Gestão de exceções em Resposta a vulnerabilidades de aplicações

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Quando sua organização não pode cumprir um gerenciamento de vulnerabilidades publicado ou política de segurança, padrão ou diretriz, você pode solicitar uma exceção. A gestão de exceções envolve solicitar, revisar, aprovar ou rejeitar exceções a um item vulnerável à aplicação (AVIT) que não pode ser corrigido de acordo com a política.

    Algumas vulnerabilidades podem não ter um patch, correção ou solução existente. Quando uma exceção é aprovada, isso também significa que você está aceitando um risco porque reconhece e concorda com as consequências de não corrigir a vulnerabilidade.
    Nota:

    A partir de v21.0 de Resposta a vulnerabilidades de aplicações, você pode configurar os intervalos de tempo para aprovar falsos positivos e exceções, junto com notificações por e-mail para o aprovador e o solicitante após um número definido de dias. Quando uma solicitação é gerada, o item vulnerável à aplicação muda para o status Em revisão e um registro de mudança de estado é criado. Se o aprovador não responder dentro do intervalo de tempo configurado, o item vulnerável da aplicação ou a tarefa de correção será revertido para o status Aberto. O estado anterior é armazenado em backup_state campo. Para obter mais informações, consulte Configure regras de aprovação para Gestão de exceções.

    Ciclo de vida de uma exceção

    Definição de uma exceção
    Uma exceção é uma solicitação para adiar a correção de um AVI por um período especificado. Por exemplo, como desenvolvedor, você pode solicitar uma exceção se um patch não estiver disponível para uma máquina.
    Solicitando uma exceção
    Como desenvolvedor, você pode solicitar uma isenção para um AVI usando o processo de gestão de exceções. Depois que o analista de segurança da aplicação aprova esta solicitação, o AVI é movido para Adiado estado.
    Importante:
    Você pode solicitar exceções para AVTIs e RTS no Espaço do gerenciador de vulnerabilidades e no Espaço de correção de TI, respectivamente. Para obter mais informações, consulte Solicitar exceções para tarefas de correção e registros no Espaço do gerente de vulnerabilidade e Solicite uma exceção no Espaço de correção de problemas de TI.
    Aprovando uma solicitação de exceção
    AVITs que não podem ser corrigidos imediatamente são revisados por analistas de segurança de aplicações, avaliados quanto a risco e aprovados para adiamento até que possam ser corrigidos. A aprovação de uma solicitação de exceção pode ser um fluxo de dois níveis. Se somente o aprovador de primeiro nível estiver presente, a exceção poderá ser solicitada e aprovada. No entanto, se não houver nenhum aprovador de primeiro nível, uma exceção não poderá ser solicitada. Para obter mais informações, consulte Adicione um aprovador de exceção para Resposta a vulnerabilidades de aplicações.
    Importante:
    Você pode aprovar ou rejeitar solicitações de exceção no Espaço do gerenciador de vulnerabilidades. Para obter mais informações, consulte Aprovar ou rejeitar solicitações no Espaço do gerente de vulnerabilidade.
    Nota:
    Depois que uma solicitação de exceção para um AVIT é aprovada, você pode executar as seguintes ações:
    • Reabrir
    • Obtenha mais detalhes
    Acompanhamento de uma solicitação de exceção
    Depois de gerar a exceção, você pode rastrear seu status usando Aprovações de mudança de estado Do AVIT.
    Expiração de uma solicitação de exceção e solicitação de uma extensão para uma regra de exceção
    Quando uma solicitação de exceção para um AVI específico expira, o AVI afetado é revertido para seu Aberto estado.