Konfigurieren Sie veraltete Erkennungen automatisch schließen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Aktivieren Sie Veraltete Erkennungen automatisch schließen, um veraltete angreifbare Erkennungen, die nicht kürzlich von Ihren Drittanbieterintegrationen gefunden wurden, automatisch zu schließen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Die veralteten Erkennungen sind höchstwahrscheinlich das Ergebnis einer Korrektur, die auf ein angreifbares Element für kritische Risiken (Critical Risk Vulnerable Item, VIT) abzielt und auch mehrere zusätzliche VITs mit geringerer Relevanz und dem Status „ Offen “ behandelt. Wenn Sie diese VITs in den Status „Geschlossen“ verschieben, reduzieren Sie die Anzahl der aktiven VITs und Schwachstellen-Gruppen in Ihrer Instanz Now Platform.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Administration > Konfiguration für automatisches Schließen > Veraltete Erkennungen.

      Das Formular „Veraltete Konfiguration automatisch schließen“ wird angezeigt.

    2. Füllen Sie die Felder aus.
    3. Wählen Sie für das Feld Veraltete Erkennungen automatisch schließen auf Grundlage von dieOption Erkennungen zuletzt in der Liste gefunden aus.
      Mit dieser Option wird nach dem aktuellen oder spätesten Datum gesucht, an dem Erkennungen vom Scanner erneut gefunden wurden.
      Hinweis:
      Die Option „Zuletzt gescannte Geräte“ gilt nicht für OT-Scanner.

      Ab v22.0 von Vulnerability Responsekönnen Sie zusätzliche Optionen für die Suche konfigurieren. Weitere Informationen finden Sie unter Create auto-close rules.

    4. Um das Modul zu aktivieren, aktivieren Sie das Kontrollkästchen Aktiv.
    5. Geben Sie im Feld Zuletzt gefundene Erkennungen (vor Tagen) das Alter älterer, veralteter Erkennungen in Tagen ein.

      Der Standardwert ist 90 Tage. Sie können einen beliebigen positiven Wert für die Anzahl der Tage eingeben. Dieser Wert wird verwendet, um ein zuletzt erkanntes Datum abzugleichen, das von Microsoft Defender for IoTbereitgestellt wird. Wenn 90 und Zuletzt gefundene Erkennungen angezeigt werden, werden angreifbare Elemente, die in den letzten 90 Tagen nicht erkannt wurden, automatisch geschlossen.

    6. Wahlweise: Um veraltete Erkennungen zu ignorieren, die zurückgestellten VITs zugeordnet sind oder VITs, die derzeit auf Zurückstellung überprüft werden, aktivieren Sie das Kontrollkästchen Veraltete Erkennungen für zurückgestellte VIs ignorieren.
      Wenn Sie diese Option deaktiviert lassen, werden alle Erkennungen geschlossen, die Ihren Kriterien entsprechen und die zurückgestellten VITs oder VITs zugeordnet sind, die zur Zurückstellung überprüft werden. Die zurückgestellten oder in der Überprüfung befindlichen VITs, die diesen Erkennungen entsprechen, werden basierend auf der Rollup-Logik ebenfalls automatisch geschlossen. Weitere Informationen zur Rollup-Logik finden Sie unter Closing stale detections in Vulnerability Response.

      Wenn Sie diese Option aktivieren, werden alle Erkennungen, die Ihren Kriterien entsprechen und den zurückgestellten VITs oder VITs zugeordnet sind, die zur Zurückstellung überprüft werden, während des automatischen Schließens übersprungen.

    7. Wahlweise: Deaktivieren Sie das Kontrollkästchen Veraltete Erkennungen für geschlossene VIs ignorieren.
      Standardmäßig ist dieses Kontrollkästchen aktiviert, damit das geschlossene VIT nicht erneut geöffnet wird, wenn eine neue Erkennung für dieses geschlossene VIT identifiziert wird. Weitere Informationen zur Rollup-Logik finden Sie unter Closing stale detections in Vulnerability Response.
    8. Wählen Sie Aktualisieren.

      Die regelmäßige Auto-Close Stale Detections-Aufgabe wird täglich ausgeführt. Die Aufgabe bestimmt, ob Sie das Datum ausgewählt haben, an dem Erkennungen zuletzt gefunden wurden, oder das Datum, an dem Assets zuletzt gescannt wurden. Anschließend werden die entsprechenden Erkennungen in den Status Veraltet versetzt. Es ist wichtig zu beachten, dass die Funktion Veraltete Erkennungen automatisch schließen nur veraltete Erkennungen für aktive Integrationsinstanzen schließt. Angreifbare Elemente und Erkennungen, die aktiven Integrationsinstanzen zugeordnet sind, werden geschlossen. Ab v21.1 von Vulnerability Response wurde die geplante Aufgabe geändert, um die allgemeine Tabelle [sn_vul_cmn_auto_close_rule] zu berücksichtigen.

      Nachdem die Erkennungen als Veraltet markiert wurden und der Scanner meldet, dass diese Erkennung erneut gefunden wurde, wechselt das Feld Status der Erkennungen in Offen. Die entsprechenden angreifbaren Elemente der Erkennung werden ebenfalls erneut geöffnet.

      Wenn die Erkennung als Veraltet markiert ist und der Scanner feststellt, dass sie behoben ist, geht die Erkennung außerdem in den Status Geschlossen über. Für den Status wird auch ein Rollup zu den VITs durchgeführt.