Fechar automaticamente detecções obsoletas no Resposta a vulnerabilidades

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Habilite o fechamento automático de detecções obsoletas para fechar automaticamente as detecções vulneráveis obsoletas que não foram encontradas recentemente por suas integrações de terceiros.

    Antes de Iniciar

    Função necessária: sn_vul.vulnerability_admin ou sn_vuln.admin (descontinuado) ou um gerenciador de vulnerabilidades com a função granular sn_vul.manage_auto_close_stale_vi.

    Para obter mais informações sobre este recurso, termos-chave e qualquer configuração que possa ser necessária para suas integrações de terceiros que importam dados de detecção, consulte Fechando detecções obsoletas em Resposta a vulnerabilidades para obter mais informações.

    Nota:
    As informações fornecidas no procedimento a seguir são aplicáveis somente a versões anteriores à v22.0 de Resposta a vulnerabilidades. A partir da v22.0 de Resposta a vulnerabilidades, você tem a opção de configurar opções de pesquisa adicionais. ConsulteCriar regras de fechamento automático para obter mais informações.

    Procedimento

    1. Navegar até Resposta a vulnerabilidades > Administração > Configuração de fechamento automático > Detecções obsoletas.
      O formulário Configuração obsoleta de fechamento automático é exibido.
    2. Preencha os campos.
    3. Para o campo Fechar automaticamente detecções obsoletas com base em, escolha uma opção para sua pesquisa.
      Ambas as pesquisas correspondem à idade de detecções mais antigas e obsoletas em número de dias até uma data fornecida pelo seu scanner.
      Nota:
      A partir da v22.0 de Resposta a vulnerabilidades, as opções Últimas detecções encontradas e Ativos verificados pela última vez são criadas como uma lista.
      • Últimas detecções encontradas. Esta opção pesquisa a data mais atual ou mais recente em que as detecções foram encontradas novamente pelo scanner.
        Nota:
        Para usuários de Rapid7 e Microsoft TVM, uma mensagem de aviso é exibida sobre a solicitação de informações de detecção atuais.

        Se você selecionar Últimas detecções encontradas para basear sua pesquisa, este recurso exigirá uma execução de integração bem-sucedida de uma das Rapid7 integrações de item vulnerável abrangentes nos últimos sete dias.

        Se você selecionar Últimas detecções encontradas para basear sua pesquisa, este recurso exigirá uma execução bem-sucedida da integração de vulnerabilidades de máquina do Microsoft TVM (importação completa) nos últimos sete dias.

      • Última verificação de ativos. Esta opção pesquisa a data mais atual em que um ativo foi verificado pela última vez por um scanner de terceiros.
    4. Somente para usuários Rapid7 e Microsoft de TVM, verifique se todas as integrações necessárias estão habilitadas.
      Para obter mais informações, consulte Noções básicas sobre Integração com Rapid7 Vulnerability e Noções básicas sobre a integração de vulnerabilidade da Gestão de ameaças e vulnerabilidades da Microsoft.
    5. Para habilitar o módulo, clique na caixa de seleção Ativo para marcá-lo.
    6. No campo Últimas detecções encontradas (dias atrás), insira a idade das detecções mais antigas e obsoletas no número de dias.

      O padrão é 90 dias. Você pode inserir qualquer valor positivo para o número de dias. Este valor é usado para corresponder a uma data fornecida pelo seu scanner. Com 90 e Últimas detecções encontradas exibidos, todas as detecções não encontradas nos últimos 90 dias são encerradas automaticamente. Com 90 e Últimos ativos verificados exibidos, todas as detecções associadas a ativos não verificados nos últimos 90 dias são encerradas automaticamente.

      Nota:

      Há um relacionamento entre o campo Últimas detecções encontradas/Últimas verificações de ativos (dias atrás) para este recurso e o campo Importar desde na API Integração abrangente de itens vulneráveis do Rapid7 e a integração de vulnerabilidades da máquina com Microsoft TVM.

      Para essas integrações, o campo Importar desde nas páginas de configuração está vazio por padrão.

      Se você não inserir um valor ou o campo não tiver nenhum valor, os dados do número de dias configurados no campo Últimas detecções encontradas/Última verificação de ativos (dias atrás) serão usados.

      Por exemplo, se o número de dias definido no formulário de configuração de fechamento automático for 90e o campo Importar desde estiver vazio nas páginas de configuração de integração, a primeira execução de integração importará os dados dos últimos 90 dias. Os campos Importar desde da Rapid7 Integração abrangente de item vulnerável - API e a integração de vulnerabilidades da máquina com Microsoft TVM são editáveis, portanto, você também pode fornecer os valores desejados. O valor de 90 dias será fornecido como padrão se o campo permanecer vazio para que o recurso de fechamento automático não feche os falsos positivos.

      Este relacionamento entre esses campos se aplica somente à primeira execução de integração. Depois disso, a alteração do campo Últimas detecções encontradas/Última verificação de ativos (dias atrás) no formulário de fechamento automático de detecções vulneráveis obsoletas não afeta o campo Importar desde nas páginas de configuração da integração. O campo é alterado para a hora de início da primeira execução para que as execuções de integração subsequentes importem somente as informações delta.

    7. Opcional: Marque a caixa de seleção Ignorar detecções obsoletas para VIs adiados para ignorar detecções obsoletas que são mapeadas para VIs adiadas ou para VIs atualmente em revisão para adiamento.

      Se você deixar esta opção desabilitada, todas as detecções que corresponderem aos seus critérios serão fechadas e mapeadas para VIs adiados ou para VIs que estão em revisão para adiamento. Os VIs adiados ou VIs que estão em revisão e que correspondem a essas detecções também são encerrados automaticamente com base na lógica de acúmulo. Para obter mais informações sobre a lógica de acúmulo, consulte Fechando detecções obsoletas em Resposta a vulnerabilidades.

      Se você habilitar esta opção, todas as detecções que correspondam aos seus critérios que mapeiam para VIs adiados ou para VIs que estão em revisão para adiamento serão ignoradas durante o fechamento automático.

    8. Opcional: Desmarque a caixa de seleção Ignorar detecções obsoletas para IVs encerrados.

      Por padrão, esta caixa de seleção é marcada para que o VI encerrado não seja reaberto quando uma nova detecção relacionada a este VI encerrado for identificada. Para obter mais informações sobre a lógica de acúmulo, consulte Fechando detecções obsoletas em Resposta a vulnerabilidades.

    9. Clique em Atualizar para salvar suas mudanças.

      O trabalho agendado Auto-Close Stale Detections é executado diariamente. O trabalho determina se você selecionou a data em que as detecções foram encontradas pela última vez ou a data em que os ativos foram verificados pela última vez. Em seguida, ele faz a transição das detecções correspondentes para o estado Obsoleto. É importante observar que o recurso de fechamento automático de detecção obsoleta encerra somente detecções obsoletas para instâncias de integração ativas. Itens vulneráveis e detecções associados a instâncias de integração ativas são encerrados. A partir da v22.0 de Resposta a vulnerabilidades, o trabalho agendado foi modificado para considerar a tabela comum [sn_vul_cmn_auto_close_rule].

      Depois que as detecções forem marcadas como obsoletas, se o scanner relatar que encontrou essa detecção novamente, o campo Status das detecções mudará para Aberto. Os itens vulneráveis correspondentes à detecção também são reabertos.

      Além disso, se a detecção estiver marcada como Obsoleta e o scanner descobrir que ela é Fixa, a detecção muda para Encerrada. O estado também é acumulado para os IVs.