Falso-positivo visão geral
Um falso-positivo é uma condição em que o scanner relata que existe uma vulnerabilidade no sistema, mas na verdade não há vulnerabilidade. Pode haver vários motivos, como classificação incorreta, lógica ou algoritmo inadequados no scanner. O responsável pela correção pode marcar itens vulneráveis (VIs) ou tarefas de correção (RTs) como falso-positivos.
Ciclo de vida de um falso-positivo
- Significado de falso-positivo
- O scanner às vezes emite um aviso quando, na verdade, não há vulnerabilidade. Por exemplo, se um item de configuração foi desativado, mas o scanner ainda está levantando um problema relacionado a ele, marque-o como um falso-positivo.
- Marcar como falso-positivo
- Para obter detalhes sobre como marcar um VI ou RT como falso-positivo, consulte Marcar como falso-positivo.
- Como trabalhar com o falso-positivo
- Depois que um VI ou RT é marcado como falso-positivo, o estado é atualizado para Fechado e o subestado é alterado para Falso-positivo. As ações a seguir podem ser realizadas:
- Reabrir
- Excluir
- Atualize a data no campo Até. Esta data é usada como a data de vencimento para o falso-positivo.
Nota:Se não for aprovado, o VI ou RT será revertido para o estado anterior. - Como aprovar um falso-positivo
- O aprovador pode aprovar o falso-positivo em seu fluxo de trabalho de aprovação.Nota:
A partir da Resposta a vulnerabilidades v15.0, se você estiver implantando a aplicação de VR pela primeira vez, o Flow Designer para gestão de exceções será habilitado por padrão. Se você já estiver usando o fluxo de trabalho, poderá atualizar para o Flow Designer. Em ambos os casos, você não pode alterá-lo novamente para fluxo de trabalho. Para configurar regras de aprovação para gestão de exceções e falso-positivo, consulte Configurar regras de aprovação para Gestão de exceções.
- Reabrir um falso-positivo
- Um VI ou RT em um subestado falso-positivo pode ser reaberto a qualquer momento.
- Como rastrear um falso-positivo
- Use a seção Aprovações de mudança de estado para rastrear o status do falso-positivo. Depois de aprovado, o estado do VI ou RT é atualizado para Encerrado e o motivo é Falso-positivo.
- Expiração de um falso-positivo
- Somente o aprovador de falso-positivo pode definir uma data Até para o falso-positivo, para que o VI ou RT expire. Além disso, somente os falsos positivos para os quais o aprovador forneceu uma data Até podem expirar. Essa data pode ser fornecida após a aprovação do falso-positivo.Um falso-positivo sem uma data Até é um falso-positivo permanente. Depois que o falso-positivo expirar, o estado do VI ou VR voltará para Aberto.Nota:
A partir da v21.0 de Resposta a vulnerabilidades, você pode configurar os intervalos de tempo para aprovar falsos positivos e exceções, junto com notificações por e-mail para o aprovador e o solicitante após um número definido de dias. Quando uma solicitação é gerada, o item vulnerável muda para o status Em revisão e um registro de mudança de estado é criado. Se o aprovador não responder dentro do intervalo de tempo configurado, o item vulnerável ou a tarefa de correção será revertido para o status Aberto. O estado anterior é armazenado no campo backup_state. Para obter mais informações, consulte Configurar regras de aprovação para Gestão de exceções.
Figura 1. Processo de aprovação de falso-positivo anterior à v15.0 O processo de aprovação será automático se todos os IVs forem aprovados na próxima verificação. Os IVs são encerrados automaticamente, independentemente do estado atual. Os IVs ou, quando aplicável, os campos de Estado de RT mudam para Encerrado com o subestado Fixo.
Para obter mais informações, consulte Marcar e aprovar um falso-positivo.