Solução de gestão de vulnerabilidade

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 16 min. de leitura

    • Correlacione automaticamente as vulnerabilidades em seu ambiente com as soluções que podem corrigi-las. Identifique as ações de correção que se aplicam às suas vulnerabilidades e priorize-as pela maior redução no risco de vulnerabilidade.

    Solução de gestão de vulnerabilidade

    As equipes de segurança e TI geralmente passam um tempo significativo pesquisando descobertas de vulnerabilidade para identificar os tratamentos mais eficazes para o ambiente. Dado o volume e a complexidade das vulnerabilidades em grandes organizações, traduzir descobertas de vulnerabilidade em tarefas de correção é um processo manual, tedioso e sujeito a erros.

    Com Solução de gestão de vulnerabilidade, você pode correlacionar automaticamente suas descobertas de vulnerabilidade com as soluções que as corrigem. Identifique os patches de software, atualizações de configuração e outros controles que têm o maior impacto para sua organização sem a sobrecarga manual.

    Requisitos do Solução de gestão de vulnerabilidade

    Solução de gestão de vulnerabilidade é um recurso disponível na aplicação Resposta a vulnerabilidades. Solução de gestão de vulnerabilidade requer uma assinatura separada.

    Para obter mais informações sobre como obter direitos para aplicações do ServiceNow Store, consulte . Consulte Instalar a aplicação Solução de gestão de Resposta a vulnerabilidades para obter mais informações sobre como instalar a aplicação depois de baixá-la na instância.

    Depois de instalado, o Solução de gestão de vulnerabilidade fornece acesso aos dados da solução Microsoft Security Response Center e Red Hat de dentro de Resposta a vulnerabilidades.

    Nota:

    Você pode configurar ambas as aplicações de solução de dentro do Assistente de configuração. Consulte Configurar integrações de soluções instaladas para Solução de gestão de vulnerabilidade usando o Assistente de configuração.

    Consulte Noções básicas sobre Integração com a solução Microsoft Security Response Center e Noções básicas sobre Red Hat Solution Integration para obter mais informações sobre as soluções importadas.

    Versões disponíveis

    Para a versão mais atual de Solução de gestão de vulnerabilidade, verifique se você tem a versão mais atual de Resposta a vulnerabilidades instalada.

    Versão de lançamento de Solução de gestão de vulnerabilidade Versões compatíveis de Resposta a vulnerabilidades Notas de versão

    Solução de gestão de vulnerabilidade v10.3

    		 Resposta a vulnerabilidades v18.0

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Sobre soluções e substituição

    Uma atualização substituída é uma substituição completa de uma versão ou versões anteriores. Por exemplo, uma atualização de hotfix pode ser substituída por um Service Pack. As soluções estão relacionadas a vulnerabilidades. As soluções também podem estar relacionadas a outras soluções em uma cadeia de substituição. As soluções abordam vulnerabilidades em soluções anteriores e são cumulativas. Solução de gestão de vulnerabilidade associa automaticamente vulnerabilidades de soluções anteriores a soluções substitutas. Se uma vulnerabilidade mais antiga for encontrada, qualquer solução de substituição superior poderá resolvê-la, mas a solução de substituição mais elevada será a preferencial, pois é a mais cumulativa.

    Soluções potenciais versus preferenciais

    Uma possível solução é aquela que pode resolver uma vulnerabilidade. As vulnerabilidades geralmente têm muitas soluções possíveis. Uma solução preferencial é a solução única destinada a corrigir uma vulnerabilidade ou item vulnerável (VI). Ele comunica a intenção e permite métricas de implantação mais detalhadas.

    Soluções Preferenciais

    Solução de gestão de vulnerabilidade define automaticamente a solução mais eficaz (Solução preferencial) para a vulnerabilidade detectada com base na substituição mais alta quando existe apenas uma solução de substituição mais alta. Se houver mais de uma substituição mais alta para a vulnerabilidade, nenhum valor será definido. Em Resposta a vulnerabilidades, uma Solução Preferencial é a solução Microsoft Security Response Center ou Red Hat com a maior substituição derivada das soluções associadas à vulnerabilidade.

    Os valores de Solução preferencial podem ser definidos no item vulnerável ou na vulnerabilidade. Quando definido diretamente na vulnerabilidade, todos os itens vulneráveis associados à vulnerabilidade herdam essa solução. Altere os valores de Solução Preferencial para vários itens vulneráveis usando o recurso de edição em massa. Quando editado em massa, somente a Solução preferencial no item vulnerável é atualizada, pois a configuração da solução preferencial no nível de entrada de vulnerabilidade definiria a solução preferencial para todos os novos IVs daqui para frente. A edição em massa se aplica somente aos itens vulneráveis atuais.
    Nota:
    Se houver várias soluções de substituição mais altas para uma vulnerabilidade, os valores de Solução Preferencial no nível da vulnerabilidade serão apagados, pois essa solução depende do ativo afetado. Quando houver várias soluções de substituição mais altas para uma vulnerabilidade, defina uma Solução preferencial no item vulnerável. Você pode definir uma solução diferente usando a lista de pesquisa no formulário de item vulnerável.

    Todas as soluções preferenciais para os itens vulneráveis em tarefas de correção estão em uma lista relacionada no registro da Tarefa de correção.

    Nem todas as importações de solução resultam em atualizações de dados completas. O processo de substituição é atualizado quando:
    • Um item vulnerável foi criado.
    • Os dados foram alterados em um VI ativo.
      Nota:
      A partir da v22.0 de Resposta a vulnerabilidades, as soluções não são enfileiradas nos dois casos acima.
    • Um novo mapeamento é criado para uma entrada de terceiros com o CVE.
    • Novos dados de solução foram liberados desde a última importação, uma solução existente foi atualizada.

    Aprimoramento da gestão de soluções e otimização de desempenho

    As soluções são recebidas de várias integrações, incluindo Microsoft e Redhat. O primeiro fornece atualizações mensais e estabelece uma cadeia de dependências para rastrear a solução preferencial para vulnerabilidades. No entanto, outras integrações não seguem este formato de atualização e não precisam estabelecer uma cadeia de dependências para elas. Anteriormente, era usada uma lógica de processamento que envolvia a criação de um gráfico para manter a precedência e identificar as soluções de substituição mais altas. Essas soluções foram sugeridas como a solução preferencial para as vulnerabilidades. No entanto, como a construção do gráfico é demorada, as outras integrações são excluídas deste processo. Para melhorar o desempenho, a partir da v22.0 de Resposta a vulnerabilidades, o métodoutility.processNonGraphSolutions() é chamado no trabalho agendado Process Vulnerability Solutions Metrics Queue. Este método lida com soluções de integrações diferentes da Microsoft.

    Em segundo lugar, as soluções são enfileiradas de várias origens usando o trabalho agendado Process Vulnerability Solutions Metrics Queue. Este trabalho programado envolve o acúmulo de soluções de entradas do NVD para entradas de terceiros, preenchendo soluções preferenciais em vulnerabilidades e atualizando as métricas de status de correção nas soluções. Nos seguintes cenários, somente as métricas de status de correção devem ser atualizadas:
    • Quando a solução preferencial muda nas vulnerabilidades
    • Quando os VITs são criados ou excluídos
    • Quando uma importação de VIT é concluída
    Embora as soluções estejam enfileiradas para atualizar somente as métricas de status de correção, elas ainda tentam acumular soluções de entradas do NVD para entradas de terceiros e preencher as soluções preferenciais. Para otimizar esse processo, na tabela Solução de vulnerabilidade, a coluna Status da atualização foi introduzida. Quando as métricas de status de correção nas soluções precisam ser atualizadas sem exigir o acúmulo ou o preenchimento de soluções preferenciais, as soluções não são mais enfileiradas. Em vez disso, a coluna Atualizar status é atualizada diretamente como verdadeira. Essa abordagem permite lidar com casos em que somente as métricas de status de correção devem ser atualizadas, resultando em economia de tempo e recursos. No trabalho agendado, depois que o processamento das soluções enfileiradas é concluído, as soluções marcadas com um status de atualização como verdadeiro são identificadas. Em seguida, eles são iterados por meio dessas soluções, calculando as contagens e atualizando as métricas de status de correção de acordo. Esta etapa desempenha um papel significativo na melhoria do desempenho do trabalho agendado, pois o número de soluções que devem ser enfileiradas é reduzido. Para exibir as métricas de status de correção, navegue até a tabela Solução de vulnerabilidade [sn_vul_solution] e selecione uma solução de vulnerabilidade. Em seguida, selecione a guia Status da correção. A guia fornece os seguintes campos:
    Tabela 1. Métricas de status de correção
    Campo Descrição
    Metas de solução preferencial - Status de correção de IVs para os quais esta é a solução preferencial
    Itens vulneráveis Número de itens vulneráveis ativos (não encerrados) para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    ICs Restantes Número de ICs associados a um ou mais itens vulneráveis ativos para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    Total de IVs Número de itens vulneráveis ativos e encerrados para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    Total de ICs Número de ICs associados a um ou mais itens vulneráveis ativos e encerrados para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    Percentual de IVs corrigidos Percentual concluído para correção de item vulnerável (VI). Aplica-se a IVs para os quais esta solução é a preferencial. Esta contagem exclui itens vulneráveis adiados.
    Percentual de ICs corrigidos Percentual concluído para correção de IC. Aplica-se a IVs para os quais esta solução é a preferencial. Esta contagem exclui itens vulneráveis adiados.
    Metas de solução preferencial (inclui adiadas) - Status de correção de IVs, incluindo adiadas, para as quais esta é a solução preferencial
    Itens vulneráveis Número de itens vulneráveis ativos (não encerrados) para os quais esta solução é a preferencial para correção.
    ICs Restantes Número de ICs associados a um ou mais itens vulneráveis ativos para os quais esta solução é a preferencial para correção. Esta contagem exclui itens vulneráveis adiados.
    Total de IVs Número de itens vulneráveis ativos e encerrados para os quais esta solução é a preferencial para correção.
    Total de ICs Número de ICs associados a um ou mais itens vulneráveis ativos e encerrados para os quais esta solução é a preferencial para correção.
    Percentual de IVs corrigidos Percentual concluído para correção de item vulnerável (VI). Aplica-se a IVs para os quais esta solução é a preferencial.
    Percentual de ICs corrigidos Percentual concluído para correção de IC. Aplica-se a IVs para os quais esta solução é a preferencial.
    Possíveis metas de solução - Status de correção de todos os IVs com uma vulnerabilidade relacionada a esta solução
    Itens vulneráveis Número de itens vulneráveis ativos (não encerrados) para os quais esta solução é uma possível solução para correção. Esta contagem exclui itens vulneráveis adiados.
    ICs Restantes Número de ICs associados a um ou mais itens vulneráveis ativos para os quais esta solução é uma possível solução para correção. Esta contagem exclui itens vulneráveis adiados.
    Possíveis metas de solução (inclui adiados) – Status de correção de todos os IVs, incluindo adiados, com uma vulnerabilidade relacionada a esta solução
    Itens vulneráveis Número de itens vulneráveis ativos (não encerrados) para os quais esta solução é uma possível solução para correção.
    ICs Restantes Número de ICs associados a um ou mais itens vulneráveis ativos para os quais esta solução é uma possível solução para correção.
    Em terceiro lugar, a disponibilidade de uma solução preferencial para vulnerabilidades e VITs deve ser garantida para corrigir as vulnerabilidades. No entanto, em situações em que existem várias soluções de substituição superiores para uma vulnerabilidade, uma solução preferencial não é preenchida devido à ambiguidade. Para lidar com esse cenário, é implementada uma abordagem que envolve a execução da lógica de processamento e o preenchimento da solução preferencial quando ela estiver disponível. Nos casos em que há apenas uma solução de substituição superior, ela é preenchida como a solução preferencial. Quando várias soluções de substituição superiores estão presentes, o campo de solução preferencial permanece vazio. No entanto, o objetivo é preencher a solução de substituição mais elevada, que é publicada como a mais recente, como a solução preferencial. Para isso, uma propriedade do sistema sn_vul.latest_solutions é introduzida. Por padrão, essa propriedade é definida como false. Se você quiser habilitar a capacidade de preencher as soluções mais recentes como a solução preferencial quando nenhuma solução preferencial estiver disponível, você poderá habilitar esta propriedade. Depois de habilitada, a coluna Tipo de solução é atualizada na tabela de vulnerabilidade com as seguintes opções:
    • Preferencial: quando a solução preferencial é preenchida
    • Mais recente: quando nenhuma solução preferencial está disponível, a solução mais recente do conjunto de soluções de substituição mais altas é selecionada com base no valor de data de publicação. O campo a ser selecionado como a solução mais recente pode ser personalizado usando a propriedade do sistema sn_vul.latest_solutions. Por padrão, o valor é definido como "data de publicação", mas pode ser alterado para "última modificação" para selecionar a solução com base na última coluna modificada nas soluções.
    • Manual: quando o tipo de solução preferencial é atualizado manualmente. A precedência para este tipo de solução é a mais alta.

    Em determinados cenários, a solução preferencial em um item vulnerável (VIT) pode ser diferente da solução preferencial na vulnerabilidade correspondente. Isso ocorre quando a solução preferencial é atualizada manualmente em um VIT e não na vulnerabilidade. Nesses casos, o campo Tipo de solução fica oculto no VIT.

    O que Solução de gestão de vulnerabilidade faz

    • Associa automaticamente novos itens vulneráveis (VITs) e tarefas de correção a soluções durante a Integração com a solução Microsoft Security Response Center importação do e Red Hat Solution Integration.

      MSRC As soluções estão associadas ao boletim mais recente em que a solução aparece.

    • Associa automaticamente itens vulneráveis e tarefas de correção a soluções quando os registros de vulnerabilidade são associados manualmente a soluções.
      Nota:
      Itens vulneráveis reatribuídos manualmente a outra solução não são atualizados automaticamente com as mudanças de solução no nível da vulnerabilidade.
    • MSRC: cria cadeias de substituição durante a importação que você pode exibir na lista relacionada da solução.
    • Indica se uma solução é uma solução de substituição mais alta ou não.
    • Lista a pontuação de risco da solução associada a cada solução para fornecer a você as maiores oportunidades de redução de risco.

    • Mantém o status de correção de soluções em entradas de vulnerabilidade de terceiros, tarefasde correção e registros de solução de vulnerabilidade para que você possa acompanhar o andamento da correção.

      Ele contém:
      • Contagens de itens vulneráveis por porcentagem corrigida, para os IVs com Soluções Preferenciais, com e sem esses VIs no estado Adiado.
      • Contagens de itens de configuração (IC) por porcentagem corrigida, para esses IVs com Soluções preferenciais, com e sem esses IVs no estado adiado.
      • Contagens de itens vulneráveis por porcentagem corrigida, para esses IVs com soluções potenciais, com e sem esses IVs no estado adiado.
      • Contagens de itens de configuração por porcentagem corrigida, para esses IVs com Soluções Preferenciais, com e sem esses VIs no estado Adiado.

    O que você pode fazer com Solução de gestão de vulnerabilidade

    • Crie, atualize, exiba ou exclua soluções associadas a vulnerabilidades, para que você possa rastrear soluções de vulnerabilidade que não são cobertas pelo conteúdo da solução de terceiros. A integração da solução com o Rapid7 Data warehouse não é compatível.
    • Associe vulnerabilidades de terceiros e entradas do NVD a um registro de solução.
    • Remova e associe novamente itens vulneráveis e tarefas de correção a uma solução.
    • Exiba a Solução preferencial aplicável a uma determinada vulnerabilidade nos formulários de vulnerabilidade e item vulnerável.
    • Exiba uma lista relacionada de Soluções preferenciais em formulários de tarefa de correção que listam todas as soluções que foram preferenciais por pelo menos um VI ativo nesse grupo.
    • Exiba os detalhes do status de correção em uma solução que mostra a redução de risco associada à implantação da solução preferencial em vulnerabilidade, item vulnerável, tarefas de correção e formulários de solução.
    • Exiba as vulnerabilidades aplicáveis a uma determinada solução no formulário de solução.
    • MSRC: exiba as soluções substitutas para uma determinada solução em uma vulnerabilidade, para encontrar a atualização mais recente a ser implantada ou uma atualização anterior, mais focada e eficiente.
    • Exibir listas de soluções classificadas para diferentes características.
      • Todos: soluções classificadas por data de publicação e número.
      • MSRC: maior substituição: soluções com itens vulneráveis ativos e não adiados. Classificado por Substituição mais elevada, Data de publicaçãoe Número.
      • Com itens vulneráveis: soluções com itens vulneráveis ativos e não adiados. Classificado por Substituição mais alta ou Preferencial, Pontuação de riscoe Número. Se implantadas, as entradas principais na lista fornecerão a maior redução de risco para os ativos em seu ambiente.

    Pontuação de risco e classificação de risco do registro da solução

    Nota:
    A pontuação de risco do registro da solução e a classificação de risco são distintas dos campos usados para vulnerabilidades, itens vulneráveis e tarefas de correção.

    A pontuação de risco do registro de solução é um cálculo ponderado com base na pontuação de risco do item vulnerável e em uma contagem de itens vulneráveis ativos com esta solução como sua solução potencial. A pontuação de risco da solução fornece uma estimativa da redução no risco que a solução deve realizar.

    A pontuação de risco do registro da solução é calculada da seguinte forma:
    • Ele começa com 85% da pontuação de risco mais alta ou máxima de um item vulnerável ativo com essa possível solução.
    • A pontuação de risco do registro da solução tabula o número total de itens vulneráveis com essa solução em potencial. Para cada intervalo do número de itens vulneráveis, ele adiciona alguns pontos e chega a um total.
      • Os itens vulneráveis de 0 a 09 não adicionam pontos
      • De 10 a 99 itens vulneráveis adicionam 5 pontos
      • De 100 a 999 itens vulneráveis adicionam 10 pontos
      • 1.000 itens vulneráveis e além adicionam 15 pontos

      Por exemplo, para uma pontuação de risco de item vulnerável de 80, a pontuação de risco do registro de solução começará em 68. Se houvesse um total de 200 itens vulneráveis ativos com essa possível solução, a pontuação final de risco da solução seria 78.

    A classificação de risco do registro de solução separa a pontuação de risco do registro de solução em intervalos de Crítico a Nenhum. A classificação de risco da solução classifica a redução de risco dos itens vulneráveis que esta solução corrige.

    Até o VR v16.1, as classificações de risco separavam a pontuação de risco da solução resultante nos seguintes intervalos:
    • 1 - Crítico ( pontuação de riscoda solução de 90+)
    • 2 - Alto ( pontuação de riscodo registro de solução de 70-89)
    • 3 - Médio (30-69 Pontuação de riscodo registro de solução)
    • 4 - Baixo ( pontuação de riscodo registro de solução de 1 a 29)
    • 5 - Nenhum (0 pontuação de risco doregistro da solução)
    A partir do VR v16.1, as classificações de risco separam a pontuação de risco da solução resultante nos seguintes intervalos para a Gestão de soluções:
    • 1 - Crítico ( pontuação de riscoda solução de 90+)
    • 2 - Alto ( pontuação de riscodo registro de solução de 70-89)
    • 3 - Médio (40-69 Pontuação de riscodo registro de solução)
    • 4 - Baixo ( pontuação de riscodo registro de solução de 1 a 39)
    • 5 - Nenhum (0 pontuação de risco doregistro da solução)

    Casos de Uso

    Exiba o andamento da implantação de status de um ciclo de patch atual usando o módulo de substituição mais alta, classificado por data.

    Exiba as soluções de maior valor usando o módulo Com itens vulneráveis, classificadas por pontuação de risco.

    As listas de soluções comunicam os principais detalhes da solução, pontuações de risco e métricas de implantação. Use a pontuação de risco e as contagens de VI ativo para priorização. Veja quais soluções no ciclo de patch atual não estão progredindo, possivelmente uma indicação de um pré-requisito de implantação ausente.
    Nota:
    Adicione %VIs corrigidos (percent_nd_pref_vis_remediated) no menu Personalizar colunas da lista para acompanhar o andamento da correção no formulário Soluções de vulnerabilidade.