Übersicht über Korrekturaufgaben und Aufgabenregeln in Container Vulnerability Response
Konfigurieren Sie Korrekturaufgaben (CVULs), damit Analysten und Korrekturspezialisten angreifbare Container-Elemente (CVIT) organisieren und massenweise analysieren können. Die Kriterien, nach denen Korrekturaufgaben entstehen, sind so konfiguriert, dass CVITs automatisch Korrekturaufgaben zugewiesen werden. Mit Korrekturaufgaben können Sie den Fortschritt überwachen und den Nachbesserungsprozess effizienter gestalten.
Nachverfolgung der Anzahl der Zurückstellungen für angreifbare Container-Elemente und Korrekturaufgaben
Verfolgen Sie, wie oft ein angreifbares Element, ein angreifbares Anwendungselement, ein angreifbares Container-Element oder eine Korrekturaufgabe zurückgestellt wird. Die regelmäßige Aufgabe zum Festlegen der Anzahl der Zurückstellungen wird täglich ausgeführt, um die Anzahl der Datensätze zu erfassen, die in der Spalte Anzahl der Zurückstellungen mehr als einmal zurückgestellt wurden. Datensätze werden in den Modulen „Mehrere Zurückstellungen“ für VR, AVR und CVR angezeigt.
Die Regeln für Korrekturaufgaben verstehen
Mit Regeln für Korrekturaufgaben können Sie definieren, wie angreifbare Container-Elemente automatisch gruppiert und zugewiesen werden. Das Basissystem enthält eine Standardregel für Schwachstellen, die CVITs basierend auf ihren Schwachstellen sammelt. Sie können jedoch nach jedem anderen Satz von Werten in Spalten gruppieren, auf die über CVIT zugegriffen werden kann. Diese Werte können Configuration Item (CI), Schwachstelleneintrag und Ähnliches umfassen.
Es gibt Aufgabenregeln für Container Vulnerability Response, die in der Anwendung Vulnerability Response enthalten sind. Sie ist verfügbar, wenn Sie sie aktivieren.
Mit dem Bedingungsgenerator können Sie mehrere Bedingungen erstellen. Nachdem Sie im Abschnitt „Gruppieren nach“ ein Feldpaar festgelegt haben, wird eine weitere Zeile angezeigt. Sie können bis zu sechs „Gruppieren nach“ -Auswahlen auswählen. Sie können auch die Gruppenzuweisung automatisieren.
Beispielsweise können Sie Ihre angreifbaren Container-Elemente nach Configuration Item oder nach dem Produktmodell gruppieren. Sie können eine Aufgabenregel für Schwachstellen mit niedrigem Schweregrad oder für CIs mit geringem Risiko festlegen. Sie können eine andere Aufgabenregel für kritische Server und Schwachstellen festlegen, die das Unternehmen einem höheren Risiko aussetzen. Unter Erstellen, bearbeiten und löschen Sie Regeln für Korrekturaufgaben in Container Vulnerability Response finden Sie weitere Informationen zu den Optionen, die Ihnen zur Verfügung stehen.
Für angreifbare Container-Elemente, die das Unternehmen einem höheren Risiko aussetzen, kann ein anderer Regelsatz verwendet werden. Der Name der Korrekturaufgabe wird an die Korrekturaufgabenregel „Gruppieren nach“ -Werte angehängt, um die Kurzbeschreibung des neuen Datensatzes zu erstellen.
Wenn ein neues angreifbares Container-Element erstellt, importiert oder nach dem Schließen erneut geöffnet wird, werden die Regeln entsprechend ausgewertet. Ein CVIT wird nur einmal automatisch ausgewertet, es sei denn, er wird nach dem Schließen erneut geöffnet oder die Regeln werden manuell erneut angewendet.
- Für jede Regel für Korrekturaufgaben wird die CVIT mit dem Filter für die Regel für Korrekturaufgaben verglichen.
- Für jede Regel, mit der die Regelbedingung für Korrekturaufgaben übereinstimmt, ruft die Regel die Daten aus der Auswahl Gruppe nach Auswahl im CVIT ab. Es erstellt einen Gruppennamen und ein Feld. In diesem Fall, Hohes Risiko: QID-32342:Zusammenfassung von QID-3242 (Name: Schwachstellen-ID: Schwachstellenzusammenfassung).Hinweis:Das Feld „Kurzbeschreibung“ ist auf 160 Zeichen beschränkt. Längere Schwachstellenzusammenfassungen werden gekürzt.
- Wenn die Aufgabe gefunden wird, wird die CVIT der vorhandenen Aufgabe im Status „ Offen “ hinzugefügt.
- Wenn keine Aufgabe im Status „ Offen “ gefunden wird, erstellt die Regel eine Aufgabe mit hohem Risiko: QID-32342, weist sie derselben Zuweisungsgruppe wie das CVIT zu und platziert das CVIT in der Korrekturaufgabe.
Es kann mehr als eine Regel für Korrekturaufgaben definiert werden, um verschiedene Arten von Schwachstellen zu gruppieren. Da jede Schwachstelle mit den Bedingungen der Korrekturaufgabenregel verglichen wird, bevor sie in eine Korrekturaufgabe aufgenommen wird, können zu viele Regeln die Leistung beeinträchtigen. Richten Sie Ihre Aufgabenregeln so ein, dass die Bedingungen Ihnen helfen, die Erstellung von doppelten Korrekturaufgaben zu vermeiden.
Standardmäßig verwenden die Regeln für Korrekturaufgaben beim Gruppieren der Elemente die von den Zuweisungsregeln im CVIT festgelegte Zuweisungsgruppe und weisen die Korrekturaufgabe entsprechend den CVITs zu.
Als Teil der Standardaufgabenregel wird die Zuweisung dieser Korrekturaufgaben durch die Regeln im Modul „Zuweisungsregeln“ gesteuert. Weitere Informationen zu Zuweisungsregeln finden Sie unter Übersicht über Zuweisungsregeln für Vulnerability Response.
Wenn eine Aufgabenregel aus dem Formular oder der Listenansicht gelöscht wird, können Sie alle von dieser Regel erstellten offenen Aufgaben löschen. Aufgaben, die sich nicht im Status „ Offen “ befinden, werden ausgeschlossen.
Die Regeln für Korrekturaufgaben werden erneut angewendet
Wenn Sie eine Regel für Korrekturaufgaben ändern möchten, klicken Sie auf der Seite für die Regel für Korrekturaufgaben auf die Schaltfläche Erneut anwenden, um die geänderte Regel für alle aktiven offenen Korrekturaufgaben erneut auszuführen, die von dieser Regel erstellt wurden. Es löscht Korrekturaufgaben basierend auf der geänderten Regel automatisch und erstellt sie neu.
Beim erneuten Anwenden werden nur vorhandene Korrekturaufgaben überprüft.
Nachdem Sie Erneut anwenden ausgewählt haben, wird die folgende Meldung angezeigt: Durch das erneute Anwenden dieser Regel für Korrekturaufgaben werden die Korrekturaufgaben für diese Regel gelöscht und neu erstellt. Korrekturaufgaben, die sich nicht im Status „Offen“ befinden, werden nicht gelöscht.
Regeln für Korrekturaufgaben und CVIT-Erstellung und -Aktualisierung
Wenn ein CI aus einem Scan einer bekannten Schwachstelle zugeordnet ist, wird eine CVIT erstellt. Nach der Erstellung wird die CVIT anhand der Bedingungen der Regeln für Korrekturaufgaben für eine Übereinstimmung ausgewertet. Wenn es eine Übereinstimmung mit einer vorhandenen Korrekturaufgabe gibt, wird die CVIT hinzugefügt. Wenn keine übereinstimmende Korrekturaufgabe gefunden wird, wird eine für CVIT erstellt.
Wenn eine Eigenschaft, die in den Filterbedingungen für Korrekturaufgaben erfasst wird, in einem CVIT aktualisiert oder geändert wird, wird die aktualisierte AVI auch anhand der Regeln für Korrekturaufgaben auf Übereinstimmung ausgewertet. Wenn es eine Übereinstimmung mit einer vorhandenen Korrekturaufgabe gibt, wird die CVIT hinzugefügt. Wenn keine übereinstimmende Korrekturaufgabe gefunden wird, wird eine für CVIT erstellt.
Status-Rollup und -Rolldown
Wenn Sie eine Korrekturaufgabe auf „Offen“ oder von „Offen“ auf „Wird untersucht“ ändern, wird der neue Status auf alle zugehörigen CVITs übertragen. Das Status-Rolldown erfolgt unmittelbar nach dem Ändern des Status.
Ein Status-Rollup von CVITs zur Korrekturaufgabe findet nur statt, wenn sich alle CVITs für die Aufgabe im Status „Zurückgestellt“ oder „Geschlossen – Fest“ befinden. Das Rollup erfolgt mit den Werten der angreifbaren Elemente des Rollup-Containers für die Schwachstelle und einer geplanten Gruppenaufgabe, die alle 15 Minuten ausgeführt wird. Für den Status wird erst ein Rollup durchgeführt, wenn der Auftrag ausgeführt wird. Damit ein Status für ein Rollup von den CVITs zur Korrekturaufgabe erfolgt, müssen sich alle CVITs im selben Status befinden.