Fechar automaticamente detecções obsoletas em Resposta a vulnerabilidades

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Habilite Fechar detecções obsoletas automaticamente para fechar automaticamente detecções vulneráveis obsoletas não encontradas recentemente por suas integrações de terceiros.

    Antes de Iniciar

    Função necessária: sn_vul.vulnerability_admin ou sn_vuln.admin (descontinuado) ou um gerenciador de vulnerabilidades com a função granular sn_vul.manage_auto_close_stale_vi.

    Para obter mais informações sobre esse recurso, termos principais e qualquer configuração que possa ser necessária para suas integrações de terceiros que importam dados de detecção, consulte Fechando detecções obsoletas em Resposta a vulnerabilidades para obter mais informações.

    Nota:
    As informações fornecidas no procedimento a seguir só se aplicam a versões anteriores à v2.0de Resposta a vulnerabilidades. A partir da v22.0 de Resposta a vulnerabilidades, você tem a opção de configurar opções de pesquisa adicionais. Para obter mais informações, consulte Criar regras de fechamento automático.

    Procedimento

    1. Navegar até Resposta a vulnerabilidades > Administração > Configuração de fechamento automático > Detecções obsoletas.
      O formulário Fechar configuração obsoleta automaticamente é exibido.
    2. Preencha os campos.
    3. Para Fechamento automático de detecções obsoletas com base em escolha uma opção para sua pesquisa.
      Ambas as pesquisas correspondem à idade das detecções mais antigas e obsoletas em número de dias até uma data fornecida pelo scanner.
      Nota:
      A partir da v22.0 de Resposta a vulnerabilidades, as opções Detecções encontradas pela última vez e. Ativos verificados pela última vez são criados como uma lista.
      • Detecções encontradas pela última vez . Esta opção pesquisa a data mais atual ou mais recente em que as detecções foram encontradas novamente pelo scanner.
        Nota:
        Para Rapid7 e. Microsoft Usuários de TVM, uma mensagem de aviso é exibida sobre a necessidade de informações de detecção atuais.

        Se você selecionar Detecções encontradas pela última vez para basear sua pesquisa, este recurso requer uma execução de integração bem-sucedida de um dos Rapid7 Integrações abrangentes de itens vulneráveis nos últimos sete dias.

        Se você selecionar Detecções encontradas pela última vez Para basear sua pesquisa, este recurso requer uma execução de integração bem-sucedida da Integração de vulnerabilidades de máquina do Microsoft TVM (importação completa) nos últimos sete dias.

      • Ativos verificados pela última vez . Esta opção pesquisa a data mais atual em que um ativo foi verificado pela última vez por um scanner de terceiros.
    4. Para Rapid7 e. Microsoft Somente usuários de TVM, verifique se todas as integrações necessárias estão habilitadas.
      Para obter mais informações, consulte Noções básicas do Integração com Rapid7 Vulnerability e Noções básicas sobre a integração de vulnerabilidades do Microsoft Threat and Vulnerability Management.
    5. Para habilitar o módulo, clique na caixa de seleção Ativo para selecioná-lo.
    6. Em Detecções encontradas pela última vez (dias atrás) insira a idade das detecções antigas e obsoletas no número de dias.

      O padrão é 90 dias. Você pode inserir qualquer valor positivo para o número de dias. Este valor é usado para corresponder a uma data fornecida pelo scanner. Com 90 e. Detecções encontradas pela última vez exibidas, todas as detecções não encontradas nos últimos 90 dias serão encerradas automaticamente. Com 90 e. Ativos verificados pela última vez exibidas, todas as detecções associadas a ativos não verificados nos últimos 90 dias são encerradas automaticamente.

      Nota:

      Há um relacionamento entre Últimas detecções encontradas/ativos verificados pela última vez (dias atrás) campo para este recurso e Importar desde No Rapid7 Comprehensive Vulnerable Item Integration - API e na integração Microsoft TVM Machine Vulnerabilities.

      Para essas integrações, o Importar desde o campo nas páginas de configuração está vazio por padrão.

      Se você não inserir um valor ou o campo não tiver valor, os dados do número de dias configurados no Últimas detecções encontradas/ativos verificados pela última vez (dias atrás) o campo é usado.

      Por exemplo, se o número de dias definido no formulário de configuração de fechamento automático for 90 e Importar desde o campo está vazio nas páginas de configuração de integração e a primeira execução de integração importa os dados dos últimos 90 dias. . Importar desde campos para Rapid7 Integração abrangente de item vulnerável - API e a integração Microsoft TVM Machine Vulnerabilities são editáveis, para que você também possa fornecer os valores desejados. O valor de 90 dias será fornecido como padrão se o campo permanecer vazio para que o recurso de fechamento automático não feche os falsos positivos.

      Este relacionamento entre esses campos se aplica somente à primeira execução de integração. Depois disso, mude Últimas detecções encontradas/ativos verificados pela última vez (dias atrás) O campo no formulário Fechar automaticamente detecções vulneráveis obsoletas não afeta Importar desde campo nas páginas de configuração de integração. O campo é alterado para a hora de início da primeira execução para que as execuções de integração subsequentes importem somente as informações delta.

    7. Opcional: Selecione Ignorar detecções obsoletas para VIS adiados Caixa de seleção para ignorar detecções obsoletas que são mapeadas para VIS adiado ou para VIS atualmente em revisão para adiamento.

      Se você deixar esta opção desabilitada, todas as detecções que corresponderem aos seus critérios serão encerradas e mapeadas para VIS adiados ou para VIS que estão em revisão para adiamento. Os VIS adiados, ou VIS que estão em revisão que correspondem a essas detecções, também são encerrados automaticamente com base na lógica de acúmulo. Para obter mais informações sobre lógica de acúmulo, consulte Fechando detecções obsoletas em Resposta a vulnerabilidades e. Cenários de roll-up e roll-down de estado.

      Se você habilitar esta opção, todas as detecções que corresponderem aos seus critérios mapeadas para VIS adiados ou para VIS que estão em revisão para adiamento serão ignoradas durante o fechamento automático.

    8. Opcional: Desmarque Ignorar detecções obsoletas para VIS encerrados caixa de seleção.

      Por padrão, esta caixa de seleção é marcada para que o VI encerrado não seja reaberto quando uma nova detecção relacionada a este VI encerrado for identificada. Para obter mais informações sobre a lógica de acúmulo, consulte Fechando detecções obsoletas em Resposta a vulnerabilidades e. Cenários de roll-up e roll-down de estado.

    9. Clique em Atualizar para salvar suas mudanças.

      . Auto-Close Stale Detectionso trabalho agendado é executado diariamente. O trabalho determina se você selecionou a data em que as detecções foram encontradas pela última vez ou a data em que os ativos foram verificados pela última vez. Em seguida, ele faz a transição das detecções correspondentes para o estado obsoleto. É importante observar que o recurso Encerrar detecção obsoleta automaticamente fecha detecções obsoletas somente para instâncias de integração ativas. Detecções e itens vulneráveis associados a instâncias de integração ativas são encerrados. A partir da v22.0 de Resposta a vulnerabilidades o trabalho agendado foi modificado para levar em conta a tabela comum [sn_vul_cmn_auto_close_rule].

      Depois que as detecções forem marcadas como obsoletas, se o scanner relatar que descobriu essa detecção novamente, o campo Status das detecções será aberto. Os itens vulneráveis correspondentes da detecção também são reabertos.

      Além disso, se a detecção estiver marcada como obsoleta e o scanner descobrir que ela está corrigida, a detecção mudará para Encerrada. O estado também é acumulado para o VIS.