Affectation des résultats aux équipes de remédiation à l’aide de règles d’affectation
Les règles d’affectation affectent automatiquement les résultats, tels que les éléments vulnérables, les vulnérabilités d’application, les vulnérabilités de conteneur et les résultats des tests de configuration, aux groupes appropriés pour correction. Ce triage rationalisé garantit que les tâches sont dirigées vers les équipes appropriées et améliore la cohérence et la visibilité entre les programmes de sécurité et de conformité.
Dans l’espace de travail Gestion de l’exposition à la sécurité, vous pouvez configurer une règle d’affectation unique qui s’applique à tous les types de résultats, y compris les éléments vulnérables (VIT), les vulnérabilités d’applications (AVIT), les vulnérabilités de conteneurs (CVIT) et les résultats des tests de configuration (CTR). Cette règle peut ensuite être appliquée à tous les résultats ou à une combinaison spécifique de résultats.
Les règles d’affectation s’appliquent lorsque les résultats sont :
- Créé (importé ou manuellement)
- Rouverts
- Modifié (si les règles sont réappliquées manuellement)
Affectation automatique des éléments vulnérables
Il existe trois façons différentes d’affecter des résultats à l’aide de :
- Groupe d’utilisateurs : affectez les résultats directement à un groupe d’utilisateurs sélectionné.
- Champ de groupe d’utilisateurs : affectez n’importe quel champ de groupe d’affectation disponible à l’aide de la table cmdb_ci. Affecter en fonction du champ de groupe d’affectation disponible dans la table cmdb_ci.
- Script : utilisez un script pour définir les conditions d’affectation. Cette option nécessite un codage ou une expertise avancée ServiceNow® . Pour plus d’informations sur l’utilisation de l’éditeur de script pour définir des conditions complexes, consultez l’article KB0965240 .Remarque :Les options d’affectation de règles à l’aide des champs Groupe d’utilisateurs et Groupe d’utilisateurs sont mises à jour en fonction des tables sélectionnées dans le champ S’applique à .
Processus d’évaluation des règles d’affectation
Lorsqu’un résultat nouveau ou rouvert est traité, le système évalue les règles d’affectation dans l’ordre suivant :
- Ordre croissant : les règles sont traitées en commençant par l’ordre d’exécution le plus bas.
- Première correspondance : le système applique la première règle qui correspond au résultat.
- Groupe par défaut : si aucune règle ne correspond, le résultat est affecté à un groupe par défaut (si une règle par défaut est configurée).
- Non affecté : si aucune règle par défaut n’existe, le résultat reste non affecté.
Les groupes affectés sont ensuite utilisés par les règles de tâche de rattrapage pour déterminer la propriété et le regroupement des tâches.
Remarque :
- La règle par défaut doit avoir la valeur d’ordre d’exécution la plus élevée pour servir de solution de secours ou de contact de secours.
- Les résultats affectés manuellement ne sont pas réévalués par les règles d’affectation.
Recommandation d’ordre d’exécution
Vous pouvez utiliser l’ordre suivant pour exécuter les règles :
- Règles de priorité élevée : exécutez d’abord ces règles pour les éléments qui nécessitent une gestion spéciale, lorsque le risque est critique ou pour lesquels les résultats doivent être traités pour assurer la conformité réglementaire.
- Règles générales : exécutez ensuite ces règles pour les éléments qui ne nécessitent pas de manipulation spéciale et pour lesquels vous avez une compréhension claire des parties responsables.
- Règles par défaut : enfin, créez une règle par défaut pour affecter les résultats à un groupe qui détermine le groupe d’affectation approprié. Ce groupe peut ensuite ajouter des règles supplémentaires en fonction de ses décisions. La règle par défaut doit s’exécuter en dernier.
Dans l’espace de travail de gestion de l’exposition de sécurité, vous pouvez définir l’ordre d’exécution des règles d’affectation en les faisant simplement glisser-déplacer pour les réorganiser sur la page de liste des règles.
Application des règles d’affectation
Les règles d’affectation sont appliquées aux résultats à l’aide de :
- Une tâche planifiée : la Run assignment rules tâche s’exécute quotidiennement pour appliquer les règles d’affectation aux résultats. Elle est désactivée par défaut. Vous pouvez le configurer pour qu’il s’exécute selon un calendrier défini (quotidien, hebdomadaire, mensuel, à la demande, etc.) en fonction de l’échelle de votre environnement. En fonction du nombre de résultats actifs dont vous disposez dans votre environnement, n’oubliez pas de définir correctement le champ Exécuter après l’exécution initiale pour éviter tout impact sur les performances. Cette tâche s’applique à tous les résultats ouverts, à l’exception de ceux qui ont été affectés manuellement.
- Bouton Réappliquer : utilisez le bouton Réappliquer pour réappliquer des règles mises à jour à tous les résultats ouverts. Les résultats affectés manuellement sont exclus de ce processus.
- Une règle métier : la règle Link to Remediation Tasks métier de la table Résultats évalue toutes les règles d’affectation et les applique aux résultats nouvellement créés ou modifiés. Pour activer la règle métier :
- Accédez à la .
- Activez Link to Remediation Tasks la règle métier.
- Cochez la case Actif pour activer la règle métier.
Remarque :
Lorsque des règles sont mises à jour, leur réapplication garantit que les résultats actuels reflètent la nouvelle logique.Lorsqu’elle est activée :
- Les résultats sont automatiquement regroupés sous une tâche ou un groupe de rattrapage pertinent. S’ils ne peuvent pas être regroupés sous un groupe existant, un nouveau groupe est créé.
- Les changements manuels ne déclenchent pas de regroupement, seules les mises à jour pilotées par des règles le font.
- Les tâches de rattrapage elles-mêmes ne sont pas supprimées. Seuls les résultats sont supprimés ou regroupés.
Automatisation du regroupement après des changements de groupe d’affectation
Vous pouvez automatiser le regroupement des résultats lorsque les groupes d’affectation changent en raison d’une nouvelle application de la règle d’affectation en activant la sn_sec_rem.rerun_task_rules propriété système.
Remarque :
Cette propriété système n’est pas activée par défaut.
Étapes à activer :
- Accédez à la .
- Ouvrez la sn_sec_rem.rerun_task_rules propriété système.
- Dans le champ Valeur , définissez la valeur sur vrai.
Impact de l’affectation sur les tâches de remédiation
Les règles d’affectation influencent également la façon dont les résultats sont regroupés et gérés dans les tâches de remédiation. Les règles de tâche de rattrapage héritent des groupes d’affectation des résultats. Par exemple, si les résultats de plusieurs CI sont affectés à différents groupes, les tâches de rattrapage peuvent être divisées en conséquence.
Si le groupe d’affectation d’une tâche de rattrapage est mis à jour :
- Tous les résultats de cette tâche, partageant le groupe d’affectation d’origine, sont également mis à jour.
- Ces résultats sont marqués comme affectés manuellement et exclus de l’évaluation automatique ultérieure des règles.
Considérations spéciales par type de résultat
| Type de résultat | Notes |
|---|---|
| Éléments vulnérables (VIT) | Le système de base inclut une Assign to CI Support Group règle. Utilisez l’ordre pour classer les règles critiques, générales et de secours par ordre de priorité. |
| Éléments vulnérables de conteneurs (CVIT) | Une seule règle de correspondance s’applique. Les règles ignorent les CVIT non ouverts ou affectés manuellement. |
| Résultats des tests de configuration (CTR) | Utilise une logique similaire. La règle d’affectation par défaut est inactive. La terminologie change à partir de la version 14.9 (par exemple, « Règles de groupe » → « Règles de tâche de rattrapage »). |