자동 종결 규칙 만들기
자동 종결 규칙을 사용하여 설정한 필터 조건에 따라 이전 탐지를 자동으로 종결합니다.
시작하기 전에
필요한 역할: sn_vul.manage_auto_close_stale_vi
프로시저
-
다음으로 이동 모두 > 취약성 대응 > 관리 > 자동 종결 규칙.
기본 시스템에서 제공하는 자동 종결 규칙은 다음과 같습니다.
- 마지막으로 검사된 자산: 지난 90일 이내에 검사되지 않은 자산과 연결된 탐지는 부실 상태로 전환됩니다.
- 마지막으로 발견된 수동 검색: 지난 90일 이내에 발견되지 않은 수동 검색입니다. 마지막으로 발견된 탐지 기록을 활성화하는 경우 이 기능을 사용하려면 지난 7일 이내에 포괄적인 취약한 항목 통합 및 Microsoft TVM 머신 취약성 통합(전체 임포트)을 Rapid7 성공적으로 통합해야 합니다.
- 마지막으로 발견된 탐지: 지난 90일 이내에 발견되지 않은 탐지입니다.
- 새로 만들기를 선택하여 새 자동 종결 규칙을 만듭니다.
-
양식에서 필드에 입력합니다.
필드 값 이름 자동 종결 규칙의 이름입니다. 활성 규칙을 활성화하는 옵션입니다. 활성화되면 필터 기준과 일치하는 모든 탐지를 자동으로 종결합니다. 지연된 항목 무시 이 옵션을 선택하면 검토 중 또는 지연 상태에 매핑된 모든 탐지가 무시되고 종결되지 않습니다. 이 옵션의 선택을 취소하면 조건과 일치하는 모든 탐지가 종결됩니다. 실행 순서 자동 종결 규칙 실행을 위한 고유 값입니다. 이 값은 실행 순서를 결정합니다. 기본값은 100입니다. 설명 자동 종결 규칙에 대한 설명입니다. 조건 종결해야 하는 탐지를 식별하는 데 사용되는 필터 조건입니다. -
제출을 선택합니다.
Auto-Close Stale Detections 예약된 작업은 매일 실행됩니다. 지정된 조건에 따라 탐지를 식별하고 일치하는 탐지를 부실 상태로 전환합니다. 이 작업은 다음 시나리오를 처리합니다.
- 취약한 항목(VIT) 내의 모든 탐지가 부실로 표시되면 하위 상태가 "부실"로 설정된 VIT가 종결됩니다.
- VIT 내에서 오픈 상태로 남아 있는 탐지가 하나 이상 있고 다른 탐지는 부실 상태인 경우 VIT는 오픈 상태로 유지됩니다.
- VIT 내에 "종결" 및 "부실" 상태의 탐지가 모두 있는 경우 VIT는 하위 상태가 "고정"으로 설정된 상태로 종결됩니다.
의 취약성 대응최신 버전으로 업그레이드하면 자동 종결 규칙에 설정된 조건도 그에 따라 업데이트됩니다. 또한 규칙이 다른 도메인과 연결된 경우 해당 도메인 내에서 특별히 규칙이 생성됩니다.