Veraltete Erkennungen in werden geschlossen Vulnerability Response

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 8 Minuten Lesedauer

    • Mit dem Modul Veraltete Erkennungen automatisch schließen können Sie ältere, veraltete angreifbare Erkennungen, die nicht kürzlich von Ihren Drittanbieterintegrationen gefunden wurden, automatisch bereinigen. Wenn Sie diese Erkennungen in den Status „Geschlossen“ verschieben, reduzieren Sie die Anzahl der aktiven angreifbaren Elemente und Korrekturaufgaben in Ihrer Instanz Now Platform und helfen Ihnen, Assets in Ihrer CMDB abzugleichen.

    Übersicht und Schlüsselbegriffe

    Um ein genaueres Rollup von Erkennungsdaten für Ihre angreifbaren Elemente durchzuführen, hilft Ihnen das Modul Veraltete Erkennungen automatisch schließen dabei, ältere, veraltete Erkennungen von angreifbaren Elementen zu bereinigen, die nicht kürzlich von Ihren Drittanbieterintegrationen gefunden wurden. Weitere Informationen zu dieser Funktion finden Sie im Anwendungsfall unten und im Artikel Veraltete Erkennungen automatisch schließen [KB 0958638].

    In früheren Versionen von Vulnerability Responsehat das Modul Angreifbare Elemente automatisch schließen angreifbare Elemente, die nicht kürzlich von Ihren Drittanbieter-Scanner-Integrationen gefunden oder aktualisiert wurden, automatisch in Geschlossen – Veraltet überführt.

    Bevor Sie die Funktion Veraltete Erkennungen automatisch schließen aktivieren, lesen Sie die folgenden Begriffe, das Rollup von Status für angreifbare Elemente und Korrekturaufgaben und die Voraussetzungen für Ihre Drittanbieterintegrationen, die Erkennungsdaten importieren.

    Informationen zum Aktivieren dieser Funktion finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

    Wichtige Begriffe

    Veraltete Erkennungen
    Bezieht sich auf Erkennungen, die angreifbaren Elementen in Ihrer Instanz Now Platform® zugeordnet sind, veraltet sind und längere Zeit nicht von Integrationsscans von Drittanbietern gefunden, aktualisiert oder erkannt wurden.
    Zuletzt gefundene Erkennungen
    Diese Suchoption verwendet ein Datum und eine Uhrzeit, die vom Scanner eines Drittanbieters bereitgestellt werden. Dieser Begriff bezieht sich auf das aktuellste oder späteste Datum und die neueste Uhrzeit, zu der Erkennungen vom Scanner erneut gefunden wurden.
    Zuletzt gescannte Assets
    Diese Suchoption verwendet ein Datum und eine Uhrzeit, die vom Scanner eines Drittanbieters bereitgestellt werden. Dieser Begriff bezieht sich auf das aktuelle Datum und die aktuelle Uhrzeit, zu der ein Asset zuletzt von einem Drittanbieter-Scanner gescannt wurde.

    Anwendungsfall

    Manchmal werden Assets (Konfigurationselemente) in Ihrer Umgebung außer Betrieb genommen oder von Drittanbieterscannern gelöscht, und die zugehörigen Erkennungen werden nicht durch Erkennungen angreifbarer Elemente aktualisiert. Dies hat zur Folge, dass die Erkennungen und die zugehörigen angreifbaren Elemente in der Anwendung Vulnerability Response nicht aktualisiert werden und inaktiv (veraltet) werden.

    Um diese veralteten Erkennungen mit unveränderten Daten zu angreifbaren Elementen zu schließen und anschließend die Anzahl der aktiven AEs und Korrekturaufgaben zu reduzieren, aktivieren Sie Veraltete Erkennungen automatisch schließen. Diese Funktion schließt automatisch Erkennungen von angreifbaren Elementen, die nicht kürzlich von Ihren Scanner-Integrationen von Drittanbietern gefunden oder aktualisiert wurden, basierend auf Suchkriterien und einem von Ihnen festgelegten Alter in Tagen.

    Angenommen, ein bestimmtes Konfigurationselement (Configuration Item, CI) weist mehrere Asset-IDs auf, und eine dieser IDs wurde in den letzten 90 Tagen nicht für eine Erkennung von einem Drittanbieterscanner importiert. Diese Funktion schließt automatisch diese Erkennung, die keine neuen Schwachstellendaten aufweist, sodass das zugehörige VI geschlossen werden kann.

    Da einem VI mehr als eine Erkennung zugeordnet sein kann, überträgt diese Funktion nur die Erkennungen, die durch die von Ihnen festgelegten Parameter als veraltet eingestuft werden. Wenn einem VI beispielsweise vier Erkennungen zugeordnet sind und zwei Erkennungen veraltet sind (d. h. in den letzten 90 Tagen keine neuen Schwachstellendaten importiert wurden), schließt diese Funktion nur die veralteten Erkennungen. Bevor das AE geschlossen werden kann, müssen Sie zuerst die beiden anderen offenen Erkennungen korrigieren.

    Rollup von Erkennungsstatus zu VIs

    Um die automatisch geschlossenen Erkennungen von Erkennungen zu unterscheiden, die von Drittanbieterscannern geschlossen wurden, wurde ein neuer Wert für das Feld Status, Veraltet, hinzugefügt. Die möglichen Werte für dieses Feld sind: Offen, Geschlossen und Veraltet. Veraltet gibt an, dass eine Erkennung von der Erkennungsfunktion zum automatischen Schließen geschlossen wurde.

    Statusrangfolge: Offen > Geschlossen > Veraltet.

    1. Wenn Erkennungen Offen sind, bleibt der zugehörige VI-Status Offen.
    2. Wenn keine Erkennungen Offen, einige Erkennungen Geschlossen und Veraltet sind, wechselt der zugehörige VI-Status zu Geschlossen – Behoben.
    3. Wenn alle Erkennungen Veraltet sind, wechselt der zugehörige VI-Status zu Geschlossen – Veraltet.

      Ab Vulnerability Response 20.0 gilt: Wenn die Erkennung veraltet ist und sich das zugehörige VI im Status „Geschlossen“ befindet, wechselt der Status des VI nicht in „Geschlossen – Veraltet“. Dies dient dazu, zu verhindern, dass das VI erneut geöffnet wird, wenn eine neue Erkennung erkannt wird, damit Sie nicht den gesamten Anforderungs- und Genehmigungsprozess für falsch positive Meldungen durchlaufen müssen. Um dieses Verhalten umzukehren, deaktivieren Sie im Formular „Konfiguration für automatisches Schließen“ das Kontrollkästchen Veraltete Erkennungen für geschlossene VIs ignorieren. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

    Rollup von VI-Status zu Korrekturaufgaben (VUL)

    Statusvorrang: Offen > Geschlossen – Repariert > Geschlossen – Veraltet.

    1. Wenn VIs in einer VUL (Korrekturaufgabe) Offen sind, wird der VUL-Status nicht geändert.
    2. Wenn mindestens ein VI Geschlossen – Repariert ist und die übrigen Geschlossen – Veraltet sind, geht der VUL-Status in Geschlossen – Repariert über.
    3. Wenn alle VIs in einer VUL Geschlossen – Veraltet sind, wechselt der Status der VUL zu Geschlossen – Abgebrochen.

    Erkennungen für das automatische Schließen und Anforderungen für die Integration von Drittparteien

    Microsoft TVM-Benutzer und veraltete Erkennungen automatisch schließen

    Prüflistenelement Beschreibung
    Die Microsoft TVM-Schwachstellen-Integration Wenn Sie bei Microsoft TVM Vulnerability Integration Zuletzt gefundene Erkennungen als Grundlage für Ihre Suche auswählen, erfordert diese Funktion eine erfolgreiche Ausführung von Microsoft TVM Machine Vulnerabilities Integration (Vollständiger Import) innerhalb der letzten sieben Tage. Diese Integration wird wöchentlich ausgeführt.

    Wenn das automatische Schließen veralteter Erkennungen aktiviert und für die zuletzt gefundenen Erkennungenkonfiguriert ist und die Microsoft TVM-Integration für maschinelle Schwachstellen deaktiviert ist oder ein Datenimport innerhalb der letzten sieben Tage nicht erfolgreich abgeschlossen wurde, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, außer in Ausnahmefällen veraltete Erkennungen werden möglicherweise nicht wie erwartet geschlossen.

    Wenn Sie „ Zuletzt gescannte Assets “ als Grundlage für Ihre Suche auswählen, ist die Ausführung der Microsoft TVM-Integration für maschinelle Schwachstellen nicht erforderlich.

    So aktivieren Sie diese Integration:

    1. Navigieren zu Microsoft TVM-Schwachstellenintegration > Administration > Integrationan.
    2. Suchen und aktivieren Sie Microsoft TVM Machine Vulnerabilities Integration (Vollständiger Import).
    (Optional) Stellen Sie mehrere Instanzen der Microsoft TVM-Integrationen in Ihrer Umgebung bereit. Sie können optional mehrere Instanzen der Integrationen in Ihrer Umgebung bereitstellen.

    Veraltete Erkennungen automatisch schließen ist nicht instanzspezifisch und wird in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden auf Instanzen, für die Integrationsausführungen erfolgreich abgeschlossen wurden, automatisch in den Status Veraltet überführt.

    Wenn Veraltete Erkennungen automatisch schließen aktiviert ist und Sie die Integrationen deaktivieren, die wöchentlich in einer Instanz ausgeführt werden, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt. Einige Erkennungen werden jedoch möglicherweise nicht wie erwartet automatisch in den Status Veraltet geändert.

    Qualys Benutzer verwalten und veraltete angreifbare Elemente automatisch schließen

    • Alle aktivierten Qualys Drittparteiintegrationen, die Erkennungsdaten abrufen, können mit diesem Modul ausgeführt werden. Es sind keine bestimmten Qualys -Anwendungen erforderlich.
    • Sie können optional mehrere Instanzen der Qualys -Integrationen in Ihrer Umgebung bereitstellen.
    • Veraltete Erkennungen automatisch schließen ist nicht instanzspezifisch und wird in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden auf allen Instanzen automatisch in den Status Veraltet überführt.

    Rapid7 Benutzer und Veraltete Erkennungen automatisch schließen

    Prüflistenelement Beschreibung
    Die Rapid7 Schwachstellen-Integration Wenn Sie Zuletzt gefundene Erkennungen als Grundlage für Ihre Suche auswählen, erfordert diese Funktion eine erfolgreiche Ausführung einer der Rapid7 Comprehensive Vulnerable Item Integrations (Comprehensive Vulnerable Item Integrations) innerhalb der letzten sieben Tage. Diese umfassenden Integrationen werden wöchentlich ausgeführt:
    • Für das Data Warehouse Rapid7 Nexpose ist eine erfolgreiche Ausführung von Rapid7 Comprehensive Vulnerable Item Integration erforderlich.
    • Für Rapid7 InsightVMist eine erfolgreiche Ausführung von Rapid7 Comprehensive Vulnerable Item Integration – API erforderlich.

    Wenn Veraltete Erkennungen automatisch schließen aktiviert und für zuletzt gefundene Erkennungenkonfiguriert ist und die Rapid7 Comprehensive Vulnerable Item Integrations deaktiviert sind oder ein Datenimport innerhalb der letzten sieben Tage nicht erfolgreich abgeschlossen wurde, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, aber Einige veraltete Erkennungen werden möglicherweise nicht wie erwartet geschlossen.

    Wenn Sie Zuletzt gescannte Assets als Grundlage für Ihre Suche auswählen, ist keine umfassende Integrationsausführung Rapid7 erforderlich.

    So aktivieren Sie diese Integrationen:

    1. Navigieren zu Rapid7 Vulnerability-Integration > Administration > Integrationan.
    2. Suchen und aktivieren Sie die Rapid7 Comprehensive Vulnerable Item Integration, die Sie benötigen.
    Hinweis:

    Zusätzlich zu den Integrationen, die wöchentlich ausgeführt werden, verfügen Rapid7 Nexpose und Rapid7 InsightVM jeweils über täglich ausgeführte VI-Integrationen, die Rapid7 Vulnerable Item Integration und die Rapid7 Vulnerable Item Integration – API.

    Wenn sowohl die tägliche als auch die wöchentliche Rapid7 Integration aktiviert sind, wird jeweils nur eine Integration ausgeführt. Wenn eine dieser Integrationsaufgaben ausgeführt wird, wird die Aufgabe für die andere Integration bis zur nächsten geplanten Aufgabe übersprungen.
    (Optional) Stellen Sie mehrere Instanzen der -Integrationen Rapid7 in Ihrer Umgebung bereit. Sie können optional mehrere Instanzen der umfassenden Integrationen in Ihrer Umgebung bereitstellen.

    Veraltete Erkennungen automatisch schließen ist nicht instanzspezifisch und wird in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden auf Instanzen, für die Integrationsausführungen erfolgreich abgeschlossen wurden, automatisch in den Status Veraltet überführt.

    Wenn Veraltete Erkennungen automatisch schließen aktiviert ist und Sie die Integrationen deaktivieren, die wöchentlich in einer Instanz ausgeführt werden, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt. Einige Erkennungen werden jedoch möglicherweise nicht wie erwartet automatisch in den Status Veraltet geändert.

    Benutzer von Tenable Vulnerability Integration und Veraltete angreifbare Elemente automatisch schließen

    • Alle aktivierten Integrationen aus der Tenable-Schwachstellen-Integration, die Erkennungsdaten abrufen, können mit diesem Modul ausgeführt werden. Es sind keine spezifischen Tenable-Schwachstellen-Integrationen erforderlich.
    • Sie können optional mehrere Instanzen der Tenable Vulnerability-Integration in Ihrer Umgebung bereitstellen.
    • Veraltete Erkennungen automatisch schließen ist nicht instanzspezifisch und wird in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden auf allen Instanzen automatisch in den Status Veraltet überführt.

    Nachdem Sie verifiziert haben, dass Ihre Integrationen ordnungsgemäß konfiguriert sind, rufen Sie Veraltete Erkennungen in automatisch schließen Vulnerability Response auf, um die Funktion zu aktivieren.

    Upgrade-Informationen von „Veraltete angreifbare Elemente automatisch schließen“ auf „Veraltete Erkennungen automatisch schließen“.

    Für das Modul Veraltete Erkennungen automatisch schließen, wenn Sie zuvor Veraltete angreifbare Elemente automatisch schließen verwendet haben:
    • Der Wert für die Anzahl der Tage, die Sie für die Option Zuletzt gescannte Assets unter Veraltete angreifbare Elemente automatisch schließen eingegeben haben, wird für zuletzt in Veraltete Erkennungen automatisch schließende Assets gescannt automatisch beibehalten.
    • Der Wert für die Anzahl der Tage, die Sie für die Option Zuletzt gefundene angreifbare Elemente unter Veraltete angreifbare Elemente automatisch schließen, wird automatisch für zuletzt unter Veraltete Erkennungen automatisch schließen verwendete Erkennungen beibehalten.
    • Vorhandene offene Erkennungen mit „Geschlossen – Veraltet“ für angreifbare Elemente werden gemäß den Konfigurationseinstellungen für automatisches Schließen in „Veraltet“ geändert, wenn die geplante Aufgabe Auto-Close Stale Detections nach dem Upgrade ausgeführt wird.

    Rollup-Informationen

    • Wenn ein angreifbares Element vor dem Upgrade Geschlossen – Veraltet war und alle Erkennungen nach dem Upgrade als Veraltet markiert werden, bleibt der VI-Status Geschlossen – Veraltet.
    • Wenn ein angreifbares Element vor dem Upgrade den Status „Geschlossen – Veraltet“ hatte und nur einige seiner Erkennungen nach dem Upgrade als „Veraltet“ markiert werden und die restlichen vom Scanner geschlossen wurden, wird das angreifbare Element gemäß der Rollup-Logik in „Geschlossen – Behoben“ geändert.