Отслеживание исправлений

Материал из Документация Ключ-АСТРОМ

Отслеживание исправления позволяет отслеживать ход исправления отдельных сущностей ( групп процессов , процессов или узлов Kubernetes ), затронутых сторонней уязвимостью.

Для групп процессов и узлов Kubernetes вы можете контролировать, какие из этих объектов вы хотите отслеживать, а какие — отбрасывать. Например, если вы считаете, что объект не имеет отношения к делу или является ложным срабатыванием, вы можете отключить его. Заглушая объект, вы скрываете сторонние уязвимости для определенных групп процессов или узлов Kubernetes.

  • Заглушенные объекты не учитываются ни в каком контексте, например, в рейтинге безопасности по ИИ или показателях безопасности приложений.
  • Чтобы обеспечить правильную обработку вновь затронутых объектов, отключение всех объектов не отключает саму уязвимость. Могут существовать другие затронутые объекты, которые не видны конкретному пользователю из-за ограничений разрешений или выбранной зоны управления.

Отслеживание исправлений для групп процессов

Чтобы получить доступ к отслеживанию исправлений для групп процессов, связанных с уязвимостью

  1. В меню Ключ-АСТРОМ перейдите к Сторонние уязвимости .
  2. Выберите Подробности для нужной уязвимости.
  3. Выберите Просмотреть все группы процессов .

На странице Обзор группы процессов вы можете

  • Фильтр для групп процессов
  • Отслеживание хода исправления для групп процессов
  • Изменить статус уязвимости групп процессов

Фильтр для групп процессов

Вы можете фильтровать группы процессов по имени объекта (полное или частичное имя), статусу ( Affected, Resolved, или Muted), общедоступному Интернету ( Public networkили Not detected), доступным активам данных ( Reachableили Not detected), имени используемой уязвимой функции , использованию уязвимых функций ( In useили Not in use) , или Точность оценки ( Fullили Reduced (infra-only)).

  • Для имени используемой уязвимой функции вы можете использовать два двоеточия в поисковом запросе ( class::function), чтобы указать имя функции и/или класса, которое вы ищете:
    • class::для фильтрации по определенному имени класса.
    • class::functionдля фильтрации определенной функции в определенном классе.
    • functionдля фильтрации определенного имени функции в любом классе.
  • Точность оценки: полные фильтры для связанных групп процессов, работающих в режиме мониторинга полного стека.
  • Точность оценки: Уменьшенные (только инфра) фильтры для связанных групп процессов, работающих в режиме мониторинга инфраструктуры.

Подробнее см. в разделе Режимы мониторинга .

Отслеживание хода исправления для групп процессов

Список групп процессов содержит следующую информацию:

  • Группа процессов:
    • Имя связанной группы процессов со ссылкой на страницу сведений о группе процессов.
    • Количество затронутых в настоящее время процессов из общего числа процессов в этой группе процессов, указывающее на ход исправления.
  • Оценка риска:
    • Если уязвимость затрагивает группу процессов, которая на основе модели объектов Ключ-АСТРОМ (Smartscape) открыта для Интернета, отображается символ публичного доступа.
    • Если уязвимость затрагивает группу процессов, которая на основе модели объектов Ключ-АСТРОМ имеет доступ к базе данных, отображается символ доступных данных.
  • Положение дел:
    • Текущее состояние связанной группы процессов ( Affected, Resolved, или Muted).
  • Впервые обнаружено: временная метка, показывающая, когда впервые была обнаружена связанная группа процессов.
  • Последнее обновление: отметка времени, показывающая, когда в последний раз обновлялось состояние связанной группы процессов.
  • Подробности: подробная информация о выбранной группе процессов.

Раздел сведений о группе процессов содержит следующую информацию:

  • Подробности:
    • Имя группы процессов: имя затронутой группы процессов (например, IIS app pool dotNetBackend_easyTravel_x64) со ссылкой на страницу сведений о группе процессов.
    • Процессы: количество затронутых в настоящее время процессов из общего числа процессов в этой группе процессов, указывающее на ход исправления. (например, 2/10 processes affected).
    • Состояние: Текущее состояние затронутой группы процессов ( Affected, Resolvedили Muted).
    • Впервые обнаружено: временная метка, показывающая, когда впервые была обнаружена связанная группа процессов.
    • Последнее обновление: отметка времени, показывающая, когда в последний раз обновлялось состояние затронутой группы процессов.
    • Уязвимый компонент: имя уязвимого компонента (например, .NET 3.5.1.0 .NET Framework).
  • Статус: Последнее изменение статуса.
    • Если статус изменился, Ключ-АСТРОМ отображает, когда произошло изменение и кто его выполнил (если применимо).
    • Если статус не изменился, отображается Состояние еще не изменилось .
  • Оценка риска:
    • Если есть какое-либо общественное интернет-разоблачение. Примечание. Если символ зачеркнут серым цветом и перечеркнут, публичного доступа нет. Если символ отсутствует, данные недоступны.
    • Если затронуты какие-либо доступные активы данных. Примечание. Если символ неактивен и перечеркнут, это означает, что нет доступных ресурсов данных. Если символ отсутствует, данные недоступны.
    • Если какие-либо уязвимые функции используются процессом. Примечание. Если символ зачеркнут и зачеркнут, уязвимая функция не используется. Если символ отсутствует, данные недоступны. Подробнее см. FAQ: Почему нет данных об уязвимых функциях? .

Изменить статус уязвимости групп процессов

Чтобы изменить статус уязвимости

  • Одна затронутая группа процессов:
    1. В обзоре группы процессов перейдите в раздел «Сведения о группе процессов» и выберите «Изменить статус» .
    2. Выберите новый статус и введите любую дополнительную информацию, а затем выберите Сохранить .
  • Несколько затронутых групп процессов:
    1. В обзоре группы процессов выберите нужные группы процессов из отображаемых на странице, а затем выберите Да, изменить статус .
    2. Выберите новый статус, введите любую дополнительную информацию, а затем выберите Сохранить .

Отслеживание исправлений для процессов

Доступ к отслеживанию исправлений для процессов

  1. В меню Ключ-АСТРОМ перейдите к Сторонние уязвимости .
  2. Выберите Подробности для нужной уязвимости.
  3. Выберите Просмотреть все группы процессов .
  4. В столбце Группа процессов под именем нужной группы процессов выберите одно из двух чисел для просмотра:
    • Затронутые процессы
    • Связанные процессы ( Affectedи Resolved)

На странице Обзор процесса вы можете

  • Фильтр для процессов
  • Отслеживание хода исправления для процессов

Фильтр для процессов

Вы можете фильтровать процессы по имени объекта (полное или частичное имя), статусу ( Affectedили Resolved), имени используемой уязвимой функции или использованию уязвимых функций ( In useили Not in use).

  • Для имени используемой уязвимой функции вы можете использовать два двоеточия в поисковом запросе ( class::function), чтобы указать искомую функцию и/или имя класса:
    • class::для фильтрации по определенному имени класса.
    • class::functionдля фильтрации определенной функции в определенном классе.
    • functionдля фильтрации определенного имени функции в любом классе.

Отслеживание хода исправления для процессов

Список процессов содержит следующую информацию:

  • Процесс:
    • Имя связанного процесса (например, KpiTomcatFrontEnd-CWS-2-IG-51-HG) со ссылкой на страницу сведений о процессе.
    • Идентификатор Ключ-АСТРОМсвязанного процесса (например, PROCESS_GROUP_INSTANCE-B63193A779301A0E), чтобы отличить его от других процессов с таким же именем.
  • Уязвимые функции: если процесс использует какие-либо уязвимые функции, отображается символ уязвимой функции. Примечание. Если символ зачеркнут и зачеркнут, уязвимая функция не используется. Если символ отсутствует, данные недоступны. Подробнее см. FAQ: Почему нет данных об уязвимых функциях? .
  • Статус: текущий статус связанного процесса ( Affectedили Resolved).
  • Впервые обнаружен: Отметка времени, показывающая, когда связанный процесс был впервые обнаружен.
  • Подробности: Подробная информация о выбранном процессе.

В разделе сведений о процессе содержится следующая информация:

  • Подробности:
    • Имя группы процессов: имя связанной группы процессов (например, IIS app pool dotNetBackend_easyTravel_x64) со ссылкой на страницу сведений о группе процессов.
    • Статус: текущий статус связанного процесса ( Affectedили Resolved).
    • Впервые обнаружен: Отметка времени, показывающая, когда связанный процесс был впервые обнаружен.
    • Уязвимый компонент: имя уязвимого компонента (например, .com.fasterxml.jackson.core:jackson-databind:2.9.9).

Отслеживание исправлений для узлов Kubernetes

Чтобы получить доступ к отслеживанию исправлений для узлов Kubernetes, связанных с уязвимостью

  1. В меню объектов Ключ-АСТРОМ к Сторонние уязвимости .
  2. Выберите Подробности для нужной уязвимости.
  3. Выберите Просмотреть все узлы Kubernetes .

На странице обзора узла Kubernetes вы можете

  • Фильтр узлов
  • Отслеживайте ход исправления для узлов
  • Изменить статус уязвимости узлов

Фильтр узлов

Вы можете фильтровать узлы по имени объекта (полное или частичное имя) или по статусу ( Affected, Resolved, или Muted).

Отслеживайте ход исправления для узлов

Список узлов Kubernetes предоставляет следующую информацию:

  • Узел: имя затронутого узла со ссылкой на страницу сведений о хосте.
  • Статус: текущий статус затронутого узла ( Affected, Resolved, или Muted).
  • Впервые обнаружен: Отметка времени, показывающая, когда затронутый узел был впервые обнаружен.
  • Последнее обновление: временная метка, показывающая, когда последний раз обновлялось состояние затронутого узла.
  • Подробности: Подробная информация о выбранном узле.

Раздел сведений об узле Kubernetes содержит следующую информацию:

  • Подробности:
    • Имя узла: имя узла Kubernetes (например, deb-10-k3s-oi-01).
    • Статус: текущий статус затронутого узла ( Affected, Resolved, или Muted).
    • Впервые обнаружен: Отметка времени, показывающая, когда затронутый узел был впервые обнаружен.
    • Последнее обновление: временная метка, показывающая, когда последний раз обновлялось состояние затронутого узла.
    • Уязвимый компонент: имя уязвимого компонента (например, Kubernetes v1.21.9+k3s1 master).
  • Положение дел:
    • Если статус не изменился, отображается Состояние еще не изменилось .
    • Если статус изменился,Ключ-АСТРОМотображает, когда произошло изменение и кто его выполнил (если применимо).

Изменить статус уязвимости узлов

Чтобы изменить статус уязвимости

  • Один пораженный узел:
    1. Перейдите к сведениям о нужном узле Kubernetes, а затем выберите Изменить статус .
    2. Выберите новый статус и введите любую дополнительную информацию, а затем выберите Сохранить .
  • Несколько пораженных узлов:
    1. Выберите нужные узлы из отображаемых на странице, а затем выберите Да, изменить статус .
    2. Выберите новый статус, введите любую дополнительную информацию, а затем выберите Сохранить .
Источник — https://doc.ruscomtech.ru/index.php?title=Отслеживание_исправлений&oldid=2844