Управление устранением уязвимостей

• Latest Dynatrace

Далее вы узнаете, как управлять устранением уязвимостей для затронутых или связанных с уязвимостью сущностей. Вы можете:

• Применить рекомендации по исправлению от Snyk — Уязвимости сторонних компонентов
• Применить исправления от Security Advisor — Уязвимости сторонних компонентов
• Подключить затронутые сущности к вашей системе отслеживания задач и следить за ходом устранения
• Перейти к источнику уязвимостей
• Изменить статус заглушения затронутых сущностей
• Инициировать углублённый анализ с помощью генеративного ИИ Dynatrace Intelligence

Применение рекомендаций по исправлению от Snyk

Уязвимости сторонних компонентов

Для уязвимостей, основанных на источнике данных Snyk, отображается рекомендация по исправлению, если она доступна. Она содержит предложение по обновлению библиотеки для устранения уязвимости.

1. На странице Prioritization выберите уязвимость.
2. В боковой панели перейдите в Details и найдите Fix recommendation.

Не забудьте перезапустить процессы после обновления библиотеки.

Применение исправлений от Security Advisor

Уязвимости сторонних компонентов

С помощью Security Advisor вы можете определить:

• Какие патчи и обновления отслеживаемых технологий применить для максимального эффекта устранения
• Сколько уязвимостей можно решить, обновив конкретную библиотеку
• Сколько из общего числа устраняемых уязвимостей являются наиболее критичными

Чтобы отфильтровать по исправлениям Security Advisor:

1. На странице Prioritization в левой верхней части таблицы уязвимостей выберите Security Advisor. Откроется боковое окно со списком исправлений.
2. Выберите для нужной библиотеки. Это отфильтрует таблицу уязвимостей по общему количеству уязвимостей для выбранной библиотеки, которые будут исправлены при обновлении библиотеки.

Не забудьте перезапустить процессы после обновления библиотеки.

• Вы можете добавить столько фильтров Security Advisor, сколько необходимо.
• Чтобы удалить фильтр, нажмите значок рядом с нужной библиотекой.
• Чтобы удалить все фильтры, выберите Clear all.

Дополнительные материалы

Чтобы узнать больше о Security Advisor, см. Концепции: Security Advisor.

Отслеживание хода устранения

Вы можете добавлять ссылки на задачи, созданные в вашей системе отслеживания, для затронутых сущностей.

Добавление ссылки для отслеживания позволяет:

• Переходить к связанному URL
• Отслеживать ход устранения для выбранных сущностей

Вы можете легко проверить, например, работает ли кто-то уже над исправлением уязвимости.

Настройка ссылок для отслеживания

Вы можете добавлять, редактировать или удалять ссылки для отслеживания по отдельности или массово.

По отдельности

Массово

1. На странице Prioritization выберите уязвимость.
2. В боковой панели перейдите в Affected entities.
3. Выберите View all process groups (View all Kubernetes nodes), чтобы перейти на страницу обзора группы процессов (или узла Kubernetes), связанной с уязвимостью.

4. Доступны следующие варианты:

5. Чтобы добавить ссылку для отслеживания, в столбце Tracking link выберите Set link для нужной сущности.

6. Чтобы отредактировать или удалить ссылку, в столбце Tracking link нажмите рядом со ссылкой для нужной сущности, затем выберите Edit tracking link или Delete tracking link.

7. На странице Prioritization выберите уязвимость.

8. В боковой панели перейдите в Affected entities.
9. Выберите View all process groups (View all Kubernetes nodes), чтобы перейти на страницу обзора группы процессов (или узла Kubernetes), связанной с уязвимостью.

10. Доступны следующие варианты:

11. Чтобы добавить ссылку для отслеживания, выберите нужные сущности, затем выберите Set tracking links.

12. Чтобы отредактировать или удалить ссылку, выберите нужные сущности, затем выберите Change tracking links > Edit tracking links или Delete tracking links.

Переход к источнику уязвимостей

Для исправления уязвимостей необходимо найти первопричину. Вы можете изучить:

• Уязвимые компоненты — Уязвимости сторонних компонентов
• Точки входа — Уязвимости на уровне кода
• Расположение кода — Уязвимости на уровне кода

Изучение уязвимых компонентов

Уязвимости сторонних компонентов

Определите, какие библиотеки содержат уязвимость и сколько затронутых групп процессов (или узлов Kubernetes) подвержены воздействию.

1. На странице Prioritization выберите уязвимость.
2. В боковой панели перейдите в Affected entities и найдите Vulnerable components.

Вы также можете просмотреть уязвимые компоненты на странице обзора групп процессов или узлов Kubernetes:

1. На странице Prioritization выберите уязвимость.
2. В боковой панели перейдите в Affected entities.
3. В разделе Process group overview (или Kubernetes node overview) выберите конкретную группу процессов (или узел Kubernetes) или выберите View all process groups (View all Kubernetes nodes), чтобы открыть связанную страницу обзора.
4. Оттуда выберите затронутую сущность для просмотра деталей, включая имя уязвимого компонента.

Дополнительные материалы

• FAQ: Почему исправленная уязвимость всё ещё отображается как открытая?
• Концепции: Уязвимый компонент
• Оценка уязвимостей: Уязвимости сторонних компонентов

Изучение точек входа

Уязвимости на уровне кода

Анализируйте точки входа, чтобы определить, как уязвимость может быть эксплуатирована, и выявить возможные пути атаки.

1. На странице Prioritization выберите уязвимость.
2. В боковой панели перейдите в Details и найдите Entry points.

Если одна и та же уязвимость доступна по нескольким HTTP-путям, отображается несколько записей точек входа. Для экономии памяти и сетевого трафика отображается ограниченное количество записей.

Если уязвимость на уровне кода устранена или будет устранена в течение следующих 30 минут, точки входа больше не являются открытыми (уязвимыми).

Дополнительные материалы

• Концепции: Точки входа

Изучение расположения кода

Уязвимости на уровне кода

Просматривайте источник вызова уязвимой функции для быстрой оценки её воздействия и происхождения.

1. На странице Prioritization выберите уязвимость.
2. В боковой панели перейдите в Details и найдите Code location.

Изменение статуса заглушения затронутых сущностей

Вы можете изменить статус заглушения затронутых сущностей в соответствии с вашими выводами и потребностями. Например, вы можете установить статус затронутой сущности в Muted (...) если хотите игнорировать уязвимость для данной конкретной сущности:

• Это может быть ложное срабатывание, при котором выполняются дополнительные условия, делающие уязвимость нерелевантной.
• Или, возможно, исправление недоступно и применено обходное решение.

Заглушение всех затронутых сущностей уязвимости устанавливает статус уязвимости в Muted. Подробнее см. Статус уязвимости.

Вы можете изменить статус затронутых сущностей по отдельности или массово.

По отдельности

Массово

1. На странице Prioritization выберите уязвимость.
2. В боковой панели перейдите в Affected entities.
3. Выберите View all process groups (View all Kubernetes nodes), чтобы перейти на страницу обзора группы процессов (или узла Kubernetes), связанной с уязвимостью.
4. В столбце Mute status выберите текущее значение для нужной сущности.

5. Введите новый статус и выберите Save.

6. На странице Prioritization выберите уязвимость.

7. В боковой панели перейдите в Affected entities.
8. Выберите View all process groups (View all Kubernetes nodes), чтобы перейти на страницу обзора группы процессов (или узла Kubernetes), связанной с уязвимостью.
9. Выберите нужные сущности.
10. Выберите Change status.
11. Введите новый статус и выберите Save.

Статус заглушения и решения по устранению зависят от области мониторинга уязвимостей. Уязвимости на хостах или процессах, исключённых из правил мониторинга, здесь не отображаются. Для обзора общего покрытия мониторинга и тенденций подверженности см. Оценка покрытия.

Инициирование углублённого анализа с помощью генеративного ИИ Dynatrace Intelligence

Для использования этой функциональности генеративного ИИ убедитесь в следующем:

• Генеративный ИИ Dynatrace Intelligence включён на уровне среды. Подробнее см. Включение генеративного ИИ Dynatrace Intelligence в вашей среде.
• У вас есть необходимые разрешения для доступа. Подробнее см. Разрешения пользователей.

Генеративный ИИ Dynatrace Intelligence может предоставлять контекстные объяснения уязвимостей на понятном языке для ускорения понимания и устранения.

Чтобы получить доступ к функциональности:

1. В Vulnerabilities выберите уязвимость.
2. В правом верхнем углу панели деталей уязвимости выберите Explain vulnerability.

При выборе генеративный ИИ Dynatrace Intelligence анализирует технические детали уязвимости и создаёт структурированное описание, которое может включать:

• Что означает уязвимость: объясняет природу проблемы (например, SQL-инъекция в коде приложения, CCS-инъекция в OpenSSL, небезопасная конфигурация) и как она возникает в сторонних библиотеках, зависимостях или коде.
• Почему это важно: описывает уровни серьёзности и оценки риска, а также потенциальные последствия, включая несанкционированный доступ к данным, перехват сеансов, атаки типа «человек посередине» или компрометацию системы.
• Что исследовать: указывает на затронутые функции, точки входа, компоненты или библиотеки. Рекомендует проверить подверженность (например, доступны ли сущности через публичные сети), доступные активы данных, наличие эксплойтов (публичных или приватных) и используются ли уязвимые сторонние библиотеки (такие как устаревшие версии OpenSSL или Node.js).
• Как реагировать: рекомендует шаги по устранению, такие как исправление кода, обновление зависимостей или сред выполнения, ограничение доступа, мониторинг подозрительной активности и проверка других приложений, которые могут зависеть от уязвимых компонентов.

Структура и глубина объяснения генеративного ИИ могут варьироваться в зависимости от типа уязвимости и доступного контекста. Хотя генеративный ИИ Dynatrace Intelligence стремится предоставить подробные сведения, не все уязвимости будут включать каждый из перечисленных выше элементов.

Объяснения генеративного ИИ Dynatrace Intelligence адаптированы к природе каждой уязвимости — будь то межсайтовый скриптинг, отказ в обслуживании, удалённое выполнение кода или аналогичные уязвимости безопасности — предоставляя релевантные, практические рекомендации, которые ускоряют сортировку и поддерживают принятие обоснованных решений, даже для пользователей без глубоких знаний в области безопасности.