Фильтрация или изменение статуса уязвимостей на уровне кода

Материал из Документация Ключ-АСТРОМ
Версия от 13:46, 9 июня 2023; ENetrebin (обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

После того как вы включите обнаружение уязвимостей на уровне кода и увидите, что список уязвимостей на уровне кода отображается на странице Уязвимости на уровне кода , вы можете организовать их несколькими способами для упрощения управления и определения приоритетов проблем:

Фильтровать уязвимости

Вы можете фильтровать уязвимости по сведениям об уязвимостях , глобальному таймфрейму и зоне управления (вы можете комбинировать любые из этих фильтров).

Фильтровать по сведениям об уязвимостях на уровне кода

На панели фильтров доступны следующие фильтры.

Примечание. Вы можете комбинировать любые фильтры, но не можете использовать один и тот же фильтр более одного раза для каждого поиска.

  • Оценка риска :
    • Public internet exposure: Отображает уязвимости, затрагивающие хотя бы один процесс, доступный в Интернете.
    • Reachable data assets: Отображает уязвимости, затрагивающие хотя бы один процесс, имеющий доступ к базе данных.
    • Reduced accuracy (infra-only): Отображает уязвимости, связанные узлы которых работают в режиме мониторинга инфраструктуры. Подробнее см. в разделе Режимы мониторинга .
  • Статус :
    • Open: отображает активные уязвимости.
    • Resolved: Отображает уязвимости, которые были закрыты автоматически, поскольку основная причина (расположение уязвимого кода) больше не существует. Дополнительные сведения см. в разделе Как оцениваются уязвимости: решение .
    • Muted: отображает активные и устраненные уязвимости, которые были отключены по запросу.
  • Идентификатор уязвимости : отображение конкретной уязвимости путем выбора ее идентификатора Ключ-АСТРОМ (например, S-4311).
  • Затронутый или связанный объект : Отображает уязвимости, которые влияют на определенные объекты или связаны с ними. Выберите и введите любую комбинацию из следующего: Process group name, Host name, Kubernetes workload name, Kubernetes cluster name, Tag. Для Tag, вы можете использовать теги на узле, процессе и группе процессов с синтаксисом key:valueили key. Дополнительные сведения о тегах см. в разделе Определение и применение тегов . Примечание. Если уязвимость затрагивает более 5000 процессов, фильтр Затронутые или связанные объекты может не найти все уязвимости, затронутые введенным объектом.

Фильтровать по глобальному таймфрейму

В таблице отображаются уязвимости на уровне кода, которые были обнаружены в какой-то момент в течение выбранного глобального периода времени. Однако отображаемые данные о записи отражают текущий статус записи, а не исторический статус.

Фильтрация по глобальному периоду времени недоступна для страницы сведений об уязвимости на уровне кода. Отображается текущий статус уязвимости и исторические данные (например, обнаруженные уязвимости за последние 365 дней). Для представлений, связанных с объектами (доступные данные, связанные объекты), период времени составляет один час, а для атак — 365 дней. Наведите указатель мыши на значок «Информация» рядом с любым разделом на странице сведений об уязвимости, чтобы просмотреть временные рамки, применимые к соответствующему разделу.

Фильтровать по зоне управления

Вы можете использовать фильтр зон управления в списке уязвимостей на уровне кода и на страницах сведений.

Как применяется фильтр

В каждом случае фильтр применяется к разным компонентам:

  • На странице Уязвимости на уровне кода
    • Фильтрация по зоне управления применяется только к полю Уязвимость .
    • Данные во всех других полях уязвимости основаны на всей среде.
  • На странице сведений об уязвимости на уровне кода
    • Фильтрация по зоне управления применяется только к экземпляру группы процессов и разделу Связанные объекты.
    • Данные во всех остальных разделах основаны на всей среде.

Примечание. Вы не можете получить доступ к зонам управления, не затронутым уязвимостями на уровне кода.

Как рассчитываются зоны управления

Расчет зоны управления основан на процессах (или узле Kubernetes, в случае уязвимостей Kubernetes). Зоны управления рассчитываются при открытии уязвимости и каждые 15 минут после этого, пока уязвимость не будет устранена. Процесс (или узел Kubernetes) зоны управления подвергается воздействию, как только загружается уязвимый компонент.

Как ведут себя устраненные уязвимости

  • Когда уязвимость перестает влиять на зону управления, она не будет отображаться при фильтрации для этой зоны управления.
  • Когда уязвимость устранена (когда она перестала влиять на всю среду), она проявляется независимо от выбранной зоны управления.

Ограничения зоны управления

Для уязвимости хранится не более 1000 зон управления. Если уязвимость затрагивает более 1000 зон управления, вы можете отфильтровать только те 1000 зон управления, которые хранятся с уязвимостью.

Изменить статус уязвимости

Варианты изменения статуса

Ты можешь:

  • Заглушение (молчание) уязвимостей, которые
    • Открытые, если вы не считаете их важными
    • Решено, если вы не хотите иметь дело с ними, если они будут повторно открыты
  • Включите заглушенные уязвимости, если считаете их важными.
  • Измените статус уязвимости , выбрав новую причину текущего статуса или добавив дополнительную информацию в текущий статус.
  • Скрытые уязвимости не отображаются в списке уязвимостей, если вы не отфильтровали Status: muted.
  • При включении открытой уязвимости она снова становится активной — ее статус снова меняется на Open, и уязвимость снова появляется в списке уязвимостей при фильтрации Openуязвимостей.
  • При включении устраненной уязвимости ее статус снова меняется на Resolved, и уязвимость снова появляется в списке уязвимостей при фильтрации Resolvedуязвимостей.

Способы изменить статус

Вы можете изменить статус уязвимости индивидуально или массово:

  • Индивидуально (по одной уязвимости за раз). У вас есть два варианта:
    • На странице Уязвимости на уровне кода в разделе Сведения о выбранной уязвимости выберите Изменить статус , выберите новый статус, введите любую дополнительную информацию и нажмите Сохранить .
    • На странице сведений об уязвимости на уровне кода в правом верхнем углу страницы выберите Изменить статус , выберите новый статус, введите любую дополнительную информацию и нажмите Сохранить .
  • Массово (по нескольким уязвимостям сразу, например, на основе определенных фильтров ). На странице Уязвимости на уровне кода у вас есть два варианта:
    • Выберите несколько уязвимостей, отображаемых на одной странице (выберите нужные уязвимости, затем выберите Да, изменить статус , выберите новый статус, введите любую дополнительную информацию и нажмите Сохранить ).
    • Выберите все уязвимости, отображаемые на одной странице (выберите столбец Уязвимости в списке уязвимостей, выберите новый статус, введите любую дополнительную информацию, а затем нажмите Сохранить ).

Вам нужно подождать до минуты, пока изменения вступят в силу. Обновите страницу, чтобы увидеть изменения.

Показать изменения статуса

Последние пять изменений состояния уязвимости за последние 30 дней регистрируются в разделе «Эволюция уязвимости» на странице сведений об уязвимости.

  • Выберите Показать больше для следующих пяти изменений статуса.
  • Выберите Подробности , чтобы узнать, кто изменил статус уязвимости, причину изменения статуса и любые дополнительные комментарии.