Gestion des exceptions dans Réponse aux vulnérabilités pour conteneurs

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Lorsque votre organisation n’est pas en mesure de se conformer à une politique, une norme ou une directive de sécurité ou de gestion des vulnérabilités publiée, vous pouvez demander une exception. La gestion des exceptions implique de demander, examiner, approuver ou rejeter des exceptions à un élément vulnérable du conteneur (CVIT) qui ne peut pas être corrigé conformément à la politique.

    Certaines vulnérabilités de conteneur (CVIT) peuvent ne pas disposer d’un correctif, d’un correctif ou d’une solution existante. Lorsqu’une exception est approuvée, cela signifie également que vous acceptez un risque, car vous reconnaissez et acceptez les conséquences de ne pas corriger la vulnérabilité.

    Cycle de vie d’une exception

    Définition d’une exception
    Une exception est une demande de report du rattrapage d’un CVIT ou d’un RT pour une période spécifiée. Par exemple, en tant que propriétaire du rattrapage, vous pouvez demander une exception si un correctif n’est pas disponible pour une machine.
    Demande d’une exception
    En tant que propriétaire du rattrapage, vous pouvez demander une exemption pour un CVIT ou un RT en utilisant le processus de gestion des exceptions. Une fois que l’approbateur d’exceptions a approuvé cette demande, le CVIT ou le RT passe à un état Différé .
    Approuver une demande d’exception
    Les CVIT ou les RT qui ne peuvent pas être corrigés immédiatement sont examinés par des analystes de vulnérabilité, évalués pour le risque et approuvés pour le report jusqu’à ce qu’ils puissent être corrigés. L’approbation d’une demande d’exception peut être un workflow à deux niveaux. Si seul l’approbateur de premier niveau est présent, l’exception peut être demandée et approuvée. Toutefois, s’il n’y a pas d’approbateur de premier niveau, une exception ne peut pas être demandée. Consultez Ajouter un approbateur d’exception pour plus d'informations.
    Remarque :

    À partir de la Réponse aux vulnérabilités version 15.0, si vous déployez l’application VR pour la première fois, le concepteur de flux pour la gestion des exceptions est activé par défaut. Si vous utilisez déjà le workflow, vous pouvez effectuer une mise à jour vers Flow Designer. Dans les deux cas, vous ne pouvez pas le repasser en workflow. Pour configurer des règles d’approbation pour la gestion des exceptions et des faux positifs, reportez-vous à la section Configurer les règles d’approbation pour la gestion des exceptions.

    Une fois qu’une demande d’exception pour un CVIT ou un RT est approuvée, vous pouvez effectuer les actions suivantes :
    • Rouvrir
    • Supprimer
    • Mettre à jour les champs Affectation à ou Groupes d’affectation
    Suivi d’une demande d’exception
    Après avoir émis l’exception, vous pouvez suivre son état à l’aide de l’onglet Approbations de changement d’état du CVIT ou du RT. Si une action est effectuée sur un RT, vous ne pouvez pas suivre l’état des CVIT individuels dans ce RT.
    Expiration d’une demande d’exception
    Lorsqu’une demande d’exception pour un CVIT ou un RT particulier expire, le CVIT ou le RT impacté revient à son état Ouvert .

    Si une seule CVIT ou toutes les CVIT d’une RT passent à l’analyse suivante, les CVIT et, le cas échéant, le champ État de la RT basculent sur Fermé avec le sous-état Fixe.

    Configurer les règles d’approbation

    Affichez et configurez des règles d’approbation en accédant à Tout > Conteneur Vulnerability Response > Administration > Règles d'approbation. Demandez une exception pour les CVIT qui ne peuvent pas être corrigés ou différés immédiatement, en identifiant les vulnérabilités impactées, les éléments de configuration (CI) ou les CVIT. Automatisez le processus de report du CVIT. Différez les CVIT correspondants en fonction de ces règles lorsque le système identifie ces CVIT.
    Les règles d’approbation suivantes sont expédiées par défaut :
    • Approbation des demandes d’exception : une configuration par défaut avec deux niveaux d’approbation est fournie dans le système de base. Chaque fois qu’il y a une demande d’exception sur un élément vulnérable, la demande d’approbation est envoyée aux utilisateurs ou groupes présents au niveau 1. Une fois approuvée par les approbateurs de niveau 1, elle est envoyée aux approbateurs de niveau 2.
      Remarque :
      Vous pouvez modifier les niveaux par défaut et les modifier si nécessaire. À partir de la Réponse aux vulnérabilités pour conteneurs version 2.0.6, vous pouvez utiliser les propriétés système fournies dans le système de base pour les approbations d’exceptions via le workflow dans la table Propriétés système [sys_properties]. Ainsi, lorsqu’une demande d’exception ou de faux positif est émise via le workflow, elle est envoyée pour approbation aux ID de groupe définis dans la propriété système. Accédez à la Tout > Propriétés système et sélectionnez sn_vul_container.container_exception_approver_L1, sn_vul_container.container_exception_approver_L2ou sn_vul_container.container_false_positive_approver_group pour modifier la valeur de la propriété.
    • Approbation des règles d’exception : elle n’a pas de configuration mais deux niveaux d’approbation.
    • Approbation des faux positifs : elle comporte une configuration avec un niveau d’approbation.
    Remarque :
    À partir de la version 2.5 de Réponse aux vulnérabilités pour conteneurs, vous pouvez configurer les délais d’approbation des faux positifs et des exceptions, ainsi que des notifications par e-mail pour l’approbateur et le demandeur après un nombre de jours défini. Lorsqu’une demande est émise, l’élément vulnérable du conteneur passe à l’état En cours de révision et un enregistrement de changement d’état est créé. Si l’approbateur ne répond pas dans le délai configuré, l’élément vulnérable ou la tâche de rattrapage du conteneur revient à l’état Ouvert. L’état précédent est stocké dans le champ backup_state . Pour en savoir plus, consultez Configurer les règles d’approbation pour la gestion des exceptions.