Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités
Activez Fermer automatiquement les détections périmées pour fermer automatiquement les détections vulnérables périmées qui n’ont pas été récemment trouvées par vos intégrations tierces.
Avant de commencer
Rôle requis : sn_vul.vulnerability_admin ou sn_vuln.admin (déconseillé), ou un gestionnaire des vulnérabilités disposant du rôle granulaire sn_vul.manage_auto_close_stale_vi.
Pour plus d’informations sur cette fonctionnalité, les termes clés et toute configuration qui peut être requise pour vos intégrations tierces qui importent des données de détection, reportez-vous à la section Fermeture des détections obsolètes dans Réponse aux vulnérabilités Pour plus d’informations.
Procédure
-
Accédez à la Réponse aux vulnérabilités > Administration > Configuration de fermeture automatique > Détections périmées.
Le formulaire Fermer automatiquement la configuration périmée s’affiche.
- Renseignez les champs.
-
Pour le champ Fermer automatiquement les détections obsolètes en fonction de , choisissez une option pour votre recherche.
Les deux recherches font correspondre l’âge des détections anciennes et périmées en nombre de jours à une date fournie par votre scanner.Remarque :À partir de la version 22.0 de Réponse aux vulnérabilités, les options Dernières détections trouvées et Derniers actifs numérisés sont créées sous forme de liste.
- Dernières détections trouvées. Cette option recherche la date la plus récente ou la plus récente à laquelle les détections ont été retrouvées par le scanner.Remarque :Pour Rapid7 les utilisateurs et Microsoft TVM, un message d’avertissement s’affiche concernant l’exigence d’informations de détection actuelles.
Si vous sélectionnez les dernières détections trouvées sur lesquelles baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’intégration de l’une des intégrations complètes d’éléments Rapid7 vulnérables au cours des sept derniers jours.
Si vous sélectionnez les dernières détections trouvées sur lesquelles baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’intégration des vulnérabilités des ordinateurs Microsoft TVM (importation complète) au cours des sept derniers jours.
- Derniers actifs analysés. Cette option recherche la date la plus récente à laquelle un actif a été analysé pour la dernière fois par un scanner tiers.
- Dernières détections trouvées. Cette option recherche la date la plus récente ou la plus récente à laquelle les détections ont été retrouvées par le scanner.
- Pour Rapid7 les utilisateurs et Microsoft TVM uniquement, vérifiez que toutes les intégrations requises sont activées.
- Pour activer le module, cochez la case Actif pour le sélectionner.
-
Dans le champ Dernières détections trouvées (il y a x jours ), entrez l’âge des détections anciennes et périmées en nombre de jours.
La valeur par défaut est de 90 jours. Vous pouvez saisir n’importe quelle valeur positive pour le nombre de jours. Cette valeur est utilisée pour correspondre à une date fournie par votre scanner. Avec 90 et Dernières détections trouvées affichées, toutes les détections introuvables au cours des 90 derniers jours sont automatiquement fermées. Avec 90 et la dernière numérisation des actifs affichée , toutes les détections associées à des actifs non analysés au cours des 90 derniers jours sont automatiquement fermées.
Remarque :Il existe une relation entre le champ Dernières détections trouvées/Dernière analyse des actifs (il y a x jours) pour cette fonctionnalité et le champ Importer depuis de l’API Intégration complète des éléments vulnérables Rapid7 et l’intégration des vulnérabilités des machines Microsoft TVM.
Pour ces intégrations, le champ Importer depuis des pages de configuration est vide par défaut.
Si vous ne saisissez pas de valeur ou si le champ ne contient aucune valeur, les données du nombre de jours configurées dans le champ Dernières détections trouvées/Dernières informations numérisées des actifs (il y a x jours) sont utilisées.
Par exemple, si le nombre de jours défini dans le formulaire de configuration de fermeture automatique est de 90 et que le champ Importer depuis est vide sur les pages de configuration de l’intégration, la première exécution de l’intégration importe les données des 90 derniers jours. Les champs d’importation depuis l’intégration Rapid7 complète des éléments vulnérables - API et l’intégration des vulnérabilités des ordinateurs Microsoft TVM sont modifiables, vous pouvez donc également fournir les valeurs que vous voulez. La valeur de 90 jours est fournie par défaut si le champ reste vide afin que la fonctionnalité de fermeture automatique ne ferme pas les faux positifs.
Cette relation entre ces champs s’applique uniquement à la première exécution d’intégration. Après cela, la modification du champ Dernières détections trouvées/Dernières informations numérisées des actifs (il y a x jours) sur le formulaire Fermer automatiquement les détections vulnérables périmées n’affecte pas le champ Importer depuis sur les pages de configuration de l’intégration. Le champ est modifié sur l’heure de début de la première exécution afin que les exécutions d’intégration suivantes importent uniquement les informations de différentiel.
- Facultatif :
Cochez la case Ignorer les détections obsolètes pour les VI différés pour ignorer les détections obsolètes qui sont mappées sur des VI différés ou sur des VI actuellement en cours de révision pour un report.
Si vous laissez cette option désactivée, toutes les détections qui correspondent à vos critères sont fermées et mappées aux VI différés ou aux VI en cours de révision pour le report. Les VI différés, ou les VI en cours de révision qui correspondent à ces détections sont également automatiquement fermés en fonction de la logique de déploiement. Pour plus d’informations sur la logique de déploiement, reportez-vous aux sections Fermeture des détections obsolètes dans Réponse aux vulnérabilités et Scénarios de déploiement et de réduction de l’état.
Si vous activez cette option, toutes les détections qui correspondent à vos critères et qui correspondent aux VI différés ou aux VI qui sont en cours de révision pour report sont ignorées lors de la fermeture automatique.
- Facultatif :
Décochez la case Ignorer les détections obsolètes pour les VI fermés .
Par défaut, cette case à cocher est sélectionnée afin que le VI fermé ne soit pas rouvert lorsqu’une nouvelle détection liée à ce VI fermé est identifiée. Pour plus d’informations sur la logique de déploiement, reportez-vous aux sections Fermeture des détections obsolètes dans Réponse aux vulnérabilités et Scénarios de déploiement et de réduction de l’état.
-
Cliquez sur Mettre à jour pour enregistrer vos modifications.
La Auto-Close Stale Detections tâche planifiée s’exécute quotidiennement. La tâche détermine si vous avez sélectionné la date à laquelle les détections ont été trouvées pour la dernière fois ou la date à laquelle les actifs ont été analysés pour la dernière fois. Les détections correspondantes passent ensuite à l’état Périmé. Il est important de noter que la fonctionnalité de fermeture automatique de la détection de panne obsolète ne ferme que les détections obsolètes pour les instances d’intégration actives. Les éléments vulnérables et détections associés aux instances d’intégration actives sont fermés. À partir de la version 22.0 du Réponse aux vulnérabilités travail planifié a été modifié pour prendre en compte la table commune [sn_vul_cmn_auto_close_rule].
Une fois que les détections sont marquées comme périmées, si le scanner signale la détection à nouveau, le champ État des détections passe sur Ouvert. Les éléments vulnérables correspondants de la détection sont également rouverts.
En outre, si la détection est marquée comme périmée et que le scanner constate qu’elle est fixe, la détection passe à l’état Fermé. L’État s’étend également aux VI.