Fechando detecções obsoletas em Vulnerability Response

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 10 min. de leitura

    • O módulo Encerrar automaticamente detecções obsoletas ajuda a limpar automaticamente detecções vulneráveis mais antigas que não foram encontradas recentemente por suas integrações de terceiros. Mover essas detecções para Encerrado reduz o número de itens vulneráveis ativos e tarefas de correção em sua instância Now Platform e ajuda a reconciliar ativos no seu CMDB.

    Visão geral e principais termos

    Para acumular dados de detecção com mais precisão para seus itens vulneráveis, o módulo Encerrar automaticamente detecções obsoletas ajuda a limpar detecções de itens vulneráveis mais antigas que não foram encontradas recentemente por suas integrações de terceiros. Para obter mais informações sobre este recurso, consulte o caso de uso abaixo e o artigo Encerrar automaticamente detecções obsoletas [KB 0958638].

    Em versões anteriores do Vulnerability Response, o módulo Fechar itens vulneráveis automaticamente transicionava itens vulneráveis não encontrados recentemente ou atualizados por suas integrações de scanner de terceiros para Encerrado - Obsoleto.

    Antes de habilitar o recurso Encerrar automaticamente detecções obsoletas, revise os termos a seguir, como os estados se acumulam para itens vulneráveis e tarefas de correção e os pré-requisitos para suas integrações de terceiros que importam dados de detecção.

    Para habilitar o recurso, consulte Encerrar automaticamente detecções obsoletas no Vulnerability Response.

    Termos-chave

    Detecções obsoletas
    Refere-se a detecções associadas a itens vulneráveis na sua instância Now Platform® que são antigos e não foram encontrados, atualizados ou detectados por verificações de integração de terceiros por um período significativo.
    Últimas detecções encontradas
    Esta opção de pesquisa usa uma data e hora fornecidas pelo scanner de terceiros. Este termo se refere à data e hora mais atuais ou mais recentes em que as detecções foram encontradas novamente pelo scanner.
    Ativos verificados pela última vez
    Esta opção de pesquisa usa uma data e hora fornecidas pelo scanner de terceiros. Este termo se refere à data e hora mais atuais em que um ativo foi verificado pela última vez por um scanner de terceiros.

    Caso de uso

    Às vezes, os ativos (itens de configuração) podem ser desativados em seu ambiente ou limpos por scanners de terceiros, e suas detecções associadas não são atualizadas por detecções de item vulnerável. Como resultado, as detecções e seus itens vulneráveis relacionados não são atualizados na aplicação Vulnerability Response e se tornam inativos (obsoletos).

    Para fechar essas detecções antigas que têm dados de item vulnerável inalterados e, em seguida, reduzir o número de IVs ativos e tarefas de correção (RTs), habilite o fechamento automático de detecções obsoletas. Este recurso fecha automaticamente as detecções de itens vulneráveis que não foram encontrados recentemente ou atualizados por suas integrações de scanner de terceiros com base nos critérios de pesquisa e em uma idade em número de dias que você definiu.

    Como exemplo, suponha que um item de configuração (IC) específico tenha vários IDs de ativo e um desses IDs não tenha sido importado em uma detecção de um scanner de terceiros nos últimos 90 dias. Este recurso fecha automaticamente esta detecção que não tem novos dados de vulnerabilidade para que o IV associado possa ser fechado.

    Como um IV pode ter mais de uma detecção associada a ele, este recurso faz a transição somente das detecções determinadas como obsoletas pelos parâmetros definidos. Por exemplo, se um IV tiver quatro detecções associadas a ele e duas detecções estiverem obsoletas, ou seja, nenhum novo dado de vulnerabilidade foi importado nos últimos 90 dias, este recurso fechará somente as detecções obsoletas. Antes que o IV possa ser encerrado, você deve primeiro corrigir as outras duas detecções em aberto.

    Acúmulo de estados de detecção para IVs

    Para diferenciar as detecções encerradas automaticamente das detecções encerradas por scanners de terceiros, um novo valor para o campo Status, Obsoleto, foi adicionado. Os valores possíveis possíveis para este campo são Aberto, Encerrado e Obsoleto. Obsoleto indica que uma detecção foi encerrada pelo recurso de detecção de fechamento automático.

    Precedência de estado: Aberto > Encerrado > Obsoleto.

    1. Se alguma detecção estiver Aberta, o estado de IV associado permanecerá Aberto.
    2. Se nenhuma detecção estiver Aberta, algumas estiverem Encerradas e algumas estiverem Obsoletas, o estado de IV associado mudará para Encerrado - Corrigido.
    3. Se todas as detecções estiverem obsoletas, o estado do IV associado mudará para Encerrado - Obsoleto.

      Declarando com Vulnerability Response 20.0, se uma detecção estiver no estado Encerrado - Obsoleto, o IV associado estiver no estado Encerrado, o estado do IV não fará a transição para Encerrado - Obsoleto. Isso evita que o IV seja reaberto quando uma nova detecção é identificada para que você possa evitar passar por todo o. Para reverter esse comportamento, desmarque a caixa de seleção Ignorar detecções obsoletas para IVs encerrados no formulário Configuração de fechamento automático. Para obter mais informações, consulte Encerrar automaticamente detecções obsoletas no Vulnerability Response.

    4. Se a detecção for Obsoleta e o IV associado estiver no estado Encerrado, o estado do IV não fará a transição para Encerrado - Obsoleto. Isso evita que o IV seja reaberto quando uma nova detecção é identificada para que você possa evitar passar por todo o processo de aprovação e solicitação de falso-positivo. Para reverter esse comportamento, desmarque a caixa de seleção Ignorar detecções obsoletas para IVs encerrados no formulário Configuração de fechamento automático. Para obter mais informações, consulte Encerrar automaticamente detecções obsoletas no Vulnerability Response.

    Acúmulo de estados de IV para tarefas de correção (VUL)

    Precedência de estado: Aberto > Encerrado - Corrigido > Encerrado - Obsoleto.

    1. Se algum IVs em uma VUL (tarefa de correção) estiver Aberto, o estado da VUL não será alterado.
    2. Se pelo menos um IV for Encerrado - Corrigido e o restante for Encerrado - Obsoleto, o estado do VUL muda para Encerrado - Corrigido.
    3. Se todos os IVs em um VUL forem Encerrado - Obsoleto, o estado do VUL mudará para Encerrado - Cancelado.

    Detecções de encerramento automático e requisitos de integração de terceiros

    Usuários do Microsoft TVM e Detecções obsoletas de fechamento automático

    Item de check-list Descrição
    Integração de vulnerabilidade do Microsoft TVM Com a Integração de vulnerabilidades do Microsoft TVM, se você selecionar Detecções encontradas pela última vez para basear sua pesquisa, este recurso exigirá uma execução bem-sucedida da Integração de vulnerabilidades da máquina Microsoft TVM (importação completa) nos últimos sete dias. Esta integração é executada semanalmente.

    Se o encerramento automático de detecções obsoletas estiver habilitado e configurado para Detecções encontradas pela última veze a integração de vulnerabilidades de máquina com Microsoft TVM estiver desabilitada ou uma importação de dados não for concluída com êxito nos últimos sete dias, o trabalho programado para fechar detecções ainda será executado diariamente, mas alguns detecções obsoletas podem não ser encerradas conforme o esperado.

    Se você selecionar Ativos verificados pela última vez para basear sua pesquisa, a execução da integração de vulnerabilidades da máquina com Microsoft TVM não será necessária.

    Para ativar esta integração:

    1. Navegar até Integração de vulnerabilidade Microsoft VTM > Administração > Integração.
    2. Localize e habilite a integração de vulnerabilidades da máquina com Microsoft TVM (importação completa).
    (Opcional) Implante várias instâncias das integrações do Microsoft TVM em seu ambiente. Opcionalmente, você pode implantar várias instâncias das integrações em seu ambiente.

    O encerramento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. As detecções obsoletas são transicionadas automaticamente para Obsoleto nas instâncias que concluíram com êxito as execuções de integração.

    Se o fechamento automático de detecções obsoletas estiver habilitado e você desabilitar as integrações que são executadas semanalmente em uma instância, o trabalho programado para fechar detecções ainda será executado diariamente, mas algumas detecções podem não fazer a transição para obsoletas automaticamente como esperado.

    Qualys Usuários e itens vulneráveis obsoletos de encerramento automático

    • Todas as integrações de terceiros ativadas Qualys que recuperam dados de detecção podem ser executadas com este módulo. Não há aplicações Qualys específicas necessárias.
    • Opcionalmente, você pode implantar várias instâncias das integrações Qualys em seu ambiente.
    • O encerramento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. As detecções obsoletas são transicionadas automaticamente para Obsoleto em todas as instâncias.

    Rapid7 Usuários e Encerramento automático de detecções obsoletas

    Item de check-list Descrição
    A integração de vulnerabilidade Rapid7 Se você selecionar Detecções encontradas pela última vez para basear sua pesquisa, este recurso exigirá uma execução bem-sucedida de uma das Rapid7 Integrações de item vulnerável abrangente nos últimos sete dias. Essas integrações abrangentes são executadas semanalmente:
    • Para o data warehouse Rapid7 Nexpose, é necessária uma execução bem-sucedida da Integração de item vulnerável abrangente Rapid7.
    • Para Rapid7 InsightVM, é necessária uma execução bem-sucedida da Rapid7 Integração de item vulnerável abrangente - API.

    Se o encerramento automático de detecções obsoletas estiver habilitado e configurado para Detecções encontradas pela última veze as Rapid7 Integrações de item vulnerável abrangente estiverem desabilitadas ou uma importação de dados não for concluída com êxito nos últimos sete dias, o trabalho programado para fechar detecções ainda será executado diariamente, mas algumas detecções obsoletas podem não ser encerradas conforme o esperado.

    Se você selecionar Ativos verificados pela última vez para basear sua pesquisa, nenhuma execução de integração abrangente Rapid7 será necessária.

    Para ativar essas integrações:

    1. Navegar até Rapid7 Vulnerability Integration > Administração > Integração.
    2. Localize e habilite a Integração Abrangente de Item Vulnerável Rapid7 que você precisa.
    Nota:

    Além dessas integrações que são executadas semanalmente, Rapid7 Nexpose e Rapid7 InsightVM têm integrações de IV que são executadas diariamente, a Rapid7 Vulnerable Item Integration e a Rapid7 Vulnerable Item Integration - API.

    Se as integrações diárias e semanais Rapid7 estiverem habilitadas, somente uma integração será executada de cada vez. Se um desses trabalhos de integração estiver em execução, o trabalho da outra integração será ignorado até o próximo trabalho programado.
    (Opcional) Implante várias instâncias das integrações Rapid7 em seu ambiente. Opcionalmente, você pode implantar várias instâncias das integrações abrangentes em seu ambiente.

    O encerramento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. As detecções obsoletas são transicionadas automaticamente para Obsoleto nas instâncias que concluíram com êxito as execuções de integração.

    Se o encerramento automático de detecções obsoletas estiver habilitado e você desabilitar as integrações que são executadas semanalmente em uma instância, o trabalho programado para fechar detecções ainda será executado diariamente, mas algumas detecções podem não fazer a transição para obsoletas automaticamente como esperado.

    Usuários de integração de vulnerabilidade da Tenable e itens vulneráveis obsoletos de fechamento automático

    • Todas as integrações ativadas do Tenable Vulnerability Integration que recuperam dados de detecção podem ser executadas com este módulo. Não há integrações de vulnerabilidade específicas da Tenable necessárias.
    • Opcionalmente, você pode implantar várias instâncias da integração de vulnerabilidade da Tenable em seu ambiente.
    • O encerramento automático de detecções obsoletas não é específico da instância e está habilitado ou desabilitado em seu ambiente. As detecções obsoletas são transicionadas automaticamente para Obsoleto em todas as instâncias.

    Depois de verificar se suas integrações estão configuradas corretamente, consulte Encerrar automaticamente detecções obsoletas no Vulnerability Response para habilitar o recurso.

    Atualizar informações de itens vulneráveis obsoletos de fechamento automático para detecções obsoletas de fechamento automático

    Para o módulo Encerrar automaticamente detecções obsoletas, se você usou anteriormente Encerrar automaticamente itens vulneráveis obsoletos:
    • O valor do número de dias que você inseriu para a última opção de Ativos verificados em Encerrar automaticamente itens vulneráveis obsoletos é preservado automaticamente para os Ativos verificados pela última vez em Encerrar automaticamente detecções obsoletas.
    • O valor do número de dias que você inseriu para a opção Itens vulneráveis encontrados pela última vez em Encerrar automaticamente itens vulneráveis obsoletos é preservado automaticamente para as Detecções encontradas pela última vez em Encerrar automaticamente detecções obsoletas.
    • As detecções em aberto existentes com itens vulneráveis como Encerrado - Obsoleto serão transicionadas para Obsoleto de acordo com as definições de configuração de fechamento automático quando o trabalho programado Auto-Close Stale Detections for executado após o upgrade.

    Informações de acúmulo

    • Se um item vulnerável foi Encerrado - Obsoleto antes da atualização e todas as suas detecções forem marcadas como Obsoletas após a atualização, o estado do IV permanecerá Encerrado - Obsoleto.
    • Se um item vulnerável foi Encerrado - Obsoleto antes do upgrade e apenas algumas de suas detecções estiverem marcadas como Obsoletas após o upgrade e o restante tiver sido encerrado pelo scanner, o item vulnerável será transicionado para Encerrado - Corrigido de acordo com a lógica de acúmulo.