Ansichten:

Manuell oder regelmäßig Risiken mindern, die durch CVEs auf Ihren verwalteten internen und internetseitigen Assets erkannt wurden.

Eine häufige Sicherheitslücke und Exposition (CVE) ist eine Art von Sicherheitslücke, die von Angreifern ausgenutzt werden kann, wenn sie nicht behoben wird. Für weitere Informationen über CVEs auf verwalteten Assets siehe Schwachstellen.
Wichtig
Wichtig
Sie müssen Cyber Risk Exposure Management aktiviert und die folgenden erforderlichen Datenquellen konfiguriert haben, um CVEs mit Global Exploit Activity Playbooks zu erstellen:
  • CVEs mit globaler Exploit-Aktivität - Interne Assets: XDR Endpoint Sensor oder Datenquellen von Drittanbietern (Nessus Pro, Qualys, Rapid7 oder Tenable.io)
  • CVEs mit globaler Exploit-Aktivität - Internet-zugewandte Assets: Root-Domain-Konfiguration in Verwaltung der Cyber-Risikoexposition

Prozedur

  1. Navigieren Sie zu Workflow and AutomationSecurity Playbooks.
  2. Wählen Sie auf der Registerkarte Playbooks HinzufügenBuild manually aus.
  3. Wählen Sie im Playbook Settings-Panel den Sicherheitslücke-Typ aus, geben Sie einen eindeutigen Namen für das Playbook an und klicken Sie auf Übernehmen.
  4. Wählen Sie im Trigger Settings-Panel den Auslösetyp aus und klicken Sie auf Übernehmen.
    • Manuell: Ermöglicht es Ihnen, die Playbook-Ausführung zu starten, indem Sie auf das Run-Symbol (run=fddd0df8-993a-4aa5-b09c-51ad84aec2a4.png) klicken
    • Zeitgesteuert: Ermöglicht es Ihnen, das Playbook so zu planen, dass es täglich, wöchentlich oder monatlich ausgeführt wird
  5. Wählen und konfigurieren Sie im Target Settings-Panel das Ziel für das Playbook und klicken Sie auf Übernehmen.
    Wenn Sie Risiken für mehr als einen Zieltyp mindern müssen, verwenden Sie das Hinzufügen-Symbol (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem Trigger-Knoten.
  6. Wenn Sie Maßnahmen ergreifen müssen, wenn bestimmte Bedingungen erfüllt sind, konfigurieren Sie den !!Condition!!-Knoten.
    1. Klicken Sie auf das Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem Ziel-Knoten und klicken Sie auf !!Condition!!.
    2. Erstellen Sie eine Bedingungseinstellung, indem Sie Parameter, Operator und !!Value!! angeben.
      Einstellung
      Beschreibung
      Parameter
      Weitere Informationen zu den Parametern finden Sie im Highly-Exploitable CVEs-Widget in der Threat and Exposure Management-App.
      Operator
      • IS: Die Bedingung wird ausgelöst, wenn einer der Werte übereinstimmt
      • IS NOT: Die Bedingung wird ausgelöst, wenn keiner der Werte übereinstimmt
      Wert
      Weitere Informationen zu den Werten für jeden Parameter finden Sie im Highly-Exploitable CVEs-Widget in der Threat and Exposure Management-App.
    3. Wenn Sie mehrere Bedingungseinstellungen konfigurieren müssen, klicken Sie auf Hinzufügen.
      Der Bedingungsoperator wird mit einem logischen UND ausgewertet.
    4. Klicken Sie auf Übernehmen.
    5. Wenn Sie mehr als einen parallelen !!Condition!!-Knoten hinzufügen müssen, klicken Sie auf den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem Ziel-Knoten.
    6. Wenn Sie die Aktionseinstellungen für den !!Condition!!-Knoten konfigurieren müssen, fügen Sie einen Aktion-Knoten hinzu, indem Sie auf der rechten Seite auf Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) klicken.
      Weitere Informationen finden Sie unter Schritt 7.
    7. Wenn Sie else-if-Bedingungen oder else-Aktionen konfigurieren müssen, fügen Sie einen Else-If Condition- oder Else Action-Knoten hinzu, indem Sie auf den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) unter dem !!Condition!!-Knoten klicken.
      Weitere Informationen finden Sie in Schritt 9.
  7. Konfigurieren Sie Aktionen, indem Sie einen Aktion-Knoten hinzufügen.
    1. Klicken Sie auf das Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts neben dem !!Condition!!-Knoten und klicken Sie auf Aktion.
    2. Wählen Sie im Bereich Aktionseinstellungen ein Aktion aus.
      Kategorie
      Verfügbare Aktionen
      Case Management
      • Open new case: Erstellt einen neuen Fall für die Playbook-Ausführungsergebnisse
      • Update existing case: Aktualisiert einen bestehenden Fall mit den Ergebnissen der Playbook-Ausführung
      Allgemein
      • Generate CSV file: Konsolidiert erkannte CVEs und erstellt CSV-Dateien, die Informationen über die CVEs und die betroffenen Assets enthalten
      Benachrichtigung
      • Send email notification of results: Benachrichtigt die angegebenen Empfänger über die Playbook-Ergebnisse
      • Send ticket notification of results: Sendet eine ServiceNow-Ticketbenachrichtigung über die Playbook-Ergebnisse
      • Send webhook notification of results: Sendet den angegebenen Kanälen eine Webhook-Benachrichtigung über die Playbook-Ergebnisse
      Reaktionsmanagement
      • Mitigate vulnerabilities in internal assets: Erstellt Reaktionsmaßnahmen zur Minderung erkannter Schwachstellen auf internen Ressourcen
    3. Wenn Sie Generate CSV file ausgewählt haben, konfigurieren Sie die CSV-Dateieinstellungen.
      Wählen Sie Generate separate files for each CVE, um einzelne CSV-Dateien pro CVE zu erstellen. Durch Auswahl dieser Option generieren Security Playbooks mehrere CSV-Dateien, die den erkannten CVEs entsprechen.
      Die generierten CSV-Dateien enthalten die folgenden Informationen:
      CVE-Dateifeld
      Beschreibung
      cveId
      Die CVE-Kennung
      globaleExploitAktivität
      Das globale Exploit-Aktivitätsniveau der CVE
      CVSS-Bewertung
      Der Common Vulnerability Scoring System-Score
      Veröffentlichungszeit
      Datum und Uhrzeit der Veröffentlichung der CVE
      exploitVersuchsanzahl
      Die Anzahl der erkannten Exploit-Versuche
      hostCount
      Die Anzahl der betroffenen Hosts
      Referenzen
      Referenzlinks für die CVE
      Präventionsregeln
      Verfügbare Präventionsregeln für die CVE
      firstSeenTime
      Datum und Uhrzeit der ersten Erkennung der CVE
      status
      Der aktuelle Status der CVE
      Für internetbezogene Assets enthält die CSV-Datei auch die folgenden Hostinformationen:
      Internet-Hostdatei-Feld
      Beschreibung
      Host
      Der Host-Name des internetseitigen Assets
      Risikobewertung
      Der Risikowert des Hosts
      cveAnzahl
      Die Anzahl der auf dem Host erkannten CVEs
      cveListe
      Die Liste der auf dem Host erkannten CVE-Identifikatoren
      ipListe
      Die IP-Adressen, die mit dem Host verbunden sind
      hostProviderListe
      Die Hosting-Anbieter für das Asset
      serviceList
      Die auf dem Host laufenden Dienste
      portList
      Die offenen Ports auf dem Host
      Erkennungszeit
      Datum und Uhrzeit, zu denen die CVE auf dem Host erkannt wurde
    4. Wenn Sie eine Benachrichtigungsaktion ausgewählt haben, konfigurieren Sie die Benachrichtigungseinstellungen.
      Die Einstellungen variieren je nach Benachrichtigungstyp:
      • Send email notification of results: Konfigurieren Sie das Betreff-Präfix und geben Sie die E-Mail-Adressen der Empfänger an.
      • Send webhook notification of results: Konfigurieren Sie das Betreff-Präfix und wählen Sie die Webhook-Kanäle aus, um Benachrichtigungen zu erhalten.
        Tipp
        Tipp
        Um eine Webhook-Verbindung hinzuzufügen, klicken Sie auf Create channel.
      • Send ticket notification of results: Wählen Sie das ServiceNow-Ticketprofil aus und konfigurieren Sie die Einstellungen des Ticketprofils, einschließlich der Zuweisungsgruppe, des zugewiesenen Benutzers und der Kurzbeschreibung.
        Tipp
        Tipp
        Wenn Sie ein Ticketprofil hinzufügen müssen, klicken Sie auf Create ticket profile.
    5. Wählen Sie aus, ob eine Benachrichtigung gesendet werden soll, um eine manuelle Genehmigung zur Erstellung allgemeiner Aktionen anzufordern, und konfigurieren Sie dann die Benachrichtigungseinstellungen, wenn Sie eine manuelle Genehmigung benötigen.
      Hinweis
      Hinweis
      Aktionen, die seit über 24 Stunden auf manuelle Genehmigung ausstehend sind, verfallen und können nicht ausgeführt werden.
      Einstellung
      Beschreibung
      Benachrichtigungsmethode
      • E-Mail: Sendet eine E-Mail-Benachrichtigung an die angegebenen Empfänger
      • Webhook: Sendet eine Benachrichtigung an die angegebenen Webhook-Kanäle
      Betreff-Präfix
      Das Präfix, das am Anfang der Betreffzeile der Benachrichtigung erscheint
      Empfänger
      Die E-Mail-Adressen der Empfänger
      Das Feld erscheint nur, wenn Sie E-Mail für Notification method auswählen.
      Webhook
      Die Webhook-Kanäle zum Empfangen von Benachrichtigungen
      Das Feld erscheint nur, wenn Sie Webhook für Notification method auswählen.
      Tipp
      Tipp
      Um eine Webhook-Verbindung hinzuzufügen, klicken Sie auf Create channel.
    6. Klicken Sie auf Übernehmen.
    7. Wenn Sie mehr als eine parallele Aktion hinzufügen müssen, klicken Sie auf plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png rechts neben dem Ziel- oder !!Condition!!-Knoten.
  8. Wenn Sie zusätzliche Aktionen konfigurieren müssen, fügen Sie weitere Aktion-Knoten hinzu.
    Sie können einem Playbook mehrere Aktionsknoten hinzufügen. Beispielsweise können Sie eine Generate CSV file-Aktion gefolgt von einer Send email notification of results-Aktion konfigurieren, um CSV-Dateien zu erstellen und dann die Empfänger über die Ergebnisse zu benachrichtigen.
    Hinweis
    Hinweis
    Mehrere Aktion-Knoten, die im seriellen Modus konfiguriert sind, werden nacheinander verarbeitet.
    1. Klicken Sie auf den Knoten hinzufügen (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) rechts vom vorhergehenden Knoten und klicken Sie auf Aktion.
    2. Wählen Sie eine Aktion aus dem Listenfeld Aktion und konfigurieren Sie die Aktionseinstellungen.
      Weitere Informationen zu den verfügbaren Aktionen und deren Einstellungen finden Sie in Schritt 7.
    3. Klicken Sie auf Übernehmen.
  9. Konfigurieren Sie Else-If Conditions oder Else Actions bei Bedarf.
    1. Klicken Sie auf das Hinzufügen-Symbol (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) unter dem !!Condition!!-Knoten und klicken Sie auf Else-If Condition oder Else Action.
    2. Konfigurieren Sie einen !!Condition!!-Knoten, indem Sie Schritt 6 folgen, oder einen Aktion-Knoten, indem Sie Schritt 7 folgen.
    • Welche Knoten Sie hinzufügen können (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) variiert je nach dem vorhergehenden Knoten. Zum Beispiel kann ein Aktion-Knoten nur von einem weiteren Aktion-Knoten gefolgt werden; ein !!Condition!!-Knoten kann von einem Aktion-Knoten gefolgt werden oder ein Else-If Condition oder Else Action angehängt haben.
    • Wenn eine Bedingung falsch ist, führt das Playbook die Else Action aus oder überprüft, ob die Else-If Condition erfüllt ist. Wenn die Else-If Condition erfüllt ist, setzt das Playbook die entsprechende Else Action fort.
    • Mehrere Aktion-Knoten, die im seriellen Modus konfiguriert sind, werden nacheinander verarbeitet.
  10. Aktivieren Sie das Playbook, indem Sie die Steuerung Aktivieren einschalten.
  11. Klicken Sie auf Save.
    Das Playbook erscheint auf der Playbooks-Registerkarte in der Security Playbooks-App.