Фильтрация или изменение статуса сторонних уязвимостей

Материал из Документация Ключ-АСТРОМ

После того как вы включите обнаружение сторонних уязвимостей и увидите, что список сторонних уязвимостей отображается на странице Сторонние уязвимости , вы можете организовать их несколькими способами для упрощения управления и определения приоритетов проблем:

Фильтрация уязвимости

Вы можете отфильтровать уязвимости по

  • Рекомендуемым исправлениям
  • Сведениям об уязвимости , глобальному периоду времени и зоне управления (вы можете комбинировать любые из этих фильтров)

Фильтрация по рекомендуемым исправлениям с помощью ИИ Security Advisor

Чтобы отфильтровать по рекомендуемым исправлениям, на странице Сторонние уязвимости выберите обновление, а затем выберите Добавить как фильтр .

  • После добавления рекомендуемого исправления в качестве фильтра можно расширить фильтрацию по сведениям об уязвимостях .
  • Вы можете добавить сразу несколько фильтров для рекомендуемых исправлений. В этом случае вы получаете кумулятивный список уязвимостей на основе выбранных исправлений.
  • Если вы используете фильтр зон управления, вы получите список сторонних уязвимостей, затрагивающих выбранную зону управления.

Вы не будете получать рекомендации по

  • Скрытые уязвимости
  • Уязвимости, отфильтрованные глобальным фильтром за прошлый период времени
  • Устраненные уязвимости

Дополнительные сведения о ИИ Security Advisor см. в разделе Расчеты ИИ Security Advisor .

Фильтровать по сведениям об уязвимости

На панели фильтров доступны следующие фильтры.

Примечание. Вы можете комбинировать любые фильтры, но не можете использовать один и тот же фильтр более одного раза для каждого поиска.

  • Оценка риска :
    • Public internet exposure: Отображает уязвимости, затрагивающие хотя бы один процесс, доступный в Интернете. Примечание. Этот фильтр недоступен для уязвимостей в технологии Kubernetes.
    • Reachable data assets: Отображает уязвимости, затрагивающие хотя бы один процесс, имеющий доступ к базе данных. Примечание. Этот фильтр недоступен для уязвимостей в технологии Kubernetes.
    • Public exploit available: отображает уязвимости, которые используются известным вредоносным кодом.
    • Vulnerable functions in use: отображает уязвимости, имеющие какие-либо уязвимые функции, используемые процессом, что позволяет использовать уязвимости.
    • Reduced accuracy (infra-only): Отображает уязвимости, связанные узлы которых работают в режиме мониторинга инфраструктуры. Подробнее см. в разделе Режимы мониторинга .
  • Уровень риска : отображает уязвимости в зависимости от их серьезности ( Critical, High, Medium, Low, None).

Дополнительные сведения об уровнях риска см. в разделе расчеты рейтинга безопасности по ИИ.

  • Snyk/CVE ID : отображает конкретную уязвимость на основе
    • Идентификатор Snyk (например, SNYK-JAVA-ORGAPACHEXMLBEANS-1060048) для уязвимостей Snyk.
    • Идентификатор CVE (например, CVE-2017-5645) для уязвимостей NVD.
  • Статус :
    • Open: отображает активные уязвимости.
    • Resolved: Отображает уязвимости, которые были закрыты автоматически, поскольку основная причина (например, загрузка уязвимой библиотеки) больше не существует. Дополнительные сведения см. в разделе Как оцениваются уязвимости: решение .
    • Muted: отображает активные и устраненные уязвимости, которые были отключены по запросу.
  • Технология : Отображает уязвимости в одной из поддерживаемых технологий ( Kubernetes, Node.js, Java, .NET, PHP, Go).
  • Среды выполнения технологий : отображаются только уязвимости на основе библиотеки ( only vulnerable libraries) или среды выполнения ( ).only vulnerable runtimes
  • Уязвимый компонент : отображает уязвимости на основе части имени уязвимого компонента.
  • Идентификатор уязвимости : отображение конкретной уязвимости путем выбора ее идентификатора Ключ-АСТРОМ (например, S-4423).
  • Затронутый или связанный объект : Отображает уязвимости, которые влияют на определенные объекты или связаны с ними. Выберите и введите любую комбинацию из следующего: Process group name, Host name, Kubernetes workload name, Kubernetes cluster name, Tag. Для Tag, вы можете использовать теги на узле, процессе и группе процессов с синтаксисом key:valueили key. Дополнительные сведения о тегах см. в разделе Определение и применение тегов . Примечание. Если уязвимость затрагивает более 5000 процессов, фильтр Затронутые или связанные объекты может не найти все уязвимости, затронутые введенным объектом.

Фильтровать по глобальному таймфрейму

Вы можете использовать глобальный селектор временных рамок для фильтрации сторонних уязвимостей на следующих страницах:

  • На странице Сторонние уязвимости отображаются уязвимости, которые были открыты в выбранный глобальный период времени. Однако отображаемые данные о записи отражают текущий статус записи, а не исторический статус.
  • На странице сведений об уязвимости отображаются объекты, которые были затронуты, и библиотеки, которые были уязвимы в течение выбранного глобального периода времени. Пострадавший объект или уязвимый компонент показан:
    • Если он уже был затронут или уязвим в течение выбранного периода времени.
    • Если он все еще затронут или уязвим.

Фильтрация по зоне управления

Вы можете использовать фильтр зон управления на страницах со списком и подробностями Сторонние уязвимости .

Как применяется фильтр

В каждом случае фильтр применяется к разным компонентам:

  • На странице Сторонние уязвимости
    • Фильтрация по зоне управления применяется только к полю Уязвимость .
    • Данные во всех других полях уязвимости основаны на всей среде.
  • На странице сведений о сторонних уязвимостях
    • Фильтрация по зоне управления применяется только к разделам Уязвимые компоненты и Связанные объекты .
    • Данные во всех остальных разделах основаны на всей среде.

Как рассчитываются зоны управления

Расчет зоны управления основан на процессах (или узле Kubernetes, в случае уязвимостей Kubernetes). Зоны управления рассчитываются при открытии уязвимости и каждые 15 минут после этого, пока уязвимость не будет устранена. Зона управления подвержена уязвимости, если процесс (или узел Kubernetes, в случае уязвимостей Kubernetes) зоны управления использует уязвимый компонент, имеющий указанную уязвимость.

Как ведут себя устраненные уязвимости

  • Когда уязвимость перестает влиять на зону управления, она не будет отображаться при фильтрации для этой зоны управления.
  • Когда уязвимость устранена (когда она перестала влиять на всю среду), она проявляется независимо от выбранной зоны управления.

Ограничения зоны управления

Для уязвимости хранится не более 1000 зон управления. Если уязвимость затрагивает более 1000 зон управления, вы можете отфильтровать только те 1000 зон управления, которые хранятся с уязвимостью.

Изменение статуса уязвимости

Варианты изменения статуса

Ты можешь:

  • Заглушить (молчание) уязвимостей, которые
    • Открытые, если вы не считаете их важными
    • Решено, если вы не хотите иметь дело с ними, если они будут повторно открыты
  • Включить заглушенные уязвимости, если считаете их важными.
  • Изменить статус уязвимости , выбрав новую причину текущего статуса или добавив дополнительную информацию в текущий статус.
  • Скрытые уязвимости не отображаются в списке уязвимостей, если вы не отфильтровали Status: muted.
  • Включить открытой уязвимости снова делает ее активной — ее статус снова меняется на Open, и уязвимость снова появляется в списке уязвимостей.
  • При включении устраненной уязвимости ее статус снова меняется на Resolved, и уязвимость снова появляется в списке уязвимостей при фильтрации Resolvedуязвимостей.

Способы изменить статус

Вы можете изменить статус уязвимости индивидуально или массово:

  • Индивидуально (по одной уязвимости за раз). У вас есть два варианта:
    • На странице Сторонние уязвимости в разделе Сведения о выбранной уязвимости выберите Изменить статус , выберите новый статус, введите любую дополнительную информацию и нажмите Сохранить .
    • На странице сведений о сторонних уязвимостях в правом верхнем углу страницы выберите Изменить статус , выберите новый статус, введите любую дополнительную информацию и нажмите Сохранить .
  • Массово (по нескольким уязвимостям сразу, например на основе определенных фильтров ). На странице Сторонние уязвимости у вас есть два варианта:
    • Выберите несколько уязвимостей, отображаемых на одной странице (выберите нужные уязвимости, затем выберите Да, изменить статус , выберите новый статус, введите любую дополнительную информацию и нажмите Сохранить ).
    • Выберите все уязвимости, отображаемые на одной странице (выберите столбец Уязвимость в списке уязвимостей, затем выберите Да, изменить статус , выберите новый статус, введите любую дополнительную информацию, а затем нажмите Сохранить ).

Вам нужно подождать до минуты, пока изменения вступят в силу. Обновите страницу, чтобы увидеть изменения.

Показать изменения статуса

Последние пять изменений состояния уязвимости за последние 30 дней регистрируются в разделе «Эволюция уязвимости» на странице сведений об уязвимости.

  • Выберите Показать больше для следующих пяти изменений статуса.
  • Выберите Подробности , чтобы узнать, кто изменил статус уязвимости, причину изменения статуса и любые дополнительные комментарии.
Источник — https://doc.ruscomtech.ru/index.php?title=Фильтрация_или_изменение_статуса_сторонних_уязвимостей&oldid=2838