Gestão de exceções no Application Vulnerability Response
Quando sua organização não pode estar em conformidade com uma gestão de vulnerabilidades ou política de segurança, padrão ou diretriz publicada, você pode solicitar uma exceção. A gestão de exceções envolve solicitar, revisar, aprovar ou rejeitar exceções a um item vulnerável da aplicação (IVA) que não pode ser corrigido de acordo com a política.
A partir da v21.0 de Application Vulnerability Response, você pode configurar os intervalos de tempo para aprovar falsos positivos e exceções, junto com notificações por e-mail para o aprovador e o solicitante após um número definido de dias. Quando uma solicitação é gerada, o item vulnerável da aplicação muda para o status Em revisão e um registro de mudança de estado é criado. Se o aprovador não responder dentro do intervalo de tempo configurado, o item vulnerável da aplicação ou a tarefa de correção será revertido para o status Aberto. O estado anterior é armazenado no campo backup_state. Para obter mais informações, consulte Configurar regras de aprovação para Gestão de exceções.
Ciclo de vida de uma exceção
- Definição de uma exceção
- Uma exceção é uma solicitação para adiar a correção de um AVI por um período especificado. Por exemplo, como desenvolvedor, você pode solicitar uma exceção se um patch não estiver disponível para uma máquina.
- Solicitar uma exceção
- Como desenvolvedor, você pode solicitar uma isenção para um AVI usando o processo de gestão de exceções. Depois que o analista de segurança da aplicação aprova essa solicitação, o AVI passa para o estado Adiado.
- Regras de exceção
- A partir da v20, você pode criar regras de exceção para adiar automaticamente os itens vulneráveis da aplicação (IVA) existentes e novos por um período específico se eles corresponderem às condições da regra. O uso de regras de exceção para adiar automaticamente AVIs minimiza o risco de perder acordos de nível de serviço. As regras podem ajudá-lo a gerenciar vários itens, pois você está eliminando a intervenção manual. Consulte Criar uma regra de exceção.
- Solicitar uma extensão para uma regra de exceção
- A partir da v20, você pode enviar uma solicitação de extensão para a data Adiada até de uma regra de exceção. Você pode solicitar uma extensão para uma regra se descobrir que um grande número de registros criados pela regra não está sendo resolvido pela data Adiado até, a data em que a tarefa de correção para de aceitar novos AVIs. A extensão atualiza a regra de exceção para estender automaticamente a data de adiamento na regra existente. Você pode inserir datas de até um ano a partir da data atual e deve incluir um motivo para a extensão. Uma solicitação de extensão requer aprovação em dois níveis de grupos de aprovação separados.
- Aprovação de uma solicitação de exceção
- Os AVIs que não podem ser corrigidos imediatamente são revisados por analistas de segurança da aplicação, avaliados quanto ao risco e aprovados para adiamento até que possam ser corrigidos. A aprovação de uma solicitação de exceção pode ser um fluxo de dois níveis. Se somente o aprovador de primeiro nível estiver presente, a exceção poderá ser solicitada e aprovada. No entanto, se não houver nenhum aprovador de primeiro nível, uma exceção não poderá ser solicitada. Para obter mais informações, consulte Adicionar um aprovador de exceção para Application Vulnerability Response.
- Reabrir
- Obter mais detalhes
- Como rastrear uma solicitação de exceção
- Depois de gerar a exceção, você pode rastrear seu status usando a guia Aprovações de mudança de estado do AVI.
- Vencimento de uma solicitação de exceção e solicitação de uma extensão para uma regra de exceção
- Quando uma solicitação de exceção para um AVI específico expira, o AVI afetado é revertido para o estado Aberto.
No entanto, a partir do v20, você pode enviar uma solicitação para estender a data Adiado até na regra de exceção.