Ausnahmeverwaltung in Container Vulnerability Response

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Wenn Ihre Organisation eine veröffentlichte Richtlinie, einen Standard oder eine Leitlinie für das Schwachstellenmanagement oder die Sicherheit nicht einhalten kann, können Sie eine Ausnahme anfordern. Die Ausnahmeverwaltung umfasst das Anfordern, Überprüfen, Genehmigen oder Ablehnen von Ausnahmen für ein angreifbares Containerelement (Container Vulnerable Item, CVIT), das nicht gemäß der Richtlinie behoben werden kann.

    Für einige Container-Schwachstellen (CVIT) ist möglicherweise kein Patch, keine Korrektur oder keine Lösung vorhanden. Wenn eine Ausnahme genehmigt wird, bedeutet dies auch, dass Sie ein Risiko akzeptieren, da Sie die Konsequenzen anerkennen und ihnen zustimmen, wenn die Schwachstelle nicht behoben wird.

    Lebenszyklus einer Ausnahme

    Definition einer Ausnahme
    Eine Ausnahme ist eine Anforderung, die Korrektur einer CVIT oder RT für einen bestimmten Zeitraum zurückzustellen. Beispielsweise können Sie als Korrekturbesitzer eine Ausnahme anfordern, wenn für einen Computer kein Patch verfügbar ist.
    Ausnahme wird angefordert
    Als Besitzer der Korrektur können Sie mithilfe des Ausnahmeverwaltungsprozesses eine Befreiung für eine CVIT oder RT beantragen. Nachdem der Ausnahmegenehmiger diese Anforderung genehmigt hat, wird CVIT oder RT in den Status „Zurückgestellt“ versetzt.
    Eine Ausnahmeanforderung wird genehmigt
    CVIT oder RTs, die nicht sofort behoben werden können, werden von Schwachstellenanalysten überprüft, auf Risiken geprüft und zur Zurückstellung genehmigt, bis sie behoben werden können. Das Genehmigen einer Ausnahmeanforderung kann ein zweistufiger Workflow sein. Wenn nur der Genehmiger der ersten Ebene anwesend ist, kann die Ausnahme angefordert und genehmigt werden. Wenn jedoch kein Genehmiger der ersten Ebene vorhanden ist, kann keine Ausnahme angefordert werden. Weitere Informationen finden Sie unter Fügen Sie einen Ausnahmegenehmiger hinzu.
    Hinweis:

    Ab Vulnerability Response v15.0 wird der Flow Designer für die Ausnahmeverwaltung standardmäßig aktiviert, wenn Sie die VR-Anwendung zum ersten Mal bereitstellen. Wenn Sie den Workflow bereits verwenden, können Sie den Flow Designer aktualisieren. In beiden Fällen können Sie ihn nicht zurück in den Workflow ändern. Informationen zur Konfiguration von Genehmigungsregeln für die Ausnahmeverwaltung und für falsch positive Meldungen finden Sie unter Konfigurieren Sie Genehmigungsregeln für die Ausnahmeverwaltung.

    Sobald eine Ausnahmeanforderung für eine CVIT oder RT genehmigt wurde, können Sie die folgenden Aktionen ausführen:
    • Erneut öffnen
    • Löschen
    • Aktualisieren Sie das Feld Zuweisung an oder Zuweisungsgruppen
    Verfolgen Sie eine Ausnahmeanforderung
    Nachdem Sie die Ausnahme ausgelöst haben, können Sie ihren Status mithilfe der Registerkarte Change-Genehmigungen im CVIT oder RT nachverfolgen. Wenn eine Aktion für eine RT ausgeführt wird, können Sie den Status der einzelnen CVITs in dieser RT nicht nachverfolgen.
    Ablauf einer Ausnahmeanforderung
    Wenn eine Ausnahmeanforderung für eine bestimmte CVIT oder RT abläuft, wird die betroffene CVIT oder RT in den Status „Offen“ versetzt.

    Wenn ein einzelner CVIT oder alle CVITs in einem RT beim nächsten Scan bestanden werden, ändern sich die CVITs und gegebenenfalls das Feld RT- Status in Geschlossen mit dem Substatus Fest.

    Konfigurieren Sie Genehmigungsregeln

    Sie können Genehmigungsregeln anzeigen und konfigurieren, indem Sie zu navigieren Alle > Container Vulnerability Response > Administration > Genehmigungsregeln. Fordern Sie eine Ausnahme für CVITs an, die nicht sofort behoben oder zurückgestellt werden können, indem Sie die betroffenen Schwachstellen, Konfigurationselemente (CIs) oder CVITs identifizieren. Automatisieren Sie den CVIT-Zurückstellungsprozess. Übereinstimmende CVITs basierend auf diesen Regeln zurückstellen, wenn das System diese CVITs identifiziert.
    Die folgenden Genehmigungsregeln werden standardmäßig bereitgestellt:
    • Genehmigung für Ausnahmeanforderungen: Im Basissystem wird eine Standardkonfiguration mit zwei Genehmigungsebenen bereitgestellt. Immer wenn für ein angreifbares Element eine Ausnahmeanforderung angefordert wird, wird die Genehmigungsanforderung an die Benutzer oder Gruppen in Ebene 1 gesendet. Nach der Genehmigung durch die Genehmiger der Ebene 1 wird sie an die Genehmiger der Ebene 2 gesendet.
      Hinweis:
      Sie können die Standardebenen ändern und nach Bedarf bearbeiten. Ab Container Vulnerability Response v2.0.6 können Sie die im Basissystem bereitgestellten Systemeigenschaften für Ausnahmegenehmigungen über den Workflow in der Tabelle „Systemeigenschaften“ [sys_properties] verwenden. Wenn also eine Ausnahme- oder falsch positive Anforderung über den Workflow ausgelöst wird, wird sie zur Genehmigung an die in der Systemeigenschaft definierten Gruppen-IDs gesendet. Navigieren zu Alle > Systemeigenschaften und wählen Sie sn_vul_container.container_exception_approver_L1, sn_vul_container.container_exception_approver_L2oder sn_vul_container.container_false_positive_approver_group, um den Eigenschaftswert zu ändern.
    • Genehmigung für Ausnahmeregeln: Hat keine Konfiguration, aber zwei Genehmigungsebenen.
    • Genehmigung für falsch positive Ergebnisse: Verfügt über eine Konfiguration mit einer Genehmigungsebene.
    Hinweis:
    Ab v2.5 von Container Vulnerability Responsekönnen Sie die Zeitrahmen für die Genehmigung von Falschmeldungen und Ausnahmen sowie E-Mail-Benachrichtigungen für den Genehmiger und die anfordernde Person nach einer festgelegten Anzahl von Tagen konfigurieren. Wenn eine Anforderung ausgelöst wird, ändert sich das angreifbare Container-Element in den Status Wird überprüft, und es wird ein Datensatz für die Statusänderung erstellt. Wenn der Genehmiger nicht innerhalb des konfigurierten Zeitrahmens antwortet, wird das angreifbare Element des Containers oder die Korrekturaufgabe in den Status „Offen“ zurückversetzt. Der vorherige Status wird im Feld „backup_state“ gespeichert. Weitere Informationen finden Sie unter Konfigurieren Sie Genehmigungsregeln für die Ausnahmeverwaltung.