Exibir Vulnerability Response dados de detecção de item vulnerável

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Os dados completos coletados por suas integrações de scanner de terceiros com Vulnerability Response são exibidos nas guias Detecções e Detecções iniciais nos registros de item vulnerável (VIT). Também é exibido em registros de detecção na lista de detecção de item vulnerável na sua instância Now Platform®.

    Antes de Iniciar

    As integrações de terceiros recuperam dados de detecção de item vulnerável. As detecções são ocorrências distintas de vulnerabilidades, conforme relatado pelos scanners. Os dados de detecção são emparelhados com itens vulneráveis e o estado do IV é atualizado com base no estado das detecções. Se um IV não for encontrado, um novo será criado. As detecções são abertas ou encerradas somente pelos dados encontrados diretamente por um scanner.

    Função necessária:

    sn_vuln.admin inicia execuções de integração e exibe dados de detecção de item vulnerável

    sn_vul.remediation_owner está atribuído a itens vulneráveis criados a partir de detecções de item vulnerável e exibe dados em registros de IV

    Procedimento

    1. Para exibir os dados de detecção de item vulnerável, navegue até um registro de item vulnerável e abra-o.
      O registro é exibido com as guias Detecções iniciais e Detecções.
      Nota:
      Os dados exibidos anteriormente na guia Detalhes da configuração são exibidos junto com outros dados de detecção nas guias Detecção inicial e Detecções.
      Guias Detecção inicial e Detecções realçadas no registro IV.
    2. Clique na guia Detecções.

      Quando um item vulnerável é criado a partir dos resultados de uma verificação de terceiros, os dados da verificação são exibidos no registro de detecção, conforme mostrado na figura a seguir.

      Guia Detecções
      Cada linha na seção Detecções de item vulnerável representa dados de uma detecção distinta. Na coluna Primeiro encontrado, a data em que o item vulnerável foi detectado pela primeira vez pelo scanner é exibida. Na coluna Último encontrado, a data da detecção mais atual é exibida. O campo Origem exibe o scanner que recuperou os dados.
      Nota:
      Para Qualys, com detecções de item vulnerável, os seguintes campos estão obsoletos no registro IV e não são mais preenchidos:
      • Qualys severidade
      • Última atualização pela origem

      Também para Qualys, conforme mostrado na figura anterior, quando um IV é criado a partir de uma verificação, o valor da verificação para Resultados é exibido na coluna Prova no registro de detecção. No entanto, este valor não é exibido na parte superior do registro IV.

      Para Rapid7, quando um IV é criado a partir de uma verificação, o valor da Prova da verificação pode ser exibido na coluna Prova no registro de detecção e na parte superior do registro de IV, mas não por padrão. Para exibir este valor na parte superior do registro IV, selecione o campo Prova no layout do formulário.

    3. Opcional: Para configurar o layout da guia Detecções no registro, siga estas etapas.
      1. As colunas a seguir são exibidas na guia Detecções por padrão.
        • Status
        • Encontrado pela primeira vez (dados)
        • Último encontrado (data)
        • Nome DNS
        • Net BIOSname
        • Endereço IP
        • Horas encontradas
        • Porta
        • Protocolo
        • Prova
        • SSL
        Nota:

        Observação: se não houver valor em uma coluna, os dados desse campo não foram detectados pelo scanner.

      2. Clique no ícone de engrenagem ( ícone de engrenagem) para personalizar sua exibição.
      3. Selecione as colunas da interface de caixa de listagem dupla para exibir dados específicos e clique em OK.
    4. Com a guia Detecções selecionada, na coluna Status, clique em um item para abrir o registro de detecção e exibir os detalhes associados a esse item vulnerável, incluindo um resumo da solução (somente integração do Rapid7 InsightVM).
      Figura 1. Qualys registro de detecção
      Registro de detecção
      Figura 2. Registro de detecção do Rapid7
      Registro de detecção Rapid7 com solução
    5. Retorne ao registro e selecione a guia Detecção inicial.

      A guia Detecções iniciais exibe os dados importados do scanner de terceiros na primeira ocorrência da detecção. Essas informações na guia de detecção inicial não mudam conforme os dados de detecção são atualizados.

      Guia de detecções iniciais
    6. Opcional: Navegue até Detecções de item vulnerável para exibir a Lista de detecção de item vulnerável.

      A lista de Detecção de item vulnerável é exibida. Cada linha na lista de Detecções de itens vulneráveis representa uma detecção distinta. As colunas exibem os mesmos dados que o registro IV.

      Lista de detecções

      As detecções são abertas ou encerradas somente pelos dados encontrados por um scanner, elas não são revertidas dos IVs. Conforme as detecções são importadas, elas são usadas para criar IVs e atualizar os estados dos IVs​. Se todas as detecções de um item vulnerável forem encerradas, esse item vulnerável será encerrado. No registro IV, o estado é fechadoe o subestado é fixo.

      Nota:
      Os erros são registrados enquanto:
      • Processando anexos recuperados do scanner.
      • Criar ou atualizar detecções ou itens vulneráveis.
      Para obter informações sobre como lidar com erros de detecção, consulte Tratamento de erros para detecções.

      Quando todos os IVs são encerrados para uma tarefa de correção, a tarefa de correção é encerrada.

      Os IVs encerrados com um subestado fixo ou obsoleto serão reabertos se uma nova detecção for criada e os IVs puderem ser correspondidos com a nova vulnerabilidade.

      Itens vulneráveis definidos como Resolvidos em sua instância, mas não transicionados para Encerrado/Corrigido pelas execuções de integração subsequentes serão reabertos se forem detectados durante novas verificações.

      Quando todos os IVs são encerrados para uma tarefa de correção, o registro é encerrado.

      Itens vulneráveis definidos como "Resolvidos" em sua instância, mas não transicionados para "Encerrado/Corrigido" pelas execuções de integração subsequentes, serão reabertos se forem detectados durante novas verificações.

      Para Rapid7 detecções, agora está disponível uma opção na página de configuração do Rapid7 em sua instância para reabrir IVs resolvidos por idade. Se habilitado, os IVs definidos como Resolvidos, mas não transicionados para Encerrado/Corrigido pelas verificações subsequentes, retornam para Aberto após o número de dias inserido.

      Para Qualys detecções, se o scanner continuar a encontrar IVs que foram definidos como "Resolvido", mas não transicionados para Encerrado/Corrigido pelas verificações subsequentes, esses IVs retornam para Aberto quando a última data encontrada for posterior à data Resolvido.

    O que Fazer Depois

    Para exibir mais dados, incluindo contagens de item e detecção, você pode Verificar Vulnerability Response registros de dados de detecção de item vulnerável na execução de integração (VINTRUN).