使用 Global Exploit Activity Playbooks 手動建立 CVE

檢視次數:

手動或定期減輕在您管理的內部資產和面向網路的資產上檢測到的 CVE 所帶來的風險。

常見弱點與暴露（CVE）是一種弱點，若未修復，可能會被對手利用。欲了解有關受管理資產上CVE的詳細資訊，請參閱弱點。

重要

您必須啟用網路風險暴露管理並配置以下所需的資料來源，才能使用全球漏洞利用活動Playbooks建立CVE：

具有全球利用活動的 CVE - 內部資產：XDR Endpoint Sensor 或第三方資料來源（Nessus Pro、Qualys、Rapid7 或 Tenable.io）
具有全球利用活動的 CVE - 網路面向資產：網路風險暴露管理中的根域配置

步驟

移至「Workflow and Automation」 → 「Security Playbooks」
在「Playbooks」標籤上，選擇「新增」 → 「Build manually」。
在Playbook Settings面板上，選擇弱點類型，指定一個唯一的劇本名稱，然後點選Apply。
在Trigger Settings面板上，選擇觸發類型並點選Apply。
- Manual：允許您通過點擊Run圖標 () 來開始執行劇本
- 預約：允許您排程劇本每日、每週或每月執行
在Target Settings面板上，選擇並配置Target以用於劇本，然後點選Apply。

如果您需要減輕多個目標類型的風險，請使用Trigger節點右側的新增節點()。

如果需要在滿足特定條件時採取行動，請配置Condition節點。

點選Target節點右側的新增節點()，然後點選Condition。

通過指定Parameter、Operator和Value來創建條件設置。

設定	說明
參數	如需有關參數的詳細資訊，請參閱「Threat and Exposure Management」應用程式中的「Highly-Exploitable CVEs」小工具。
操作員	IS：如果任何值匹配，則觸發條件 IS NOT：如果沒有符合的值，則觸發此條件
值	如需有關每個參數值的詳細資訊，請參閱「Threat and Exposure Management」應用程式中的「Highly-Exploitable CVEs」小工具。

如果您需要配置多組條件設置，請點擊新增。

條件運算子使用邏輯 AND 進行評估。
點選Apply。
如果您需要新增多個平行的Condition節點，請點選Target節點右側的新增節點()。
如果您需要為Condition節點配置處理行動設定，請點擊右側的新增節點()來新增一個處理行動節點。

如需詳細資訊，請參閱步驟7。
如果您需要配置 else-if 條件或 else 動作，請在 Condition 節點下點擊新增節點 () 來新增 Else-If Condition 或 Else Action 節點。

如需詳細資訊，請參閱步驟9。

透過新增處理行動節點來配置操作。

點選Condition節點右側的新增節點()，然後點選處理行動。

在「處理行動設定」面板中，選取「處理行動」。

類別	可用的處理行動
Case Management	Open new case：為 Playbook 執行結果創建新案例 Update existing case：使用 Playbook 執行結果更新現有案例
一般	Generate CSV file：整合已偵測到的 CVE，並生成包含 CVE 資訊及受影響資產的 CSV 檔案
通知	Send email notification of results：通知指定的收件人有關 Playbook 結果 Send ticket notification of results：發送有關 Playbook 結果的 ServiceNow 工單通知 Send webhook notification of results：將 Playbook 結果的 webhook 通知發送至指定的頻道
Response Management	Mitigate vulnerabilities in internal assets：建立回應措施以減輕內部資產上檢測到的弱點

如果您選擇「Generate CSV file」，請配置CSV檔案設定。

選擇「Generate separate files for each CVE」以生成每個 CVE 的個別 CSV 檔案。選擇此選項後，Security Playbooks 會生成多個對應於檢測到的 CVE 的 CSV 檔案。

生成的 CSV 檔案包含以下資訊：

CVE 檔案欄位	說明
cveId	CVE 識別碼
全球漏洞活動	CVE 的全球漏洞利用活動水平
CVSS 評分	通用弱點評分系統分數
發佈時間	CVE 發佈的日期和時間
攻擊嘗試次數	偵測到的漏洞攻擊嘗試數目
主機數量	受影響的主機數量
references	CVE 的參考連結
預防規則	CVE 的可用預防規則
首次發現時間	CVE首次檢測的日期和時間
狀態	CVE的目前狀態

對於面向網路的資產，CSV 檔案還包含以下主機資訊：

面向網路的主機檔案欄位	說明
主機	網路面向資產的主機名稱
風險分數	主機的風險分數
cveCount	主機上偵測到的 CVE 數目
cve清單	在主機上檢測到的 CVE 識別碼列表
ipList	與主機相關聯的 IP 位址
主機提供者列表	資產的託管服務提供商
服務列表	主機上運行的服務
portList	主機上的開放端口
偵測時間	在主機上偵測到 CVE 的日期和時間

如果您選擇了通知動作，請配置通知設定。
設定會因通知類型而有所不同：
- Send email notification of results：設定主題前綴並指定收件人的電子郵件地址。
- Send webhook notification of results：設定主題前綴並選擇接收通知的 webhook 頻道。
  
  秘訣
  
  要新增 Webhook 連接，請點擊「Create channel」。
- Send ticket notification of results：選擇 ServiceNow 工單設定檔並配置工單設定檔設置，包括分配群組、分配用戶和簡短描述。
  
  秘訣
  
  如果您需要新增票務檔案，請點擊「Create ticket profile」。

選擇是否發送通知以請求手動批准來創建一般操作，然後在需要手動批准時配置通知設置。

注意

超過24小時暫停中等待手動批准的操作將過期且無法執行。

設定

說明

通知方法

電子郵件：向指定的收件人發送電子郵件通知
Webhook：向指定的 webhook 頻道發送通知

主題前綴

通知主題行開頭出現的前綴

收件者

收件人的電子郵件地址

該欄位僅在您為Notification method選擇電子郵件時顯示。

Webhook

接收通知的 webhook 通道

僅當您為Notification method選擇Webhook時，該欄位才會出現。

秘訣

要新增 Webhook 連接，請點擊「Create channel」。

點選Apply。
如果您需要添加多個平行動作，請點擊「目標」或「條件」節點右側的。

如果您需要配置其他操作，請添加更多「處理行動」節點。

您可以在 Playbook 中添加多個動作節點。例如，您可以配置一個「Generate CSV file」動作，接著配置一個「Send email notification of results」動作，以生成 CSV 文件，然後通知接收者結果。

注意

多個「處理行動」節點以串行模式配置時，將依序處理。
1. 點擊前一個節點右側的新增節點 ()，然後點擊「處理行動」。
2. 從「處理行動」下拉式清單中選取動作，並配置處理行動設定。
  
  如需了解可用操作及其設定的詳細資訊，請參閱步驟7。
3. 點選Apply。
如有需要，請配置Else-If Conditions或Else Actions。
1. 點擊Condition節點下方的新增節點()，然後點擊Else-If Condition或Else Action。
2. 按照步驟6配置「條件」節點，或按照步驟7配置「處理行動」節點。
- 您可以新增的節點 () 取決於前面的節點。例如，「處理行動」 節點之後只能可能跟隨另一個 「處理行動」 節點；「條件」 節點之後可以跟隨 「處理行動」 節點，或附加 「Else-If Condition」 或 「Else Action」。
- 當條件為假時，劇本會執行Else Action或檢查其Else-If Condition是否符合。如果Else-If Condition符合，劇本會繼續執行相應的Else Action。
- 多個處理行動節點以串行模式配置時會依次執行。
通過切換啟動控制來啟用劇本。
點選儲存。

劇本顯示在 安全劇本 應用程式的 Playbooks 標籤上。