Veraltete Erkennungen in werden geschlossen Vulnerability Response

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 9 Minuten Lesedauer

    • Das Modul „Veraltete Erkennungen automatisch schließen“ hilft Ihnen, ältere, veraltete angreifbare Erkennungen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden, automatisch zu bereinigen. Wenn Sie diese Erkennungen in den Status „Geschlossen“ verschieben, wird die Anzahl der aktiven angreifbaren Elemente und Korrekturaufgaben in Ihrer Instanz Now Platform reduziert, und Sie können Assets in Ihrer CMDB abgleichen.

    Übersicht und wichtige Begriffe

    Um ein genaueres Rollup für Erkennungsdaten zu Ihren angreifbaren Elementen durchzuführen, hilft Ihnen das Modul „Veraltete Erkennungen automatisch schließen“ bei der Bereinigung älterer, veralteter Erkennungen von angreifbaren Elementen, die kürzlich von Ihren Drittanbieterintegrationen nicht gefunden wurden. Weitere Informationen zu dieser Funktion finden Sie im folgenden Anwendungsfall und im Artikel Veraltete Erkennungen automatisch schließen [KB 0958638].

    In früheren Versionen von Vulnerability Responsehat das Modul „Angreifbare Elemente automatisch schließen“ automatisch angreifbare Elemente, die von Ihren Drittanbieter-Scanner-Integrationen nicht gefunden oder aktualisiert wurden, automatisch in den Status „Geschlossen – Veraltet“ überführt.

    Bevor Sie die Funktion „Veraltete Erkennungen automatisch schließen“ aktivieren, überprüfen Sie die folgenden Begriffe, wie Status zu angreifbaren Elementen und Korrekturaufgaben zusammengefasst werden und welche Voraussetzungen für Ihre Drittanbieterintegrationen erfüllt sind, die Erkennungsdaten importieren.

    Informationen zum Aktivieren der Funktion finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

    Wichtige Begriffe

    Veraltete Erkennungen
    Bezieht sich auf Erkennungen, die angreifbaren Elementen in Ihrer Instanz Now Platform® zugeordnet sind, die veraltet sind und seit längerer Zeit nicht mehr gefunden, aktualisiert oder durch Integrationsscans von Drittanbietern erkannt wurden.
    Zuletzt gefundene Erkennungen
    Diese Suchoption verwendet ein Datum und eine Uhrzeit, die vom Scanner einer Drittpartei bereitgestellt werden. Dieser Begriff bezieht sich auf das aktuelle oder letzte Datum und die letzte Uhrzeit, zu der Erkennungen vom Scanner erneut gefunden wurden.
    Zuletzt gescannte Assets
    Diese Suchoption verwendet ein Datum und eine Uhrzeit, die vom Scanner einer Drittpartei bereitgestellt werden. Dieser Begriff bezieht sich auf das aktuelle Datum und die aktuelle Uhrzeit, zu der ein Asset zuletzt von einem Drittanbieter-Scanner gescannt wurde.

    Anwendungsfall

    Manchmal werden Assets (Konfigurationselemente) in Ihrer Umgebung außer Betrieb genommen oder von Drittanbieter-Scannern gelöscht, und die zugehörigen Erkennungen werden nicht durch Erkennungen von angreifbaren Elementen aktualisiert. Daher werden die Erkennungen und die zugehörigen angreifbaren Elemente in der Anwendung Vulnerability Response nicht aktualisiert und inaktiv (veraltet).

    Um diese veralteten Erkennungen zu schließen, die unveränderte Daten zu angreifbaren Elementen aufweisen, und als nächstes die Anzahl der aktiven VIs und Korrekturaufgaben (RTs) zu reduzieren, aktivieren Sie Veraltete Erkennungen automatisch schließen. Diese Funktion schließt automatisch Erkennungen angreifbarer Elemente, die kürzlich nicht gefunden oder von Ihren Scanner-Integrationen einer Drittpartei basierend auf den von Ihnen festgelegten Suchkriterien und einem Alter in Tagen aktualisiert wurden.

    Angenommen, ein bestimmtes Konfigurationselement (Configuration Item, CI) verfügt über mehrere Asset-IDs, und eine dieser IDs wurde in den letzten 90 Tagen nicht in eine Erkennung von einem Drittanbieter-Scanner importiert. Diese Funktion schließt automatisch diese Erkennung, die keine neuen Schwachstellendaten enthält, sodass die zugehörige VI geschlossen werden kann.

    Da einem VI mehr als eine Erkennung zugeordnet sein kann, geht diese Funktion nur für die Erkennungen über, die durch die von Ihnen festgelegten Parameter als veraltet eingestuft wurden. Wenn beispielsweise einem AE vier Erkennungen zugeordnet sind und zwei Erkennungen veraltet sind, d. h. in den letzten 90 Tagen keine neuen Schwachstellendaten importiert wurden, schließt diese Funktion nur die veralteten Erkennungen. Bevor die VI geschlossen werden kann, müssen Sie zuerst die beiden anderen offenen Erkennungen beheben.

    Rollup von Erkennungsstatus zu AEs

    Um die automatisch geschlossenen Erkennungen von Erkennungen zu unterscheiden, die von Scannern von Drittanbietern geschlossen wurden, wurde für das Feld Status der neue Wert Veraltet hinzugefügt. Die möglichen Werte für dieses Feld sind Offen, Geschlossen und Veraltet. „Veraltet“ gibt an, dass eine Erkennung durch die Erkennungsfunktion für automatisches Schließen geschlossen wurde.

    Statusrangfolge: Offen > Geschlossen > Veraltet.

    1. Wenn Erkennungen Offen sind, bleibt der zugehörige VI-Status Offen.
    2. Wenn keine Erkennungen Offen, einige Geschlossen und andere Veraltet sind, geht der zugehörige VI-Status in Geschlossen – Behoben über.
    3. Wenn alle Erkennungen „Veraltet“ sind, geht der zugehörige VI-Status in „Geschlossen – Veraltet“ über.

      Ab Vulnerability Response 20.0 befindet sich der zugeordnete AE im Status „Geschlossen“, wenn sich eine Erkennung im Status „Geschlossen – Veraltet“ befindet. Der Status des AE wechselt nicht in „Geschlossen – Veraltet“. Dadurch wird verhindert, dass der VI erneut geöffnet wird, wenn eine neue Erkennung erkannt wird, sodass Sie nicht den gesamten Prozess durchlaufen müssen. Um dieses Verhalten umzukehren, deaktivieren Sie das Kontrollkästchen Veraltete Erkennungen für geschlossene VIs ignorieren im Formular „Konfiguration für automatisches Schließen“. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

    4. Wenn die Erkennung „Veraltet“ ist und sich der zugeordnete VI im Status „Geschlossen“ befindet, wechselt der Status des VI nicht in „Geschlossen – Veraltet“. Dadurch wird verhindert, dass der VI erneut geöffnet wird, wenn eine neue Erkennung erkannt wird, sodass Sie nicht den gesamten falsch positiven Anforderungs- und Genehmigungsprozess durchlaufen müssen. Um dieses Verhalten umzukehren, deaktivieren Sie das Kontrollkästchen Veraltete Erkennungen für geschlossene VIs ignorieren im Formular „Konfiguration für automatisches Schließen“. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

    Rollup von VI-Status zu Korrekturaufgaben (VUL)

    Statusrangfolge: Offen > Geschlossen – Repariert > Geschlossen – Veraltet

    1. Wenn VIs in einer VUL (Korrekturaufgabe) Offen sind, wird der VUL-Status nicht geändert.
    2. Wenn mindestens ein VI „Geschlossen – repariert“ und der Rest „Geschlossen – Veraltet“ ist, geht der VUL-Status in „Geschlossen – repariert“ über.
    3. Wenn alle VIs in einer VUL „Geschlossen – Veraltet“ sind, geht der VUL-Status in „Geschlossen – Abgebrochen“ über.

    Erkennungen für automatisches Schließen und Anforderungen für die Integration von Drittparteien

    Microsoft TVM-Benutzer und Veraltete Erkennungen automatisch schließen

    Prüflistenelement Beschreibung
    Die Microsoft TVM-Schwachstellenintegration Wenn Sie bei der Microsoft TVM Vulnerability Integration Zuletzt gefundene Erkennungen als Grundlage für Ihre Suche auswählen, erfordert diese Funktion eine erfolgreiche Ausführung der Microsoft TVM Machine Vulnerabilities Integration (Vollständiger Import) innerhalb der letzten sieben Tage. Diese Integration wird wöchentlich ausgeführt.

    Wenn Veraltete Erkennungen automatisch schließen aktiviert und für zuletzt gefundene Erkennungenkonfiguriert sind und die Integration von Microsoft TVM-Computer-Schwachstellen deaktiviert ist oder ein Datenimport innerhalb der letzten sieben Tage nicht erfolgreich abgeschlossen wurde, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, aber einige veraltete Erkennungen werden möglicherweise nicht wie erwartet geschlossen.

    Wenn Sie Zuletzt gescannte Assets als Grundlage für Ihre Suche auswählen, ist die Ausführung von Microsoft TVM Machine Vulnerabilities Integration nicht erforderlich.

    So aktivieren Sie diese Integration:

    1. Navigieren zu Microsoft TVM-Schwachstellenintegration > Administration > Integration.
    2. Suchen und aktivieren Sie Microsoft TVM Machine Vulnerabilities Integration (Vollständiger Import).
    (Optional) Stellen Sie mehrere Instanzen der Microsoft TVM-Integrationen in Ihrer Umgebung bereit. Sie können optional mehrere Instanzen der Integrationen in Ihrer Umgebung bereitstellen.

    Veraltete Erkennungen automatisch schließen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden bei Instanzen, deren Integrationsausführungen erfolgreich abgeschlossen wurden, automatisch auf „Veraltet“ gesetzt.

    Wenn Veraltete Erkennungen automatisch schließen aktiviert ist und Sie die wöchentlich in einer Instanz ausgeführten Integrationen deaktivieren, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, aber einige Erkennungen werden möglicherweise nicht wie erwartet in den Status „Veraltet“ versetzt.

    Qualys -Benutzer und Veraltete angreifbare Elemente automatisch schließen

    • Alle aktivierten Qualys Drittanbieterintegrationen, die Erkennungsdaten abrufen, können mit diesem Modul ausgeführt werden. Es sind keine spezifischen Qualys Anwendungen erforderlich.
    • Sie können optional mehrere Instanzen der Qualys -Integrationen in Ihrer Umgebung bereitstellen.
    • Veraltete Erkennungen automatisch schließen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden in allen Instanzen automatisch auf „Veraltet“ gesetzt.

    Rapid7 Benutzer und Veraltete Erkennungen automatisch schließen

    Prüflistenelement Beschreibung
    Die Rapid7 Schwachstellenintegration Wenn Sie Zuletzt gefundene Erkennungen als Grundlage für Ihre Suche auswählen, erfordert diese Funktion eine erfolgreiche Ausführung einer der Rapid7 Comprehensive Vulnerable Item Integrations (Integrationen von [] Comprehensive Vulnerable Item Integrations) innerhalb der letzten sieben Tage. Diese umfassenden Integrationen werden wöchentlich ausgeführt:
    • Für das Data Warehouse Rapid7 Nexpose ist eine erfolgreiche Ausführung der Integration von Rapid7 Comprehensive Vulnerable Item Integration erforderlich.
    • Für Rapid7 InsightVMist eine erfolgreiche Ausführung über die Rapid7 Comprehensive Vulnerable Item Integration – API erforderlich.

    Wenn Veraltete Erkennungen automatisch schließen aktiviert und für zuletzt gefundene Erkennungenkonfiguriert ist und die Integrationen von Rapid7 Comprehensive Vulnerable Items deaktiviert sind oder ein Datenimport innerhalb der letzten sieben Tage nicht erfolgreich abgeschlossen wurde, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, aber Einige veraltete Erkennungen werden möglicherweise nicht wie erwartet geschlossen.

    Wenn Sie Zuletzt gescannte Assets als Grundlage für Ihre Suche auswählen, ist keine umfassende Rapid7 Integrationsausführung erforderlich.

    So aktivieren Sie diese Integrationen:

    1. Navigieren zu Rapid7 Vulnerability Integration > Administration > Integration.
    2. Suchen und aktivieren Sie die Rapid7 Comprehensive Vulnerable Item Integration, die Sie benötigen.
    Hinweis:

    Zusätzlich zu diesen Integrationen, die wöchentlich ausgeführt werden, verfügen Rapid7 Nexpose und Rapid7 InsightVM jeweils über täglich ausgeführte VI-Integrationen, die Rapid7-Integration für angreifbare Elemente und die Rapid7-Integration für angreifbare Elemente – API.

    Wenn sowohl die tägliche als auch die wöchentliche Rapid7 Integration aktiviert sind, wird jeweils nur eine Integration ausgeführt. Wenn eine dieser Integrationsaufgaben ausgeführt wird, wird die Aufgabe für die andere Integration bis zur nächsten geplanten Aufgabe übersprungen.
    (Optional) Stellen Sie mehrere Instanzen der Rapid7 -Integrationen in Ihrer Umgebung bereit. Sie können optional mehrere Instanzen der umfassenden Integrationen in Ihrer Umgebung bereitstellen.

    Veraltete Erkennungen automatisch schließen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden bei Instanzen, deren Integrationsausführungen erfolgreich abgeschlossen wurden, automatisch auf „Veraltet“ gesetzt.

    Wenn Veraltete Erkennungen automatisch schließen aktiviert ist und Sie die Integrationen deaktivieren, die wöchentlich in einer Instanz ausgeführt werden, wird die geplante Aufgabe zum Schließen von Erkennungen weiterhin täglich ausgeführt, aber einige Erkennungen werden möglicherweise nicht wie erwartet in den Status „Veraltet“ versetzt.

    Anwender von Tenable Vulnerability Integration und Veraltete angreifbare Elemente automatisch schließen

    • Alle aktivierten Integrationen aus der Integration von Tenable Vulnerability, die Erkennungsdaten abrufen, können mit diesem Modul ausgeführt werden. Es sind keine spezifischen Tenable Vulnerability-Integrationen erforderlich.
    • Sie können optional mehrere Instanzen der Tenable Vulnerability-Integration in Ihrer Umgebung bereitstellen.
    • Veraltete Erkennungen automatisch schließen ist nicht instanzspezifisch und in Ihrer Umgebung entweder aktiviert oder deaktiviert. Veraltete Erkennungen werden in allen Instanzen automatisch auf „Veraltet“ gesetzt.

    Nachdem Sie sich vergewissert haben, dass Ihre Integrationen ordnungsgemäß konfiguriert sind, lesen Sie Veraltete Erkennungen in automatisch schließen Vulnerability Response, um die Funktion zu aktivieren.

    Aktualisieren Sie die Informationen von „Veraltete angreifbare Elemente automatisch schließen“ auf „Veraltete Erkennungen automatisch schließen“.

    Wenn Sie für das Modul „Veraltete Erkennungen automatisch schließen“ zuvor „Veraltete angreifbare Elemente automatisch schließen“ verwendet haben:
    • Der Wert für die Anzahl der Tage, die Sie für die Option Zuletzt gescannte Assets in Veraltete angreifbare Elemente automatisch schließen eingegeben haben, wird automatisch für Assets beibehalten, die zuletzt in Veraltete Erkennungen automatisch schließen gescannt wurden.
    • Der Wert für die Anzahl der Tage, die Sie für die Option Zuletzt gefunden angreifbare Elemente in Veraltete angreifbare Elemente automatisch schließen eingegeben haben, wird automatisch für Erkennungen beibehalten, die zuletzt in Veraltete Erkennungen automatisch schließen gefunden wurden.
    • Vorhandene offene Erkennungen mit „Geschlossen – Veraltet“ für angreifbare Elemente werden gemäß den Konfigurationseinstellungen für automatisches Schließen in „Veraltet“ überführt, wenn die geplante Aufgabe Auto-Close Stale Detections nach dem Upgrade ausgeführt wird.

    Rollup-Informationen

    • Wenn ein angreifbares Element vor dem Upgrade Geschlossen – Veraltet war und alle seine Erkennungen nach dem Upgrade als Veraltet markiert werden, bleibt der VI-Status Geschlossen – Veraltet.
    • Wenn ein angreifbares Element vor dem Upgrade Geschlossen – Veraltet war und nur einige seiner Erkennungen nach dem Upgrade als Veraltet markiert sind und der Rest vom Scanner geschlossen wurde, wird das angreifbare Element gemäß der Rollup-Logik in Geschlossen – Repariert geändert.