Einheitliches Vulnerability Response-Dashboard

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 11 Minuten Lesedauer

    • Das Dashboard „Unified Vulnerability Response“ bietet eine umfassende Ansicht der Schwachstellen und Risiken einer Organisation. Die Schwachstellen im Zusammenhang mit Infrastruktur, Cloud, Anwendungen und Containern können zur besseren Transparenz und Behebung in einem zentralen Dashboard angezeigt werden.

    Erforderliche Now Platform-Rollen

    Die folgenden Rollen sind dieser Lösung zugeordnet. Sie sind zum Anzeigen, Bearbeiten und Freigeben der Berichte erforderlich:
    • sn_vul.app_sec_manager
    • sn_vul.vulnerability_admin
    • sn_vul.vulnerability_analyst
    • sn_vulc.admin
    • sn_vul_container.vulnerability_admin
    • sn_vul_container.vulnerability_analyst
    • sn_vul.app_developer
    • sn_vulc.vulnerability_analyst

    Greifen Sie auf das Unified Vulnerability Response-Dashboard zu

    Um das Dashboard zu öffnen, navigieren Sie zu einem der folgenden Elemente:
    • Alle > Vulnerability Response > Arbeitsbereich des Schwachstellenmanagers und wählen Sie das Symbol Dashboards. Abhängig von Ihrer Rolle wird das Standard-Dashboard angezeigt. Um das Unified Vulnerability Response-Dashboard anzuzeigen, wählen Sie die Dropdown-Liste neben dem Dashboard-Namen aus.
    • Arbeitsbereiche > Platform Analytics-Arbeitsbereich > Dashboards > Einheitliches Vulnerability Response-Dashboard.
    Unified Vulnerability Response-Dashboard

    Anwendungsfälle

    Beispiele dafür, wie verschiedene Personen in Ihrem Unternehmen dieses Dashboard verwenden könnten, finden Sie in diesen Anwendungsfällen.
    Anwender Dashboard-Verwendung
    • Schwachstellenmanager
    • Schwachstellenanalysten
    • Bietet Echtzeittransparenz der Risiken in Infrastruktur, Anwendungen, Konfigurationen und Containern. Eermöglicht ihnen, die Schwachstellen rechtzeitig zu priorisieren und zu beheben.
    • Stellt eine Angriffsoberflächenübersicht von kritischen Assets bereit, die zur Nachverfolgung des Korrekturfortschritts und der Korrekturmaßnahmen verwendet werden kann.
    • Bietet eine Übersicht über Risiken in Geschäftsbereichen (Business Units, BUs). Sie können Filter verwenden, um Geschäftsbereiche auszuwählen und den Fortschritt bei der Neuzuteilung von Ressourcen nach Bedarf zu vergleichen. Dem Geschäftsbereichsleiter muss Zugriff auf Rollenebene gewährt werden.
    • Bietet Einblick in die potenziellen Auswirkungen nach Geschäftsbereichen. Sie können den CVE-Filter (Common Vulnerability and Exposure) verwenden, um Gefährdungen in der gesamten Organisation zu identifizieren.
    • Bietet Einblick in die EPSS-Punktzahlen, die von angreifbaren Einträgen im CISA-KEV-Katalog für angreifbare Anwendungs-, Host- und Containerelemente erreicht werden.

    Unified Vulnerability Response Dashboard-Registerkarten

    In diesem Dashboard können Sie die Schwachstellen oder Probleme anzeigen, die in Hosts, Cloud, Konfigurationen, Anwendungen und Containern vorhanden sind. Sie können die Schwachstellen basierend auf Geschäftsbereich, Zuweisungsgruppe, Risikobewertung, Relevanz und Exploit für die Schwachstellen anzeigen.

    Die Registerkarte „ Asset-Übersicht “ zeigt den Gesamtstatus der Konfigurationselemente (CIs) im System an.Registerkarte „Asset-Übersicht“

    Die Registerkarte „ Schwachstellenübersicht “ enthält einen Status für die Arten von Schwachstellen, z. B. Host, Anwendung, Container.Registerkarte „Schwachstellenübersicht“

    Die Registerkarte „ Zuweisungsübersicht “ enthält einen Status für die Zuweisung der Schwachstellen.Registerkarte „Zuweisungsübersicht“.

    Die Registerkarte Ausnahmenverwaltung enthält einen Status der zurückgestellten Schwachstellen.Registerkarte „Exception Management“

    Die Registerkarte Servicelevel- Vereinbarung (Service Level Agreement, SLA) enthält einen Status der Servicelevel-Vereinbarung, die von verschiedenen Zuweisungsgruppen erreicht wurde.Registerkarte „Servicelevel-Vereinbarungs-SLA“

    Die Registerkarte „ Vulnerability Intelligence “ bietet einen Status für die EPSS-Punktzahlen, die von Schwachstellen mit der CISA-KEV-Kennzeichnung „true“ und einer EPSS-Punktzahl >= 0,9 für angreifbare Anwendungs-, Host- und Container-Elemente erreicht wurden.Registerkarte „Schwachstellen-Intelligenz“.

    Filter

    Sie können die Widgets nach Folgendem filtern:
    • Geschäftsbereich
    • Zuweisungsgruppe
    • Risikobewertung
    • Relevanz von Assets
    • Mit Internetzugriff
    • Exploit vorhanden

    Wenn ein Filter ausgewählt wird, werden die Daten in allen Widgets aktualisiert. Wenn jedoch ein Filter für ein Widget nicht anwendbar ist, wird neben dem Filternamen ein Cross-Symbol angezeigt.

    Hinweis:
    In Tokyosind nur Filter für Geschäftsbereich und Zuweisungsgruppe verfügbar. Alle Filter sind ab Utah verfügbar.

    Indikatoren

    Gescannte Assets
    Formelindikator für in den letzten 60 Tagen gescannte Assets. Enthält gescannte erkannte Element-Assets, gescannte Anwendungs-Release-Assets und gescannte erkannte Container-Image-Assets als beitragende Indikatoren.​
    Assets – Exploit vorhanden
    Formelindikator für Assets, bei denen Exploits in den Schwachstellen vorhanden sind. Enthält Host-Assets – Exploit vorhanden, Anwendungs-Assets – Exploit vorhanden, Container-Assets – Exploit vorhanden als beitragende Indikatoren​
    Infra-Asset – mit Internetzugriff
    Indikator zum Abrufen der Anzahl der Assets, die mit dem Internet verbunden sind.
    Erkannte Elemente basierend auf Cloud-Ressourcentyp
    Indikator zum Abrufen der Anzahl von Assets mit einer Asset-Kategorie wie „Cloud“.
    Basis-Images
    Indikator zum Abrufen der Anzahl der Basis-Images​.
    CISA-KEVs-Asset-Typ
    Formelindikator, der die Anzahl der angreifbaren Container- und Host-Elemente angibt, bei denen die Kennzeichnung „CISA KEV (BOD 22-01)“ für die Schwachstelle auf „true“ gesetzt ist. Enthält „CISA vorhanden – CVR“ und „CISA vorhanden – Angreifbare Elemente“ als beitragende Indikatoren.
    CISA vorhanden – Angreifbare Elemente – Nicht zugewiesen
    Formelindikator, der die Anzahl der angreifbaren Container- und Host-Elemente angibt, bei denen für die Schwachstelle die Kennzeichnung „CISA KEV (BOD 22-01)“ auf „wahr“ gesetzt ist und die angreifbaren Elemente nicht zugewiesen sind. Enthält nicht zugewiesene angreifbare Container-Elemente und nicht zugewiesene angreifbare Host-Elemente als beitragende Indikatoren.
    CISA vorhanden – Angreifbare Elemente – Ziel verfehlt
    Formelindikator, der die Anzahl der angreifbaren Container- und Hostelemente angibt, bei denen die Kennzeichnung „CISA KEV (BOD 22-01)“ für die Schwachstelle auf „wahr“ gesetzt ist und die angreifbaren Elemente das Ziel verfehlt haben. Enthält „CISA vorhanden“ angreifbare Elemente, „CISA vorhanden“-CVR als beitragende Indikatoren.
    Aktive Host-VITs
    Anzahl der aktiven angreifbaren Hostelemente (VITs).
    Aktive Anwendungs-VITs
    Anzahl der aktiven angreifbaren Elemente in Anwendungen (AVITs).
    Aktive Container-VITs
    Anzahl der aktiven angreifbaren Containerelemente (CVITs).
    Neue VITs
    Anzahl der an einem Tag geöffneten VITs
    Neue AVITs
    Anzahl der AVITs, die an einem Tag geöffnet wurden.
    Neue CVITs
    Anzahl der CVITs, die an einem Tag geöffnet wurden.
    Neue Testergebnisse
    Anzahl der Testergebnisse (TRs), die an einem Tag erstellt wurden.
    Geschlossene AVITs
    Anzahl der an einem Tag geschlossenen VITs
    Geschlossene VITs
    Anzahl der an einem Tag geschlossenen AVITs
    Geschlossene CVITs
    Anzahl der an einem Tag geschlossenen CVITs
    Geschlossene Testergebnisse
    Anzahl der an einem Tag geschlossenen TRs.
    Offene Konfigurationsprobleme – Testergebnisse
    Anzahl aller offenen Testergebnisse, die sich im Status „Fehlgeschlagen“ befinden.
    Risikopunktzahl der Organisation
    Risikopunktzahl einer Organisation aus der Tabelle „Rollup-Anwendungsrisikopunktzahl“.
    Nicht zugewiesene angreifbare Anwendungselemente
    AVITs ohne Zuweisungsgruppe oder zugewiesen zu.
    Nicht zugewiesene angreifbare Host-Elemente
    VITs ohne Zuweisungsgruppe oder zugewiesen zu
    Nicht zugewiesene angreifbare Container-Elemente
    CVITs ohne Zuweisungsgruppe oder zugewiesen zu
    Nicht zugewiesene Konfigurationsprobleme
    TRs ohne Zuweisungsgruppe oder zugewiesen zu.
    Zurückgestellte VITs
    VITs im Status „Zurückgestellt“
    Zurückgestellte AVITs
    AVITs im Status „Zurückgestellt“
    Zurückgestellte CVITs
    CVITs im Status „Zurückgestellt“
    Host-SLA – Geschlossen
    Durchschnittliches Abschlussalter von geschlossenen VITs​
    Anwendungs-SLA – Geschlossen
    Durchschnittliches Abschlussalter von geschlossenen AVITs​
    Container-SLA – Geschlossen
    Durchschnittliches Abschlussalter von geschlossenen CVITs​
    Testergebnis-SLA – Bestanden
    Durchschnittliches Abschlussalter von bestandenen TRs​
    Host-SLA – Geschlossen (Kritisch und Hoch)
    Durchschnittliches Abschlussalter von geschlossenen VITs mit kritischen und hohen VITs.
    Anwendungs-SLA – Geschlossen (Kritisch und Hoch)
    Durchschnittliches Abschlussalter von kritischen AVITs und hohen AVITs​
    Container-SLA – Geschlossen (Kritisch und Hoch)
    Durchschnittliches Abschlussalter von geschlossenen kritischen und hohen CVITs
    Testergebnis-SLA – Bestanden (Kritisch und Hoch)
    Durchschnittliches Abschlussalter von bestandenen kritischen und hohen TRs
    Aggregierte MTTR
    Durchschnittliches Abschlussalter von geschlossenen VITs, AVITs, CVITs und TRs
    SLA verfehlt
    Durchschnittliches Abschlussalter von geschlossenen VITs, AVITs, CVITs und TRs mit verfehltem Ziel.
    Schwachstellen mit EPSS-Punktzahlen >= 0,9
    Anzahl der Schwachstelleneinträge mit EPSS-Punktzahlen größer oder gleich 0,9.

    BreakdownsAufgliederungen

    • VIT-Typ (einheitlich)
    • Mit Internetzugriff (einheitlich)
    • Risikobewertung (einheitlich)
    • Exploit vorhanden (einheitlich)
    • Cloud-Ressourcentyp des erkannten Elements (einheitlich)
    • CISA vorhanden (einheitlich)
    • CMDB-Klasse (einheitlich)
    • Geschäftsbereich (einheitlich)
    • Business-Relevanz (einheitlich)
    • Grund für Zurückstellung (einheitlich)
    • Zuweisungsgruppe (einheitlich)
    • Korrekturstatus (einheitlich)

    Datenvisualisierungen

    Tabelle : 1. Registerkarte „Asset-Übersicht“
    Titel Typ Beschreibung
    Angriffsoberfläche – Übersicht Einzelwert Einzelwert Zahl, die die zusammengefasste Punktzahl der Sicherheit einer Organisation darstellt.
    CMDB-CI-Anzahl Einzelwert Einzelwert Anzahl der CIs in der Organisation, die in Configuration Management Database (CMDB)registriert sind und nachverfolgt werden Stellt eine Aufgliederung der folgenden CIs bereit:
    • Gescannte CIs: Anzahl der gescannten CIs
    • Exploit: Anzahl der verfügbaren Exploits
    • Mit Internetverbindung: Anzahl der CIs mit Internetzugriff
    Cloud-Ressource Einzelwert Einzelwert Anzahl der CIs mit Asset-Kategorie wie „Cloud“. Stellt eine Aufgliederung der folgenden Cloud-Assets bereit:
    • AWS
    • Azure
    • GCP
    Docker-Bild Einzelwert Einzelwert Anzahl der Docker-Images einschließlich der Anzahl der Basis-Images.
    Anwendungen Einzelwert Einzelwert Anzahl der Anwendungen in der Organisation.
    Tabelle : 2. Registerkarte „Schwachstellenübersicht“
    Titel Typ Beschreibung
    CISA-KEVs Kreisdiagramm

    Anzahl der Schwachstellen, die mit dem Katalog CISA und der CISA-Kennzeichnung „wahr“ verknüpft sind.

    Stellt eine Aufgliederung bereit, die auf Folgendem basiert:
    • CISA-Schwachstelle: Arten von Schwachstellen mit „wahr“-CISA-Kennzeichnung
    • Host-CIs – mit Internetverbindung: CIs mit Internetverbindung
    • Nicht zugewiesene VITs: Nicht zugewiesene VITs mit CISA-Kennzeichnung „wahr“.
    • VITs mit verfehltem Ziel: VITs, die das Ziel verfehlt haben und deren CISA-Kennzeichnung „wahr“ ist
    Aktive Schwachstellen nach Relevanz Gestapelter Balken Gestapelter Balken Anzahl der aktiven VITs, AVITs und CVITs basierend auf Relevanz.
    Trend bei der Erstellung und Schließung von Schwachstellen

    Mehrere Leitungen Mehrere Leitungen

    		 Anzahl der neuen und geschlossenen Schwachstellen für alle Anwendungen. Stellt einen Trend für die letzten drei Monate bereit.
    Falsche Konfiguration nach Cloud-Plattform

    Mehrere Leitungen Mehrere Leitungen

    		 Anzahl der Konfigurationsprobleme basierend auf der Risikobewertung für jedes Cloud-Asset.
    Cloud-Compliance Tabelle Liste der Ressourcen mit der Asset-Kategorie „Cloud“ mit den folgenden Details:
    • Ressourcenname
    • Klasse
    • Schwachstellenprobleme: Anzahl der in der Ressource vorhandenen Probleme, die basierend auf der Risikobewertung zusammengefasst werden.
    • Konfigurationsprobleme: Anzahl der Ressourcen mit Konfigurationsproblemen zusammen mit Risikobewertung.
    • Cloud-Konto: ID des Cloud-Kontos.
    • Cloud-Region: Speicherort der Cloud-Ressourcen.
    • Cloud-Provider: Name des Cloud-Providers.
    Tabelle : 3. Registerkarte „Zuweisungsübersicht“.
    Titel Typ Beschreibung
    Nicht zugewiesene VITs Gestapelter Balken Gestapelter Balken Anzahl der Schwachstellen, die keiner Gruppe oder Einzelperson zugewiesen sind, zusammen mit Risikobewertung.
    MTTR nach Zuweisungsgruppe – Top 10

    Mehrere Leitungen Mehrere Leitungen

    		 Durchschnittliche Zeit, die eine Zuweisungsgruppe benötigt, um die Sicherheitsschwachstellen oder -probleme zu identifizieren und zu beheben. Die 10 wichtigsten Zuweisungsgruppen mit der höchsten durchschnittlichen Zeit für die Korrektur werden angezeigt.
    Top-10-Zuweisungsgruppen ohne SLA (als „kritisch“ und „hoch“ eingestufte Schwachstelle) Gestapelter Balken Gestapelter Balken Top-10-Zuweisungsgruppen, die das Zieldatum der Korrektur von kritischen und hohen Schwachstellen verfehlt haben.
    Tabelle : 4. Registerkarte „Exception Management“
    Titel Typ Beschreibung
    Zurückgestellte VITs Gestapelter Balken Gestapelter Balken Anzahl der Schwachstellen im Status „Zurückgestellt“ basierend auf der Risikobewertung.
    Als „kritisch“ und „hoch“ eingestufte zurückgestellte VITs nach Zuweisungsgruppe Gestapelter Balken Gestapelter Balken Anzahl der Schwachstellen mit kritischen und hohen Risikobewertungen im Status „Zurückgestellt“, die basierend auf den Zuweisungsgruppen kategorisiert werden.
    Tabelle : 5. Registerkarte Servicelevel-Vereinbarung (SLA).
    Titel Typ Beschreibung
    Host-Schwachstelle: SLA-Erreichung nach Zuweisungsgruppe

    Mehrere Leitungen Mehrere Leitungen

    		 Zeit, die eine Zuweisungsgruppe für die Behebung von Host-Schwachstellen benötigt hat. Stellt einen Trend für die letzten 10 Monate bereit.
    Compliance-Probleme: SLA-Erreichung nach Zuweisungsgruppe

    Mehrere Leitungen Mehrere Leitungen

    		 Zeit, die eine Zuweisungsgruppe für die Behebung von Compliance-Problemen benötigt hat. Stellt einen Trend für die letzten 10 Monate bereit.
    Anwendungsschwachstelle: SLA-Erreichung nach Zuweisungsgruppe

    Mehrere Leitungen Mehrere Leitungen

    		 Zeit, die eine Zuweisungsgruppe für die Korrektur von Anwendungsschwachstellen benötigt hat. Stellt einen Trend für die letzten 10 Monate bereit.
    Container-Schwachstelle: SLA-Erreichung nach Zuweisungsgruppe

    Mehrere Leitungen Mehrere Leitungen

    		 Zeit, die eine Zuweisungsgruppe für die Korrektur von Container-Schwachstellen benötigt hat. Stellt einen Trend für die letzten 10 Monate bereit.
    Tabelle : 6. Registerkarte „Schwachstellen-Intelligenz“.
    Titel Typ Beschreibung
    Schwachstellen mit einer EPSS-Punktzahl >= 0,9 Tabelle Vollständige Listenansicht aller angreifbaren Einträge (CVEs oder TPEs), deren EPSS-Punktzahl größer oder gleich 0,9 ist, zusammen mit den folgenden Details.
    • ID: CVE-ID der Schwachstelle
    • EPSS-Punktzahl
    • EPSS – Zuletzt geändert
    • CISA KEV BOD 22-01: Gibt an, ob der Eintrag im CISA KEV BOD vorhanden ist (Binding Operational Direktive 22-01)
    • AEs insgesamt: Gesamtanzahl der AEs, die für diesen Schwachstelleneintrag vorhanden sind.
    • Container-VIs insgesamt: Gesamtanzahl der Container-VIs, die für diesen Schwachstelleneintrag vorhanden sind.
    • Schweregrad
    Nach außen gerichtete angreifbare Host-Elemente mit einer EPSS-Punktzahl >= 0,9 Einzelwert Einzelwert Zahl, die die Gesamtanzahl der nach außen gerichteten angreifbaren Hostelemente mit einer EPSS-Punktzahl größer oder gleich 0,9 angibt. Stellt Einzelpunktzahlen bereit, sortiert nach Schweregrad der Risikobewertung.
    Nach außen gerichtete angreifbare Host-Elemente nach Risikobewertung Gestapelter Balken Gestapelter Balken Anzahl der nach außen gerichteten angreifbaren Hostelemente nach Risikobewertung. Die Stapelleisten werden nach EPSS-Punktzahl >=0,9 und CISA KEV = True kategorisiert.
    Angreifbare Elemente mit EPSS-Punktzahl >= 0,9 nach Risikobewertung Gestapelter Balken Gestapelter Balken Anzahl der Schwachstellen mit einer EPSS-Punktzahl größer oder gleich 0,9, sortiert nach Risikobewertung. Stellt eine Aufgliederung nach angreifbaren Hostelementen, angreifbaren Anwendungselementen und angreifbaren Containerelementen bereit.

    Geplante Aufgaben für die Datenerfassung

    Datensammlungsaufträge sammeln automatisch Punkte für automatisierte Indikatoren und Aufgliederungen. Die folgenden geplanten Aufgaben werden ausgeführt, um automatisch Punktzahlen für neue Daten zu sammeln.
    Warnung:
    Standardmäßig sind die folgenden Datenerfassungsaufgaben im Basissystem deaktiviert:
    • Tägliche Datensammlung im einheitlichen Dashboard
    • Wöchentliche Datensammlung im einheitlichen Dashboard
    • Historische Datensammlung im einheitlichen Dashboard

    Bevor Sie die Aufträge aktivieren, lesen Sie die KB.

    Regelmäßige Aufgabe Häufigkeit Beschreibung
    Historische Datensammlung im einheitlichen Dashboard Einmal Sammelt Punktzahlen und Snapshots für vorhandene Datensätze.
    Wöchentliche Datensammlung im einheitlichen Dashboard Wöchentlich Erfasst Daten wöchentlich.

    Tägliche Datensammlung im einheitlichen Dashboard

    		 Täglich Erfasst täglich Daten.
    Rollup der Risikopunktzahlen zur Organisation Täglich Erfasst die zusammengefasste Risikopunktzahl für eine Organisation.
    Füllen Sie die täglichen Cloud-Compliance-Anzahlen aus Täglich Sammelt Daten für Cloud-Compliance
    Täglicher EPSS-Auftrag Täglich Sammelt EPSS-Daten von First.org
    Eine neue Tabelle „Rollup-Anwendungsrisikopunktzahl“ [sn_vul_cmn_rollup_app_risk_score] wird im allgemeinen Bereich der Schwachstelle erstellt. Diese Tabelle wird täglich mit den folgenden Rollup-Rechnern über die regelmäßigen Aufgaben ausgefüllt.
    Name des Rollup-Rechners Beschreibung
    Rollup für Risikopunktzahl der Organisation Fasst die Risikopunktzahlen für alle angreifbaren Elemente und Konfigurationsprobleme in einer Organisation zusammen. Sie stellt eine Gesamtrisikopunktzahl für eine Organisation bereit.
    Rollup für angreifbare Elemente Fasst die Risikopunktzahlen für alle angreifbaren Elemente in einer Organisation zusammen, um zur Gesamtrisikopunktzahl einer Organisation beizutragen.
    Rollup für angreifbare Anwendungselemente Fasst die Risikopunktzahlen für alle angreifbaren Anwendungselemente in einer Organisation zusammen, um zur Gesamtrisikopunktzahl einer Organisation beizutragen.
    Rollup für angreifbare Container-Elemente Fasst die Risikopunktzahlen für alle angreifbaren Container-Elemente in einer Organisation zusammen, um zur Gesamtrisikopunktzahl einer Organisation beizutragen.
    Testergebnis-Rollup Fasst die Risikopunktzahlen für alle Testergebnisse in einer Organisation zusammen, um zur Gesamtrisikopunktzahl einer Organisation beizutragen.
    Rollup von EPSS-Punktzahlen von NVDs zu TPEs Rollup der EPSS-Punktzahlen von NVDs zu TPEs, um zur Gesamtrisikopunktzahl einer Organisation beizutragen.