Falso-positivo visão geral

  • Versão de lançamento: Washingtondc
  • Atualizado 6 de fev. de 2024
  • 2 min. de leitura

    • Um falso positivo é uma condição em que o scanner relata que existe uma vulnerabilidade no sistema, mas na realidade não há nenhuma vulnerabilidade. Pode haver vários motivos, como classificação incorreta, lógica imprópria ou algoritmo no scanner. O proprietário de correção pode marcar itens vulneráveis (IVs) ou tarefas de correção (RTs) como falsos positivos.

    Ciclo de vida de um falso-positivo

    Significado de falso-positivo
    O scanner às vezes emite um aviso quando, na verdade, não há nenhuma vulnerabilidade. Por exemplo, se um item de configuração foi desativado, mas o scanner ainda está levantando um problema relacionado a ele, marque-o como um falso positivo.
    Marcar como falso-positivo
    Para obter detalhes sobre como marcar um IV ou RT como falso positivo, consulte Marcar como falso-positivo.
    Trabalhando com o falso-positivo
    Depois que um IV ou RT é marcado como falso positivo, o estado é atualizado para Encerrado e o subestado é alterado para Falso positivo. As seguintes ações podem ser realizadas:
    • Reabrir
    • Excluir
    • Atualize a data no campo Até. Esta data é usada como data de vencimento para o falso-positivo.
    Nota:
    Se não for aprovado, o IV ou RT será revertido para o estado anterior.
    Aprovação de um falso-positivo
    O aprovador pode aprovar o falso positivo de seu fluxo de trabalho de aprovação.
    Nota:

    A partir do Vulnerability Response v15.0, se você estiver implantando a aplicação de VR pela primeira vez, o Flow Designer para gestão de exceções será habilitado por padrão. Se você já estiver usando o fluxo de trabalho, poderá atualizar para o Flow Designer. Em ambos os casos, você não pode alterá-lo de volta para o fluxo de trabalho. Para configurar regras de aprovação para gestão de exceções e falso-positivo, consulte Configurar regras de aprovação para Gestão de exceções.

    Reabrir um falso-positivo
    Um IV ou RT em um subestado falso-positivo pode ser reaberto a qualquer momento.
    Acompanhamento de um falso-positivo
    Use a seção Aprovações de mudança de estado para rastrear o status do falso-positivo. Depois de aprovado, o estado do IV ou RT é atualizado para Encerrado e o motivo é Falso-positivo.
    Vencimento de um falso-positivo
    Somente o aprovador de falso-positivo pode definir uma data Até para o falso-positivo, para que o IV ou o RT expire. Além disso, somente falsos positivos para os quais o aprovador forneceu uma data Até podem expirar. Essa data pode ser fornecida após a aprovação do falso-positivo.
    Um falso positivo sem uma data Até é um falso positivo permanente. Depois que o falso-positivo expirar, o estado do IV ou VR voltará para Aberto.
    Nota:

    A partir da v21.0 de Vulnerability Response, você pode configurar os intervalos de tempo para aprovar falsos positivos e exceções, junto com notificações por e-mail para o aprovador e o solicitante após um número definido de dias. Quando uma solicitação é gerada, o item vulnerável muda para o status Em revisão e um registro de mudança de estado é criado. Se o aprovador não responder dentro do intervalo de tempo configurado, o item vulnerável ou a tarefa de correção será revertido para o status Aberto. O estado anterior é armazenado no campo backup_state. Para obter mais informações, consulte Configurar regras de aprovação para Gestão de exceções.

    Figura 1. Processo de aprovação de falso positivo antes da v15.0
    Ciclo de vida de um falso-positivo.

    O processo de aprovação será automático se todos os IVs forem aprovados na próxima verificação. Os IVs fecham automaticamente, independentemente do estado atual. Os IVs ou, quando aplicável, os campos de Estado de RT mudam para Encerrado com o subestado Fixo.

    Para obter mais informações, consulte Marcar e aprovar um falso-positivo.