3.4. 为 CVE 定义业务风险
通过这个漏洞服务,您可以使用以下选项定义 CVE 的商业风险: High, Medium, Low, 或 Not Defined (default)。
虽然 CVE 列表显示每个 CVE 的严重性,但分配业务风险可让您根据他们对您的机构的影响对 CVE 进行评级。这样,您可以在大型环境中高效管理风险,并让您做出更好的操作决策。
默认情况下,特定 CVE 的业务风险字段被设置为 Not Defined。设置业务风险后,会在 CVE 行的 Security > Vulnerability > CVEs 列表中可见。
每个 CVE 的详情卡中也会看到业务风险,其中显示了更多信息并列出受影响的系统。
3.4.1. 为单个 CVE 设置业务风险
完成以下步骤,为单个 CVE 设置业务风险:
注意
该 CVE 的业务风险在受到影响 的所有 系统上都是一样的。
- 进入 Security > Vulnerability > CVEs 页面,并在需要时登录。
- 确定设定业务风险的 CVE。
点 CVE 行右侧的 more-actions 图标(三个垂直点),然后点 Edit business risk。
- 为适当的级别设定业务风险值,并选择性地为您的风险评估添加合理性。
- 点击 Save。
3.4.2. 为多个 CVE 设置业务风险
完成以下步骤,在您选择的多个 CVE 中设置相同的商业风险:
- 进入 Security > Vulnerability > CVEs 并在需要时登录。
- 选中您要为其设置商业风险的 CVE 的框。
执行以下步骤设定业务风险:
- 单击工具栏中过滤器下拉菜单右侧的 更多操作 图标(三个垂直排列点),然后单击 Edit Business risk。
- 设置适当的商业风险值,并选择性地为您的风险评估添加合理性。
- 点击 Save。