Configuration Compliance Visão geral da Gestão de exceções

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Quando sua organização não pode estar em conformidade com uma gestão de vulnerabilidades ou política de segurança, padrão ou diretriz publicada, você pode solicitar uma exceção. A gestão de exceções envolve solicitar, revisar, aprovar ou rejeitar exceções para uma tarefa de correção que não pode ser corrigida de acordo com a política.

    Nota:
    A partir da v14.9 de Configuration Compliance, os seguintes termos foram renomeados:
    Tabela 1. Mudanças na terminologia
    Terminologia anterior à v14.9 Terminologia v14.9 em diante
    Grupo de resultados de testes Tarefa de Correção
    Regras de Grupo Regras de tarefa de correção
    Política Grupo de teste

    Algumas vulnerabilidades podem não ter um patch, correção ou solução existente. Quando uma exceção é aprovada, isso também significa que você está aceitando um risco porque está reconhecendo e concordando com as consequências de não corrigir a vulnerabilidade relacionada à configuração.

    Ciclo de vida de uma exceção

    Uma exceção é uma solicitação para adiar a correção de uma tarefa de correção por um período especificado.

    O ciclo de vida de uma exceção é o seguinte:
    • Solicitar uma exceção
    • Aprovação de uma solicitação de exceção
    • Como rastrear uma solicitação de exceção
    • Vencimento de uma solicitação de exceção
    Solicitar uma exceção

    Como responsável pela correção, você pode solicitar uma isenção para uma tarefa de correção usando o processo de gestão de exceções. Durante o processo de aprovação, a tarefa de correção permanece no estado Em revisão. Depois que o aprovador de exceção aprova essa solicitação, a tarefa de correção é movida para um estado Adiado.

    Aprovação de uma solicitação de exceção

    As tarefas de correção que não podem ser corrigidas imediatamente são revisadas, avaliadas quanto ao risco e aprovadas para adiamento até que possam ser corrigidas. A aprovação de uma solicitação de exceção pode ser um fluxo de trabalho de dois níveis. Se somente o aprovador de primeiro nível estiver presente, a exceção poderá ser solicitada e aprovada. No entanto, se não houver nenhum aprovador de primeiro nível, uma exceção não poderá ser solicitada. Para obter mais informações, consulte Adicionar um aprovador de exceção para Configuration Compliance.

    Nota:

    A partir de Configuration Compliance v13.0, se você estiver implantando a aplicação CC pela primeira vez, o Flow Designer para gestão de exceções será habilitado por padrão. Se você já estiver usando o fluxo de trabalho, poderá atualizar para o Flow Designer. Em ambos os casos, você não pode alterá-lo de volta para o fluxo de trabalho.

    Depois que uma solicitação de exceção para uma tarefa de correção for aprovada, você poderá executar as seguintes ações:
    • Reabrir
    • Fechar
    • Excluir
    Nota:
    Os comentários de rejeição são mostrados nas Anotações de trabalho para uma tarefa de correção. Se uma solicitação de exceção for rejeitada, essa tarefa de correção será revertida para o estado anterior.
    Como rastrear uma solicitação de exceção

    Depois de gerar a exceção, você pode rastrear seu status usando a guia Aprovações de mudança de estado da tarefa de correção. Se uma ação for realizada em um grupo, você não poderá rastrear o status dos resultados de testes individuais nesse grupo.

    Vencimento de uma solicitação de exceção

    Quando uma solicitação de exceção para uma tarefa de correção expira, o grupo é revertido para o estado Aberto.

    Figura 1. Processo de aprovação da gestão de exceções antes do CC v13.0
    Ciclo de vida de gestão de exceções para CC