Initiieren Sie den erneuten Scan für die Rapid7 Vulnerability Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Initiieren Sie erneute Scans auf der Plattform Rapid7, um sicherzustellen, dass Ihre angreifbaren Elemente zwischen den geplanten Scan-Zyklen korrigiert wurden.

    Vorbereitungen

    Hinweis:
    Erneute Scans für angreifbare Data Warehouse-Elemente Rapid7 werden nicht unterstützt.

    Sie können erneute Scans über die Vulnerability Response-Arbeitsbereiche initiieren. Weitere Informationen finden Sie unter Scannen Sie Datensätze und Korrekturaufgaben im erneut Vulnerability Manager Workspace und Scannen Sie angreifbare Elemente und Korrekturaufgaben im erneut IT Remediation Workspace.

    Erforderliche Rolle: Erforderliche Rolle: sn_vul.write_all oder sn_vul.write_assigned

    Warum und wann dieser Vorgang ausgeführt wird

    Informationen zum erneuten Scannen in der klassischen Umgebung finden Sie in den folgenden Abschnitten.

    Erneutes Scannen wird unterstützt. Sie können bei Bedarf einen erneuten Scan für angreifbare Elemente, die aus Rapid7 InsightVM -Integrationen importiert wurden, von Ihrer Instanz Now Platform® aus initiieren.
    Hinweis:
    Der Scanner Rapid7 ist in der Anwendung Vulnerability Response standardmäßig deaktiviert. Wenn Sie versuchen, einen erneuten Scan aus den angreifbaren Elementen oder Korrekturaufgaben durchzuführen, die die Anwendung Rapid7 als Quelle haben, ist die Schaltfläche Erneut scannen nicht verfügbar.

    Um den Aufwand und das Volumen zu reduzieren, die mit geplanten, vollständigen Scans verbunden sind, können Nachbesserungsbesitzer, IT-Spezialisten, Schwachstellenanalysten oder Schwachstellenmanager bei Bedarf gezielte erneute Scans für bestimmte Schwachstellen für Assets (Konfigurationselemente) in ihren Umgebungen initiieren. Sie können erneute Scans von angreifbaren Elementen (VIs), Korrekturaufgaben (RTs), Drittparteieinträgen (TPE) oder von Datensätzen erkannter Elemente in Ihrer Instanz Now Platform® initiieren.

    Durch erneute Scans können Sie überprüfen, ob durch Ihre Nachbesserungsaktivitäten, Patches und andere Aktionen bestimmte Schwachstellen in Ihren Configuration Items (CIs) erfolgreich behoben wurden.

    Beispielsweise wird Ihre gesamte Umgebung alle drei Wochen gescannt. Der letzte vollständige Scan wurde vor einer Woche abgeschlossen, Sie haben jedoch gestern einen Patch angewendet, um eine kritische Schwachstelle zu beheben. Aufgrund der Art dieser Schwachstelle können Sie nicht zwei Wochen auf den nächsten geplanten Scan warten, um sicherzustellen, dass sie behoben wurde. Um sicherzustellen, dass Ihr Patch eine kritische Schwachstelle erfolgreich behoben hat, die bei einem früheren Scan erkannt wurde, können Sie einen gezielten erneuten Scan von Now Platform für angreifbare Elemente vom Typ Rapid7 initiieren. Sie können aktualisierte Ergebnisse für Ihre angreifbaren Elemente mit dem nächsten geplanten Import von Rapid7 InsightVM Integrationen für Schwachstelle und angreifbare Elemente anzeigen.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Angreifbare Elemente.
    2. Suchen Sie den Datensatz des angreifbaren Elements, von dem Sie einen erneuten Scan auslösen möchten, und öffnen Sie ihn.
      Hinweis:
      Initiieren Sie erneute Scans für VIs mit Rapid7 als Quelle. Überprüfen Sie, ob Rapid7 in der Spalte „Quelle“ in den VI-Listenansichten oder in den Feldern „Quelle“ in einzelnen Datensätzen angezeigt wird. Sie können den Bedingungsgenerator verwenden, um AEs nach Quelle zu gruppieren. Oder, wenn die Spalte Quelle in der VI-Listenansicht nicht angezeigt wird, klicken Sie oben links in der Liste auf das Zahnradsymbol, und verschieben Sie Quelle von Verfügbar in Ausgewählt.

      Wenn Sie erneute Scans initiieren, vermeiden Sie, dass gleichzeitig Scans für eine Quell-ID aus mehreren Quellen ausgelöst werden. Bei der letzten Scan-Anforderung tritt ein Fehler auf.

      Wenn Sie beispielsweise einen erneuten Scan für ein VI aus einem VI-Datensatz initiieren und außerdem einen weiteren erneuten Scan aus einem Korrekturaufgaben-Datensatz anfordern, der dasselbe VI enthält, schlägt die zweite Anforderung wahrscheinlich fehl.

      Quellfeld auf AE hervorgehoben
    3. Alternativ navigieren Sie zu Vulnerability Response > Korrekturaufgaben oder Vulnerability Response > Bibliotheken > Drittpartei für die Korrekturaufgabe bzw. Drittpartei-Eintragsdatensätze, die Sie für den erneuten Scan verwenden möchten.

      Abhängig von Ihrer Auswahl ist die Schaltfläche Erneut scannen für die folgenden Datensätze verfügbar:

      • In einem einzelnen VI-Datensatz muss das VI aus dem Produkt Rapid7 stammen und sich in einem anderen Status als „Geschlossen“ befinden. Bei mehreren VI-Datensätzen müssen alle VIs, die Sie in der Listenansicht auswählen, aus dem Produkt Rapid7 stammen und sich in einem anderen Status als Geschlossen befinden.
      • In einem Korrekturaufgabendatensatz kann die Korrekturaufgabe einen anderen Status als „Geschlossen“ aufweisen, und alle zugehörigen VIs müssen aus dem Produkt Rapid7 stammen.
      • In einem TPE-Datensatz (Drittparteieintrag) muss der Datensatz über mindestens einen zugeordneten VI-Datensatz aus dem Produkt Rapid7 in einem anderen Status als „Geschlossen“ verfügen.
      • In einem Datensatz eines erkannten Elements muss das VI aus dem Produkt Rapid7 stammen und sich in einem anderen Status als Geschlossen befinden.
    4. Klicken Sie oben rechts im Datensatz auf Erneut scannen.
      Wählen Sie für Listenansichten die VIs aus der Liste aus, die Sie erneut scannen möchten, und wählen Sie in der Liste Aktion für ausgewählte Zeilen die Option Erneut scannen aus.
    5. Bestätigen Sie im angezeigten Popup das erneute Scannen.
      Es wird eine Nachricht angezeigt, die anzeigt, dass Ihr Scan verarbeitet wird (In Warteschlange). Klicken Sie in der Nachricht auf den Link Details anzeigen, um den Status des erneuten Scans (untergeordneter Scan) zu überprüfen und alle anderen vom Datensatz gestarteten erneuten Scans anzuzeigen. Der Status für alle erneut gescannten Elemente kann jederzeit unter der zugehörigen Liste „Scans“ unten in den Datensätzen für VI, Korrekturaufgabe, TPE und erkannte Elemente gefunden werden, die Sie zum Starten der erneuten Scans verwenden.

      Wenn der Scanvorgang läuft, ändert sich das Feld Status in Scanning (Wird gescannt)und im Feld Statusmeldung wird angezeigt , dass Scan is in Bearbeitung (Scan wird ausgeführt)angezeigt wird.

      Hinweis:
      Bei jedem erneuten Scannen werden 500 Assets pro Scan unterstützt. Wenn Ihre Anforderung mehr als 500 Assets umfasst, werden weitere untergeordnete Scans angefordert.

      Ihre Instanz Now Platform® verfolgt den Status des erneuten Scannens bis zum erfolgreichen Abschluss oder bis zum Ablauf des festgelegten Nachverfolgungszeitraums (je nachdem, was zuerst eintritt).

      Abbildung : 1. Erneutes Scannen wird durchgeführt
      Status- und Statusnachrichtenfelder hervorgehoben

      Die Zeitüberschreitung beendet den Scanvorgang nicht. Die Zeitüberschreitung bezieht sich auf den Zeitpunkt, zu dem Now Platform® die Nachverfolgung des Status des erneuten Scannens beendet hat, und nicht darauf, wann der tatsächliche erneute Scan beendet wurde. Alle AEs, die in den Status „Geschlossen“/„Behoben“ übergingen oder übergehen werden, werden mit dem nächsten geplanten Import der Rapid7 Integrationen importiert.

      Abbildung : 2. Erneutes Scannen abgeschlossen
      Informationen zum abgeschlossenen Scan hervorgehoben

      Alternativ können Sie bei Bedarf einen erneuten Scan für eine bestimmte Schwachstelle für ein bestimmtes Asset initiieren. Sie können die Ergebnisse dieser Scans anzeigen, sobald der Scan für die aktualisierten VI-, Korrekturaufgaben-, TPE- und erkannten Artikeldatensätze abgeschlossen ist, aus denen Sie den Scan gestartet haben.

      Der Wert des Felds „Status“ in Datensätzen von Schwachstellen-Scans wird aus Rapid7importiert. Wenn der Scanvorgang erfolgreich abgeschlossen wurde, wird der Status auf Abgeschlossen festgelegt. Wenn der Scanvorgang nicht erfolgreich abgeschlossen wird, wird ein Fehlerwert angezeigt.

      Automatische Scans und Geplante Scans

      Als Schwachstellenmanager oder -analyst können Sie angeben und planen, wann erneute Scans für VIs und RTs initiiert werden. Sie können auch automatische Scans für VIs und Korrekturaufgaben aktivieren, die auf Lösung festgelegt sind.

    6. Um die Integrationsparameter in der Integrationsinstanz zu ändern, navigieren Sie zu Rapid7 Vulnerability-Integration > Administration > Konfiguration.
    7. Wenn diese Option im Datensatz „Rapid7 Configuration“ nicht ausgewählt ist, wählen Sie Rapid7 InsightVM aus der Liste Integration Type (Integrationstyp)aus.
    8. Klicken Sie rechts neben dem Feld Integrationsinstanz auf das Informationssymbol und anschließend auf Datensatz öffnen.
    9. Suchen Sie im Datensatz Integration Instance Rapid7 InsightVM (Integrationsinstanz – Rapid7 InsightVM) nach den Parametern für die Planung von Scans, und bearbeiten Sie sie nach Bedarf.
      Scan-Parameter

      scan_on_resolved gibt an, ob die Prüfung initiiert wird, wenn eine Schwachstelle gelöst wird. Der Standardwert ist „false“ (deaktiviert).

      Wenn dieser Parameter auf truefestgelegt ist und ein VI oder eine RT auf Gelöst gesetzt wird, wird automatisch der Workflow zum erneuten Scannen des entsprechenden VI und der Korrekturaufgabe ausgelöst.

      scan_start_time
      Legen Sie die Scan-Startzeit in HH: mm (24-Stunden-Format) in der UTC-Zeitzone für die Startzeit des Fensters fest, in dem erneut Scans verfügbar sein sollen.

      Der Standardwert ist 00:00.

      scan_end_time
      Legen Sie die Scan-Endzeit in HH:mm (24-Stunden-Format) in der UTC-Zeitzone für die Endzeit des verfügbaren Scan-Fensters fest.

      Der Standardwert ist 23:59.

      Wenn ein Scan innerhalb des geplanten Zeitfensters initiiert wird, wird er sofort gestartet. Wenn der Scan außerhalb des Fensters initiiert wird, wird er für das nächste geplante Fenster in die Warteschlange gestellt.

      Wenn Sie beispielsweise eine Startzeit von 00:00 Uhr für den Parameter scan_start_time und einen scan_end_time -Wert von 10:00 Uhr am selben Morgen eingeben, werden geplante oder manuell gestartete Scans außerhalb des Zeitfensters von Mitternacht bis 10:00 Uhr in die Warteschlange gestellt und gestartet zur Startzeit des Zeitfensters des folgenden Tages um 00:00 Uhr.

      Wenn Sie im selben Beispiel einen erneuten Scan manuell um 11:00 Uhr initiieren, wird er nicht sofort gestartet, da er außerhalb der verfügbaren konfigurierten Scan-Zeiten liegt. Die Scan-Anforderung bleibt bis zum Beginn des Zeitfensters des folgenden Tages in der Warteschlange, in diesem Beispiel 00:00.