Mit Container Vulnerability Response installierte Komponenten
Bei der Aktivierung der Anwendung Container Vulnerability Response werden mehrere Arten von Komponenten installiert, z. B. Tabellen, Benutzerrollen und regelmäßige Aufgaben.
Für diese Funktion sind Demodaten verfügbar.
Mit Container Vulnerability Response installierte Rollen
Rollen werden bei der Aktivierung von Container Vulnerability Response hinzugefügt.
Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.
Wenn Sie Upgrade-Kunde sind, hat sich der Zugriff für die Benutzer und Gruppen, denen Sie vor v10.3 die Berechtigungen sn_vul.vulnerability_read und sn_vul.vulnerability_write zugewiesen haben, nicht geändert. Benutzern und Gruppen bleiben diese Rollen zugewiesen, bis Sie sie ändern. Ab v10.3 bevorzugen Sie jedoch möglicherweise die Zuweisung granularer Rollen, um mehr Kontrolle darüber zu haben, was Benutzer und Gruppen in der Anwendung Vulnerability Response tun und anzeigen können. Eine Übersicht und weitere Informationen zum Verwalten dieser Rollen finden Sie unter Vulnerability Response Personas und granulare Rollen und Verwalten Sie Personas und granulare Rollen für Vulnerability Response.
| Rollentitel [Name] | Beschreibung |
|---|---|
| sn_vul_container.ci_manager | Verwaltet die Neuklassifizierung von nicht abgeglichenen Konfigurationselementen (CIs). |
| sn_vul_container.configure_integrations | Konfiguriert Containerintegrationen. |
| sn_vul_container.configure_vi_granularity | Konfiguriert die Granularität angreifbarer Container-Elemente. |
| sn_vul_container.create_vi | Kann angreifbare Container-Elemente manuell erstellen. |
| sn_vul_container.delete_vi | Kann manuell erstellte angreifbare Container-Elemente löschen. |
| sn_vul_container.exception_approver | Genehmigt Ausnahmen, Zurückstellungen und Schließungen von angreifbaren Containerelementen. Ab v2.3 wurde die granulare Rolle sn_vul_container.read_all für diese Rolle entfernt, sodass Sie auf die Ihnen und Ihrer Gruppe zugewiesenen angreifbaren Containerelemente und Korrekturaufgaben zugreifen können, anstatt auf alle angreifbaren Containerelemente und Korrekturaufgaben. |
| sn_vul_container.false_positive_approver | Genehmigt oder lehnt das Schließen von angreifbaren Containerelementen als falsch positiv ab. |
| sn_vul_container.manage_assignment_rules | Definiert und aktualisiert Zuweisungsregeln für angreifbare Container-Elemente. |
| sn_vul_container.manage_auto_close_stale_vi | Konfigurieren Sie die angreifbaren Elemente für das automatische Schließen veralteter Container |
| sn_vul_container.manage_auto_exception_rule | Ausnahmeregeln verwalten (Erstellen/Lesen/Aktualisieren/Löschen). |
| sn_vul_container.manage_normalized_severity | Kann die Zuordnung aktualisieren, um den Schweregrad zu normalisieren. |
| sn_vul_container.manage_permissions | Kann Anwendern Container Vulnerability Response-Rollen zuweisen. |
| sn_vul_container.manage_remediation_targ… | Definiert und aktualisiert Container-Korrekturzielregeln. |
| sn_vul_container.manage_risk_score_confi... | Definiert und aktualisiert Risikopunktzahl-Rechner, Risikoregeln und Schwachstellen-Rollup-Rechner für angreifbare Container-Elemente. |
| sn_vul_container.read_all | Kann alle angreifbaren Containerelemente und zugehörige Informationen anzeigen. |
| sn_vul_container.read_assigned | Kann angreifbare Container-Elemente anzeigen, die mir oder meinen Gruppen zugewiesen sind. |
| sn_vul_container.read_assignment_rules | Kann Zuweisungsregeln für angreifbare Container-Elemente anzeigen. |
| sn_vul_container.read_auto_exception_rule | Ausnahmeregeln lesen |
| sn_vul_container.read_discovered_image | Kann erkannte Elemente anzeigen. |
| sn_vul_container.read_integrations | Kann Ergebnisse von Integrationsausführungen anzeigen. |
| sn_vul_container.read_normalized_severity | Kann die normalisierte Schweregradzuordnung anzeigen. |
| sn_vul_container.read_remediation_target... | Kann Korrekturzielregeln anzeigen. |
| sn_vul_container.read_risk_score_configu... | Kann Risikopunktzahlrechner, Risikoregeln und Schwachstellen-Rollup-Rechner für angreifbare Container-Elemente anzeigen. |
| sn_vul_container.remediation_owner | Liest und schreibt angreifbare Container-Elemente, die ihnen zugewiesen sind. Schwachstellendatensätze können auch von einem Benutzer mit dieser Rolle gelesen werden. |
| sn_vul_container.update_assigned_to | Kann die Zuweisung von angreifbaren Containerelementen aktualisieren. Erfordert sn_vul_container.write_all oder sn_vul_container.write_assigned. |
| sn_vul_container.update_assignment_group | Kann Zuweisungsgruppe für angreifbare Container-Elemente aktualisieren. Erfordert sn_vul_container.write_all oder sn_vul_container.write_assigned. |
| sn_vul_container.update_state | Kann Status angreifbarer Elemente aktualisieren. Erfordert sn_vul_container.write_all oder sn_vul_container.write_assigned. |
| sn_vul_container.vulnerability_admin | Konfiguriert alle Regeln, Integrationen usw. für das Produkt Container Vulnerability Response. |
| sn_vul_container.vulnerability_analyst | Überwacht die Korrektur aller angreifbaren Containerelemente. |
| sn_vul_container.write_all | Kann alle angreifbaren Containerelemente und Korrekturaufgaben aktualisieren. |
| sn_vul_container.write_assigned | Kann angreifbare Containerelemente oder Korrekturaufgaben aktualisieren, die mir oder meinen Gruppen zugewiesen sind. |
| sn_vul_container.read_watch_topic | Kann Überwachungsthemen für Container-Schwachstellen lesen. |
| sn_vul_container.create_watch_topic | Kann Überwachungsthemen für Container-Schwachstellen erstellen. |
| sn_vul_container.edit_watch_topic | Kann Überwachungsthemen für Container-Schwachstellen bearbeiten. |
| sn_vul_container.manage_exception_configuration | Kann Ausnahmeverwaltungskonfigurationen verwalten. |
Mit Container Vulnerability Response installierte Tabellen
Tabellen werden bei der Aktivierung von Container Vulnerability Response (CVR) hinzugefügt.
| Tabelle | Beschreibung |
|---|---|
| Suche nach Container-Image sn_vul_container_image_findings |
Speichert Informationen über die zugeordneten Schwachstellen, die Image-Ebene, das Docker-Image, das Image-Repository und das erkannte Image. |
| Container-Image-Ebene sn_vul_container_image_layer |
Enthält die Informationen jeder Bildebene. Ein Image ist eine statische Datei mit ausführbarem Code, die einen Container auf einem Computersystem erstellen kann. |
| Container-Image-Paket sn_vul_container_image_package |
Stellt Informationen zu den Paketen bereit, in denen die Schwachstellen vorhanden sind. Die Details des Binärpakets werden auch als durch Kommas getrennte Werte bereitgestellt. |
| Angreifbares Container-Element sn_vul_container_image_vulnerable_item |
Enthält Details zu jedem Fund und der entsprechenden Schwachstelle. |
| Erkanntes Container-Image sn_vul_container_image |
Stellt Informationen zur Image-ID, zum Docker-Image und zum Image-Repository bereit. Außerdem werden die Ebeneninformationen gespeichert und dem erkannten Image zugeordnet. |
| Suche nach Zuordnungen sn_vul_container_finding_m2m_vul_item |
M2M-Beziehung der Container-Image-Ergebnisse und der angreifbaren Container-Elemente (CVITs). |
| Angreifbare Elemente automatisch schließen sn_vul_container_image_auto_close_config |
Enthält die Informationen zum Schließen der veralteten Container-Image-Ergebnisse und zum Rollup des Status zu den CVITs. |
| Container-Image-Schwachstellenschlüssel sn_vul_container_image_vulnerability_keys |
Enthält die Granularitätskonfiguration für die Erstellung von CVITs aus den Container-Image-Ergebnissen. |
| Docker-bezogene Services sn_vul_container_m2m_ci_services |
Enthält alle Business Services, die einem Container-Image zugeordnet sind |
| Anzahlen der VR-Container sn_vul_container_vr_container_counts |
Enthält den gleitenden Durchschnitt der Containerinstanzen, die in den letzten 90 Tagen aus einem Container-Image gesponnen wurden. |
| Element der Container-Korrekturaufgabe sn_vul_container_m2m_vul_group_item |
M2M-Tabelle zwischen CVIT und Container-Korrekturaufgaben. |
| Container-Korrekturaufgabe sn_vul_container_vulnerability |
Enthält Container-Korrekturaufgaben |
| Container-Korrekturaufgabe – Manifest sn_vul_container_rt_manifest |
Alle Aktualisierungen der Korrekturaufgabe werden mithilfe dieser Manifesttabelle nach geplanten Aufgaben durchgeführt. |
Mit Container Vulnerability Response installierte regelmäßige Aufgaben
Regelmäßige Aufgaben werden bei der Aktivierung von Container Vulnerability Response hinzugefügt.
| Regelmäßige Aufgabe | Beschreibung |
|---|---|
| Ordnen Sie vorhandene Container-VIs der automatischen Ausnahmeregel zu | Ordnet die automatische Ausnahmeregel automatisch vorhandenen angreifbaren Containerelementen (CVITs) zu. |
| Überprüfen Sie den Ablauf der Zurückstellung des angreifbaren Container-Elements | Sendet Benachrichtigungen, wenn angreifbare Container-Elemente oder Container-Schwachstellen abgelaufen sind (und wenn sie in einer Woche ablaufen). |
| Anzahl der Vulnerability Response-Container (Anwendung – Vulnerability Response und Configuration Compliance for Containers) | Wird täglich ausgeführt, um die Tabelle sn_vul_container_vr_container_counts auszufüllen, die den gleitenden 90-Tage-Durchschnitt für Container berechnet. |
| CVITs automatisch schließen | Schließt automatisch angreifbare Container-Elemente, die der in der Konfiguration für das automatische Schließen definierten Bedingung entsprechen. Ihr Status wird in „Korrigiert“ geändert. |
| Geschäftsrelevanz für CVIT berechnen | Verarbeitet alle aktiven CVITs und aktualisiert das Feld Geschäftsrelevanz basierend auf den betroffenen Services des Docker-Image der CVIT. |
| Schließen Sie CVITs ab, denen kein Docker-Image zugeordnet ist | Lässt CVITs automatisch ablaufen, denen kein CI zugeordnet ist. Ihr Status wird auf Geschlossen und ihr Substatus auf Abgebrochen gesetzt. |
| Berechnet die zugehörigen VI-Anzahlen für die Container-Korrekturaufgabe | Berechnet die Anzahl der Datensätze für Container-Korrekturaufgaben. |
| Rollup der Werte des angreifbaren Containerelements für Schwachstelle und Gruppe | Berechnet Schwachstellen und Gruppen-Rollups für angreifbare Container-Elemente. |