제외 규칙 개요
제외 규칙은 의 수집 프로세스 취약성 대응중에 취약한 항목(VIT)으로 변환되는 탐지를 필터링하거나 제외하는 방법을 제공합니다.
이러한 규칙은 다음과 같은 다양한 시나리오를 처리하도록 설정할 수 있습니다.
- 즉각적인 수정이 필요하지 않은 심각도가 낮거나 위험도가 낮은 취약성은 제외됩니다.
- 작업에 가장 중요한 VIT의 우선 순위를 지정하여 정정 프로세스를 개선합니다.
- VIT 변환에서 탐지 비율을 제외하여 데이터를 임포트하는 동안 처리 시간을 단축합니다.
데이터를 수집하는 프로세스 중에 새로운 탐지와 기존 탐지를 처리하기 위한 고유한 접근 방식이 있습니다.
- 새로운 탐지의 경우:
- 새 검색이 제외 규칙의 조건을 충족하지 않으면 VIT를 사용하여 검색이 만들어집니다.
- 새 탐지가 제외 규칙의 조건을 충족하면 규칙이 탐지와 연결되지만 VIT는 생성되지 않습니다. 일치하는 제외 규칙 참조를 탐지 기록에 채웁니다. 제외 규칙 열은 그에 따라 탐지 기록에 대한 제외 규칙 참조로 채워집니다.
- 기존 탐지의 경우:
- 탐지가 제외 규칙의 조건을 충족하지 않으면 일반 워크플로우로 진행됩니다.
- 기존 탐지가 제외 규칙의 조건과 일치하는 경우 해당 탐지와 연결된 VIT는 현재 상태로 유지되지만 규칙은 탐지와 연결됩니다. VIT의 상태는 속성에 정의된 값에 의해 제어됩니다 sn_vul.close_vit_with_excluded_detections . 기본적으로 이 속성의 값은 False로 설정됩니다. 값을 False로 설정하면 VIT에 따른 탐지가 제외되고 VIT의 상태가 현재 상태로 유지됩니다. 그러나 값을 True로 설정하면 다음과 같은 시나리오가 발생할 수 있습니다.
- VIT에 속한 모든 감지가 제외되면 VIT의 상태가 종결 제외됨으로 업데이트됩니다.주:v22.1.2 취약성 대응 부터 Excluded라는 새로운 하위 상태가 추가되었습니다.
- 하나의 탐지가 종결로 표시되고 나머지는 제외되면 VIT가 종결 고정으로 지정됩니다.
- VIT에 미결 탐지가 있는 경우 VIT는 미결 상태로 유지됩니다.
- VIT에 속한 모든 감지가 제외되면 VIT의 상태가 종결 제외됨으로 업데이트됩니다.