Vulnerability Response tarefas de correção e regras de tarefa visão geral

  • Versão de lançamento: Washingtondc
  • Atualizado 6 de fev. de 2024
  • 6 min. de leitura

    • Configure tarefas de correção (VULs) para ajudar analistas e especialistas em correção a organizar itens vulneráveis (IV) e analisá-los em massa. Os critérios pelos quais os grupos são formados são configurados para que você não precise atribuir manualmente itens vulneráveis em grupos. Usando tarefas de correção, você pode monitorar o andamento e conduzir o processo de correção com mais eficiência.

    Contagens de adiamento de rastreamento para itens vulneráveis e tarefas de correção

    Rastreie o número de vezes que um item vulnerável, um item vulnerável da aplicação, um item vulnerável de contêiner ou uma tarefa de correção é adiado. Um trabalho programado, definir contagens de adiamento, é executado diariamente para publicar contagens dos registros que são adiados mais de uma vez na coluna Contagem de adiamento. Os registros são exibidos nos módulos Vários adiamentos para VR, AVR e CVR.

    Atualizando itens vulneráveis automaticamente

    Nota:
    A automação de atualização de item vulnerável se aplica somente a grupos criados usando o filtro de condição ou o grupo de filtros. A automação não se aplica a IVs que foram adicionados manualmente ou agrupados usando Regras de tarefa de correção.

    Quando a caixa de seleção Atualizar itens vulneráveis automaticamente está marcada, novos IVs que correspondem aos critérios de filtro da tarefa de correção são adicionados automaticamente à tarefa. Itens vulneráveis na tarefa de correção que não correspondem mais aos critérios de filtro são removidos automaticamente da tarefa.

    Por padrão, quando a tarefa de correção sai do estado Aberto, a caixa de seleção é desmarcada. Se você quiser que os itens vulneráveis continuem sendo adicionados à tarefa de correção, independentemente do estado, desabilite a regra de negócios Set auto refresh vulnerable items.

    Você pode marcar a caixa de seleção novamente manualmente no estado Sob investigação. A opção Atualizar itens vulneráveis automaticamente não é desabilitada quando a tarefa de correção passa para o estado Aguardando implementação. Uma vez no estado Aguardando implementação, nenhum novo item vulnerável pode ser adicionado à tarefa existente, nem itens vulneráveis existentes podem ser removidos dela.
    Nota:
    Quando uma tarefa de correção é criada manualmente e os IVs são adicionados usando o filtro Condição ou o Grupode filtros, a caixa de seleção é desmarcada. Você tem a opção de marcar a caixa ou não.

    Atualizando itens vulneráveis manualmente

    Para tarefas de correção criadas manualmente com um grupo de filtros ou filtro de condição, quando você clica no link relacionado Atualizar itens vulneráveis associados na página Tarefa de correção, todos os itens vulneráveis que correspondem aos critérios de filtro são adicionados. Os itens que não correspondem mais aos critérios são removidos. Esta ação permite uma atualização imediata da lista de itens vulneráveis e é usada com a caixa de seleção Atualizar item vulnerável automaticamente marcada ou não.

    As tarefas de correção criadas manualmente usando os tipos de filtro Condição ou Grupo de filtros são atualizadas uma vez por hora.

    Noções básicas sobre regras de tarefa de correção

    As regras de tarefa de correção permitem definir como os itens vulneráveis são automaticamente agrupados e atribuídos. Uma regra padrão, Vulnerabilidade, está incluída no sistema de base que reúne itens vulneráveis com base em suas vulnerabilidades. No entanto, você pode agrupar por qualquer outro conjunto de valores em colunas acessíveis pelo IV. Esses valores podem incluir grupo de suporte de item de configuração (IC), severidade da vulnerabilidade e assim por diante.

    Você pode criar qualquer número de condições. Depois de definir um Agrupar por seleção, outra linha será exibida. Você pode ter até seis seleções de Agrupar por. Você também pode automatizar a atribuição de grupo. Para obter mais informações, consulte Criar ou editar Vulnerability Response regras de tarefa de correção e Filtragem em Vulnerability Response.
    Nota:
    Para disponibilizar Rapid7 InsightVM tags de ativo para uso no filtro de condição para Regras de tarefa de correção, você deve executar a integração Rapid7 InsightVM Lista de ativos antes das outras integrações Rapid7 InsightVM.

    Por exemplo, você pode agrupar seus itens vulneráveis pelo centro de custos do IC vulnerável ou pelo vetor de ataque da vulnerabilidade. Você pode ter uma regra de tarefa para vulnerabilidades de baixa severidade ou ICs de baixo risco. Você pode ter outra regra de tarefa para servidores críticos e vulnerabilidades com explorações - itens vulneráveis que expõem a empresa a mais riscos.

    Um conjunto diferente de regras pode ser usado para itens vulneráveis que expõem a empresa a mais riscos. O nome da tarefa de correção é anexado à regra de tarefa de correção Agrupar por valores para fazer a descrição resumida do novo registro. Consulte Criar um grupo do Vulnerability Response para obter mais informações sobre os campos disponíveis.

    Figura 1. Exemplo de construtor de condição para entradas de Agrupar por
    Construtor de condição para regra de tarefa de correção mostrando as entradas Agrupar por.

    Quando um novo item vulnerável é criado, importado ou reaberto após ser fechado, as regras de vulnerabilidade são avaliadas em relação a ele. Um IV é avaliado apenas uma vez, automaticamente, a menos que seja reaberto após ser fechado ou as regras sejam reaplicadas manualmente.

    O processo a seguir é usado para cada IV novo ou reaberto:

    • Para cada regra de tarefa de correção, o IV é comparado ao filtro de regra de tarefa de correção.
    • Para cada regra em que a condição da regra da tarefa de correção corresponde, a regra extrai os dados do Agrupar por seleções no IV. Ele cria um nome de grupo e um campo. Nesse caso, Alto risco: QID-32342:resumo de QID-3242 (Nome: ID da vulnerabilidade: resumo da vulnerabilidade).
      Nota:
      O campo de descrição resumida é limitado a 160 caracteres. Resumos de vulnerabilidade mais longos são truncados.
      A regra verifica se há uma tarefa de correção em aberto correspondente que seja atribuída ao mesmo grupo de atribuição que o IV.
      • Se a tarefa for encontrada, o IV será adicionado à tarefa existente no estado Aberto.
      • Se nenhuma tarefa no estado Aberto for encontrada, a regra criará uma tarefa de alto risco: QID-32342, a atribuirá ao mesmo grupo de atribuição que o IV e colocará o IV na tarefa de correção.

    Mais de uma regra de tarefa de correção pode ser definida para agrupar diferentes tipos de vulnerabilidades. Como cada vulnerabilidade é comparada com as condições de regra da tarefa de correção antes de colocá-la em um grupo, muitas regras podem afetar o desempenho.

    Por padrão, as regras de tarefa de correção usam o grupo de atribuição definido pelas Regras de atribuição no item vulnerável ao agrupar os itens e atribui a tarefa de correção para corresponder aos itens vulneráveis.

    Como parte da regra de tarefa padrão, a atribuição dessas tarefas de correção é controlada pelas regras no módulo Regras de atribuição. Para obter mais informações sobre regras de atribuição, consulte Vulnerability Response visão geral de regras de atribuição.

    Quando uma regra de tarefa é excluída, no formulário ou na exibição de lista, você tem a opção de excluir todas as tarefas abertas criadas por essa regra. As tarefas que não estão em Aberto são excluídas.

    Reaplicar regras de tarefa de correção

    Quando você quiser mudar uma regra de tarefa de correção, use o botão Reaplicar na página de regra de tarefa de correção para executar novamente a regra alterada em todas as tarefas de correção em aberto ativas criadas por essa regra. Ele exclui e recria tarefas de correção com base na regra alterada automaticamente.