자동 제외로 수집 볼륨 제어
제외 규칙은 에서 수집 프로세스 취약성 대응중에 탐지가 VIT로 변환되지 않도록 필터링하거나 제외하는 방법을 제공합니다.
이러한 규칙은 다음과 같은 다양한 시나리오를 처리하도록 설정할 수 있습니다.
- 즉각적인 정정이 필요하지 않은 낮은 심각도 또는 위험 수준의 취약성을 제외합니다.
- 작업에 대해 가장 중요한 VIT의 우선 순위를 지정하여 정정 프로세스를 개선합니다.
- VIT 변환에서 탐지 백분율을 제외하여 데이터 가져오기 중 처리 시간을 줄입니다.
데이터를 수집하는 과정에서 신규 탐지와 기존 탐지를 처리하기 위한 서로 다른 접근 방식이 있습니다.
- 새 탐지의 경우:
- 새 검색이 제외 규칙의 조건을 충족하지 않으면 VIT를 사용하여 검색이 생성됩니다.
- 새 탐지가 제외 규칙의 조건을 충족하는 경우 규칙이 탐지와 연결되지만 발견 결과는 생성되지 않습니다. 탐지 기록에서 일치하는 제외 규칙 참조를 채웁니다. 제외 규칙 열은 그에 따라 탐지 기록의 제외 규칙 참조로 채워집니다.
- 기존 탐지의 경우:
- 탐지가 제외 규칙의 조건을 충족하지 않으면 일반 워크플로우가 진행됩니다.
- 기존 탐지가 제외 규칙의 조건과 일치하는 경우 해당 탐지와 연결된 결과는 현재 상태로 유지되지만 규칙은 탐지와 연결됩니다. 찾은 결과의 상태는 속성에 sn_vul.close_vit_with_excluded_detections 정의된 값에 따라 달라집니다. 기본적으로 이 속성의 값은 False로 설정됩니다. 값을 아니오로 설정하면 결과의 탐지가 제외되고 VIT의 상태가 현재 상태로 유지됩니다. 그러나 값을 True로 설정하면 다음과 같은 시나리오가 발생할 수 있습니다.
- 결과의 모든 탐지가 제외되면 결과의 상태가 제외됨으로 종결로 업데이트됩니다.
- 한 개의 탐지가 종결됨으로 표시되고 나머지는 제외되면 해당 결과는 고정 종결됨으로 지정됩니다.
- 결과에 미해결 탐지가 있는 경우 결과는 미해결 상태로 유지됩니다.