Calculer le risque dans Réponse aux vulnérabilités des applications automatiquement

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Les calculateurs de vulnérabilité de l’application automatisent le calcul des valeurs de risque initiales pour les champs des éléments vulnérables de l’application (AVI). Les calculs de risque offrent un aperçu de la hiérarchisation des mesures correctives. La condition de chaque calculateur est évaluée dans l’ordre et le premier calculateur correspondant est utilisé.

    Calculateurs de vulnérabilité de l’application

    Le Réponse aux vulnérabilités des applications système de base comprend deux calculateurs de vulnérabilité qui définissent le score de risque de base sur l’élément vulnérable de l’application.
    • Calculateur de risque de base
    • Calculateur Advanced Risk

    Il est possible de créer des calculateurs de vulnérabilité des applications pour classer par ordre de priorité et évaluer l’impact des AVI en fonction de n’importe quel critère à l’aide de filtres de condition. Qu’il s’agisse de l’impact de la vulnérabilité sur l’entreprise, de la classe de l’élément de configuration (CI) ou de l’âge de l’AVI, vous pouvez créer des calculateurs de vulnérabilité supplémentaires pour définir d’autres champs sur les AVI. Vous pouvez également personnaliser les calculateurs de vulnérabilité existants. Un calculateur peut être écrit pour refléter n’importe quel ensemble de priorités. Consultez Filtrage au sein de Gestion de la vulnérabilité des applications pour plus d'informations.

    Les AVI contiennent la valeur de score de risque dérivée des calculateurs de risque.
    Remarque :
    Un AVI affiche la gravité de la source , mais pas la gravité normalisée. La gravité normalisée est utilisée par les calculateurs pour obtenir la valeur du score de risque , mais elle n’est pas affichée sur les AVI.

    Chaque calculateur contient une liste de règles de calculateur, avec une condition déterminant quand l’appliquer. Lorsque la calculatrice est exécutée, la condition de chaque règle de calculatrice est évaluée dans l’ordre et la première règle de calculatrice correspondante est utilisée.

    Tous les calculateurs de vulnérabilité activés définissent les champs sélectionnés chaque fois qu’un AVI est créé, lorsqu’un CI ou une vulnérabilité associé change.

    Le calculateur de risque de base calcule le score de risque pour les AVI en utilisant la gravité de vulnérabilité normalisée.
    Remarque :
    Un seul calculateur par champ cible (score de risque) peut être actif à la fois.

    Le risque de base est activé par défaut. Le calculateur Advanced Risk est désactivé par défaut.

    Règles du calculateur de vulnérabilité de l’application

    Le calculateur de risque de base du système de base contient des règles de calcul qui affectent à chaque niveau de gravité (Aucune à Critique) une valeur (0-100) pour le score de risque en fonction de la gravité. Un score de risque de 100 est automatiquement attribué à la gravité inconnue. Ces valeurs peuvent être ajustées et, comme pour le calculateur Advanced Risk, de nouvelles règles de calcul ou de nouvelles règles de risque peuvent être créées.
    Remarque :
    À partir de la version 23.0 de , chaque fois que le score de Réponse aux vulnérabilités des applications risque est mis à jour sur un AVIT, la section Notes est mise à jour avec les détails suivants :
    • Nom du groupe de calculateurs
    • Nom de la calculatrice : selon que la règle de calculatrice est basée sur un modèle ou un script, le nom est ajouté avec les détails entre parenthèses. Pour modifier ou afficher la base de la règle du calculateur, sélectionnez une règle et cochez la case Vue avancée . Dans la liste déroulante Type de valeur , sélectionnez l’option requise. Si Modèle est sélectionné, le score de risque est mis à jour en fonction de la condition spécifiée dans la règle. Si Script est sélectionné, vous pouvez ajouter ou mettre à jour le script existant. La propriété sn_sec_cmn.risk_score_changes_add_worknotes système permet de remplir la section Notes de travail. À partir de la version 25.0.3 de Réponse aux vulnérabilités des applications, la propriété sn_sec_cmn.risk_score_changes_add_worknotes système est inactive par défaut. Si vous l’activez, vous pourrez alors seulement voir tous les changements liés au score des risques d’un élément vulnérable de l’application dans la section Notes de travail. En outre, les notes de travail ne sont mises à jour qu’en cas de changement du score de risque.
    Le calculateur de risque avancé du système de base contient une règle de calcul de vulnérabilité spécialisée appelée Règle de risque par défaut. Il calcule le score de risque en fonction de plusieurs valeurs :
    • Gravité de la vulnérabilité
    • 10 premiers OWASP
    • SANS Top 25
    Vous pouvez personnaliser les critères de la règle de risque par défaut. Pour plus d'informations, consultez Définir des champs et des poids pour la règle de risque.

    Vous pouvez ajuster les valeurs à utiliser dans la règle de risque par défaut et le poids à donner à chacune de ces valeurs. Les poids sont utilisés pour ajuster la prise en compte de chaque élément lors de la définition du score de risque.

    Chaque règle a un paramètre d’ordre , cependant, la première à correspondre aux conditions met à jour le champ de score de risque dans l’AVI. Les règles de calculateur non scriptées ont généralement moins d’impact sur les performances que les règles de calculateur scriptées.

    Poids de score du score de vulnérabilité

    Toutes les vulnérabilités se voient attribuer un score de risque et une évaluation en fonction de facteurs tels que la gravité, la criticité, les informations d’exploitation, etc. La règle Update Risk Rating from Risk Score métier de la table des éléments vulnérables est responsable du calcul de la cote de risque. Chaque fois que le score de risque change, la cote de risque est calculée et remplie sur les éléments vulnérables. Avant la version 17.1 de l’application Réponse aux vulnérabilités (VR), les cotes de risque suivantes étaient fournies dans le cadre du script, notamment VulnerabilityUtils, qui étaient codées en dur.
    Valeur (cote de risque) Poids (score de risque)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    À partir de la version 18.0 de Réponse aux vulnérabilités,
    • Les types d’évaluation du risque sont expédiés dans la table de base sous forme de avr_risk_rating. Ces types sont transmis dans le cadre de la règle métier sur chaque table où la cote de risque est calculée.
    • Le script a été modifié afin que vous puissiez interroger les entrées des valeurs de la table des poids de score des risques pour le calcul de la cote de risque.
    • Ajoutez des entrées supplémentaires pour un type existant ou créez-en un nouveau. Lorsque vous créez un nouveau type, assurez-vous d’ajouter les étiquettes pour la nouvelle cote de risque et de modifier les scripts et les règles métier associés. Vous devez également ajouter un nouveau style pour le nouveau score de risque.
    • Modifiez le script pour interroger les enregistrements dans la table de base.
    Vous pouvez accéder à la table des pondérations des scores de risques en saisissant sn_sec_cmn_risk_score_weight (pour les versions antérieures à 30.0) ou sn_sec_calculator_risk_score_weight (pour les versions 30.0 et supérieures) dans le navigateur de filtre.
    En outre, le score de risque est automatiquement recalculé dans les scénarios suivants :
    • Lorsqu’un élément de configuration (CI) passe d’un environnement non accessible sur Internet à un élément accessible sur Internet.
    • Lorsque les vulnérabilités et expositions courantes (CVE) associées ou les entrées tierces (TPE) sur les éléments de vulnérabilité (VI) sont liées à une vulnérabilité d’exploitation connue (KEV) CVE.