管理威胁和漏洞例外
在网络中发现的所有漏洞、错误配置和高风险软件都显示在web控制台的威胁页签下。但是,如果您希望将某个显示的项目排除在Vulnerability Manager Plus定义的威胁(漏洞/配置错误/高风险软件)之外,则可以使用“威胁例外”功能来实现。
本文档涵盖:
- 了解例外类型
- 确定例外范围
- 添加例外的步骤
- 删除例外的步骤
了解例外类型
例外可以是以下类型:
误报
当系统中的组件/应用程序/配置被错误地识别为威胁时,可以在定义例外时将其标记为误报。
可接受风险
如果已识别的威胁(漏洞/错误配置/高风险软件)几乎不构成风险,则可以将其排除为可接受的风险,还包括但不限于以下一些情况:
- 当发现它们影响到具有非常薄的修补窗且无法承受延长的停机时间的关键任务服务器时。
- 当针对这些低风险漏洞发布的补丁在补丁测试期间被发现有问题,并且可能导致停机或中断应用程序功能时。
- 您的组织可能正当使用某些业务关键实践,这些实践在某些情况下也可能带来风险。例如,共享文件夹有助于集中管理,并为用户存储和访问公共文件提供了一个中心位置,但具有写入权限的共享文件夹在威胁页签下显示为配置错误,因为勒索软件和其他恶意软件可以很容易地识别并传播到有共享文件夹的计算机上,这些文件夹具有对受损计算机的写入权限。
- 当补偿控制(如主机或基于网络的入侵防御系统)已经到位,以减轻这些检测到的威胁的安全风险时。
定义例外范围:
可能发现威胁正在影响多个系统。您可以通过选择应用例外的自定义组来控制例外范围。
- Vulnerability Manager Plus创建了名为“所有计算机组”的默认组。如果您希望为网络中的所有计算机排除一个威胁,那么可以在“自定义组”字段中选择“所有计算机组”。排除的威胁将不再出现在控制台的任何位置,除了威胁页签下的管理例外视图。
- 如果要排除特定计算机组的威胁,则可以基于操作系统、服务器或远程办公室等创建单独的自定义组,并在定义例外时指定该自定义组。了解如何创建自定义组。当您希望排除对特定计算机组的修复时,这尤其有用。例如,假设某个特定自定义组(如自定义组“Windows服务器”)排除了某个漏洞或错误配置,如果发现该漏洞或错误配置会影响该自定义组外的其他计算机,漏洞或错误配置仍将显示在“威胁”下的相应视图中,且修复只能应用于排除特定威胁的自定义组外的受影响计算机。
注意
- 将新计算机添加到定义了例外的自定义组时,新添加的计算机也将排除该自定义组排除的所有威胁。
- 将漏洞添加到例外时,不会拒绝相应的补丁,您仍然可以在缺失的补丁视图中找到这些补丁。添加漏洞例外不会影响补丁部署,但是,如果要拒绝补丁,可以从补丁页签中进行。
添加例外的步骤
如果要将漏洞、错误配置或高风险软件添加到例外列表,请导航至“威胁”页签下的相应视图,然后执行以下步骤:
- 找到并选择要排除在威胁外的项目,然后选择添加例外。
- 选择要排除这些威胁的自定义组。
- 选择例外类型。您可以选择误报或可接受风险。
- 指定排除的原因。
- 单击“确定”将所选项目成功添加到例外列表。
您还可以通过点击“系统”页签下的特定系统并访问这些系统中存在的漏洞、错误配置和高风险软件的深入视图,分别为每个系统添加/查看例外。
删除例外的步骤
- 只能从“管理例外”视图中删除例外。要删除例外,
- 导航至威胁> 管理例外。
- 在这里,您将找到为其定义了例外的自定义组列表。
- 点击操作下的“删除例外”,删除该自定义组的所有例外。
- 如果要为特定的自定义组单独删除例外,请选择一个组以查看该组排除的漏洞、错误配置和高风险软件。
- 找到并选择要从例外中删除的项目,然后点击删除例外。