除外ルールの概要
除外ルールは、脆弱性対応 での取り込みプロセス中に、脆弱性一致アイテム (VIT) に変換されないように検出をフィルタリングまたは除外する方法を提供します。
これらのルールは、次のようなさまざまなシナリオを処理するように設定できます。
- すぐに修正する必要のない、重大度またはリスクが低い脆弱性を除外します。
- アクションに対して最も重要な VIT に優先順位を付けることで、修復プロセスを改善します。
- VIT 変換から検出の割合を除外することで、データインポート中の処理時間を短縮します。
データを取り込むプロセスでは、新規検出と既存検出を処理するための異なるアプローチがあります。
- 新しい検出の場合:
- 新しい検出が除外ルールの条件を満たさない場合、VIT を使用して検出が作成されます。
- 新しい検出が除外ルールの条件を満たす場合、ルールは検出に関連付けられますが、VIT は作成されません。検出レコードの一致する除外ルールの参照を入力します。 [除外ルール] 列には、それに応じて検出レコードの除外ルール参照が入力されます。
- 既存の検出の場合:
- 検出が除外ルールの条件を満たさない場合は、通常のワークフローに進みます。
- 既存の検出が除外ルールの条件に一致する場合、その検出に関連付けられた VIT は現在のステータスのままですが、ルールは検出に関連付けられます。VIT のステータスは、sn_vul.close_vit_with_excluded_detections プロパティで定義された値によって制御されます。デフォルトでは、このプロパティの値は False に設定されています。値が False に設定されている場合、VIT の検出は除外され、VIT のステータスは現在のステータスのままになります。ただし、値が True に設定されている場合は、次のシナリオが発生する可能性があります。
- VIT のすべての検出が除外されると、VIT のステータスは [クローズ済み (除外済み) (Closed Excluded)] に更新されます。注:脆弱性対応 の v22.1.2 以降では、[除外済み] という新しいサブステートが追加されています。
- 1 つの検出が [クローズ済み] としてマークされ、残りの検出が除外されている場合、VIT は [クローズ済み (除外済み) (Closed Excluded)] として指定されます。
- VIT にオープン検出がある場合、VIT はオープンのままになります。
- VIT のすべての検出が除外されると、VIT のステータスは [クローズ済み (除外済み) (Closed Excluded)] に更新されます。