quando várias soluções de substituição superior estão presentes, o campo Solução preferencial permanece vazio. No entanto, o objetivo é preencher a solução de substituição mais alta, que é publicada como a mais recente, como a solução preferencial. Para conseguir isso, uma propriedade do sistema sn_vul.latest_solutionsé introduzido. Por padrão, essa propriedade é definida como false. Se você quiser habilitar a capacidade de preencher as soluções mais recentes como a solução preferencial quando nenhuma solução preferencial estiver disponível, você poderá habilitar esta propriedade. Uma vez habilitado, o. Tipo de solução a coluna é atualizada na tabela de vulnerabilidades com as seguintes opções:
    • Preferencial: Quando a solução preferencial é preenchida
    • Mais recente: Quando nenhuma solução preferencial está disponível, a solução mais recente do conjunto de soluções de substituição mais alta é selecionada com base no valor de data de publicação. O campo a ser selecionado como a solução mais recente pode ser personalizado usando sn_vul.latest_solutionspropriedade do sistema. Por padrão, o valor é definido como "data de publicação", mas pode ser alterado para "última modificação" para selecionar a solução com base na última coluna de modificação nas soluções.
    • Manual: Quando o tipo de solução preferencial é atualizado manualmente. A precedência desse tipo de solução é a mais alta.

    Em determinados cenários, a solução preferencial em um item vulnerável (VIT) pode ser diferente da solução preferencial na vulnerabilidade correspondente. Isso ocorre quando a solução preferencial é atualizada manualmente em um VIT e não na vulnerabilidade. Em tais casos, o. Tipo de solução O campo está oculto na VIT.

    O que Solução de gestão de vulnerabilidade.

    • Associa automaticamente novos itens vulneráveis (Vits) e tarefas de correção a soluções durante Integração com a solução Microsoft Security Response Center e. Red Hat Solution Integrationimportação.

      MSRC as soluções estão associadas ao boletim mais recente em que a solução aparece.

    • Associa automaticamente itens vulneráveis e tarefas de correção a soluções quando os registros de vulnerabilidade são associados manualmente a soluções.
      Nota:
      Os itens vulneráveis reatribuídos manualmente a outra solução não são atualizados automaticamente com mudanças de solução no nível de vulnerabilidade.
    • MSRC: Cria cadeias de substituição durante a importação que você pode exibir na lista relacionada da solução.
    • Indica se uma solução é uma solução de maior substituição ou não.
    • Lista a Solução Pontuação de risco associado a cada solução para fornecer as maiores oportunidades de redução de risco.

    • Mantém Status de correção para soluções em Entradas de vulnerabilidade de terceiros , Tarefas de correção e. Solução de vulnerabilidade registros para que você possa acompanhar o andamento da correção.

      Ele contém:
      • Contagens de itens vulneráveis por percentual corrigido, para aqueles IVs com Soluções preferenciais, com e sem esses IVs no estado adiado.
      • Contagens de item de configuração (IC) por percentual corrigido, para aqueles IVs com soluções preferenciais, com e sem os IVs no estado adiado.
      • Contagens de itens vulneráveis por percentual corrigido, para aqueles IVs com soluções potenciais, com e sem esses IVs no estado adiado.
      • Contagens de itens de configuração por percentual corrigido, para aqueles IVs com soluções preferenciais, com e sem esses IVs no estado adiado.

    O que você pode fazer com Solução de gestão de vulnerabilidade

    • Crie, atualize, exiba ou exclua soluções associadas a vulnerabilidades, para que você possa rastrear soluções de vulnerabilidade que não são cobertas pelo conteúdo de soluções de terceiros. A integração da solução com o data warehouse Rapid7 não é compatível.
    • Associe vulnerabilidades de terceiros e entradas de NVD a um registro de solução.
    • Remova e reassocie itens vulneráveis e tarefas de correção com uma solução.
    • Exibir o. Solução preferencial aplicável a uma determinada vulnerabilidade nos formulários de vulnerabilidade e item vulnerável.
    • Exibir A. Soluções preferenciais Lista relacionada em formulários de tarefa de correção que listam todas as soluções que foram preferidas por pelo menos uma VI ativa nesse grupo.
    • Exibir o. Status de correção detalhes sobre uma solução que mostram a redução de risco associada à implantação do Solução preferencial em vulnerabilidade, item vulnerável, tarefas de correção e formulários de solução.
    • Exiba as vulnerabilidades aplicáveis a uma determinada solução no formulário de solução.
    • MSRC: Exiba as soluções de substituição de uma determinada solução em uma vulnerabilidade, para encontrar a atualização mais recente a ser implantada ou uma atualização anterior, mais focada e eficiente.
    • Exibir listas de soluções classificadas para características diferentes.
      • Todas: Soluções classificadas por data de publicação e número.
      • MSRCMaior substituição: Soluções com itens vulneráveis ativos e não adiados. Classificado por Maior substituição , Data de publicação e. Número .
      • Com itens vulneráveis: Soluções com itens vulneráveis ativos e não adiados. Classificado por Maior substituição ou Preferencial , Pontuação de risco e. Número . Se implantadas, as principais entradas na lista fornecerão a maior redução de risco para os ativos em seu ambiente.

    Pontuação de risco do registro da solução e classificação de risco

    Nota:
    O registro da Solução Pontuação de risco e. Classificação de risco são diferentes dos campos usados para vulnerabilidades, itens vulneráveis e tarefas de correção.

    O registro da Solução Pontuação de risco é um cálculo ponderado com base no item vulnerável Pontuação de risco e uma contagem de itens vulneráveis ativos com esta solução como seus Possível solução . A solução Pontuação de risco fornece uma estimativa da redução no risco que a solução deve realizar.

    O registro da solução Pontuação de risco é calculado da seguinte forma:
    • Ele começa tomando 85% do máximo ou máximo Pontuação de risco de um item vulnerável ativo com essa possível solução.
    • O registro da solução Pontuação de risco em seguida, tabula o número total de itens vulneráveis com essa possível solução. Para cada intervalo do número de itens vulneráveis, isso adiciona alguns pontos e chega a um total.
      • 0 a 09 itens vulneráveis não adicionam pontos
      • 10 a 99 itens vulneráveis adicionam 5 pontos
      • 100 a 999 itens vulneráveis adicionam 10 pontos
      • itens vulneráveis de 1000 e além adicionam 15 pontos

      Por exemplo, para um item vulnerável Pontuação de risco De 80, o registro de Solução Pontuação de risco começaria em 68. Se houvesse 200 itens vulneráveis ativos com essa possível solução, a solução final Pontuação de risco seria 78.

    O registro da Solução Classificação de risco Separa o registro de Solução Pontuação de risco Em intervalos de Crítico a Nenhum. Solução Classificação de risco classifica a redução de risco para os itens vulneráveis que esta solução corrige.

    Até VR v16.1, as classificações de risco separaram a Solução resultante Pontuação de risco nos seguintes intervalos:
    • 1 – Crítico (mais de 90 solução Pontuação de risco )
    • 2 - Alto (registro de solução 70-89 Pontuação de risco )
    • 3 - Médio (registro de solução 30-69 Pontuação de risco )
    • 4 - Baixo (registro de solução 1-29 Pontuação de risco )
    • 5 - Nenhum (Registro de solução 0 Pontuação de risco )
    A partir do VR v16.1, as classificações de risco separam a Solução resultante Pontuação de risco Nos seguintes intervalos para Gestão de soluções:
    • 1 – Crítico (mais de 90 solução Pontuação de risco )
    • 2 - Alto (registro de solução 70-89 Pontuação de risco )
    • 3 - Médio (registro de solução 40-69 Pontuação de risco )
    • 4 - Baixo (registro de solução 1-39 Pontuação de risco )
    • 5 - Nenhum (Registro de solução 0 Pontuação de risco )

    Casos de Uso

    Exiba o andamento da implantação do status de um ciclo de patch atual usando o módulo de maior substituição, classificado por data.

    Exiba as soluções de maior valor usando o módulo Com itens vulneráveis, classificadas por pontuação de risco.

    As listas de soluções comunicam os principais detalhes da solução, pontuações de risco e métricas de implantação. Uso Pontuação de risco E contagens de VI ativas para priorização. Veja quais soluções no ciclo de patch atual não estão progredindo, possivelmente uma indicação de um pré-requisito de implantação perdida.
    Nota:
    Adicionar %Vis corrigidos(percent_nd_pref_vis_remediated) em Personalize colunas da lista Menu para andamento da correção no formulário Soluções de vulnerabilidade.