Réponse aux vulnérabilités Calculateurs et règles du calculateur de vulnérabilité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Les calculateurs de vulnérabilité automatisent le calcul des valeurs initiales pour les champs des éléments vulnérables. La condition de chaque calculateur est évaluée dans l’ordre et le premier calculateur correspondant est utilisé.

    Calculateurs de vulnérabilités

    Le Réponse aux vulnérabilités système de base comprend deux calculateurs de vulnérabilité qui définissent le score de risque de base sur l’élément vulnérable.
    • Calculateur de risque par défaut
    • Gravité de la vulnérabilité

    Les calculateurs de vulnérabilité peuvent être créés pour classer par ordre de priorité et évaluer l’impact des éléments vulnérables en fonction de n’importe quel critère à l’aide de filtres de condition. Qu’il s’agisse de l’impact de la vulnérabilité sur l’entreprise, de la classe de l’élément de configuration (CI) ou de l’âge de l’élément vulnérable, vous pouvez créer des calculateurs de vulnérabilité supplémentaires pour définir d’autres champs sur les éléments vulnérables. Vous pouvez également personnaliser les calculateurs de vulnérabilité existants. Un calculateur peut être écrit pour refléter n’importe quel ensemble de priorités. Voir Créer un Réponse aux vulnérabilités calculateur et Filtrage au sein de Réponse aux vulnérabilités pour plus d’informations.

    En outre, vous pouvez utiliser des attributs dans la configuration_item [cmdb_ci] de la Base de données de gestion des configurations (CMDB) pour vous aider à créer une logique pour vos calculateurs de risque de Réponse aux vulnérabilités. Si, par exemple, vous déterminez que les CI externes de votre organisation sont plus vulnérables et peuvent nécessiter une correction immédiate, vous pouvez affecter des attributs tels que Internet Facing pour ces CI. Cet attribut, ainsi que d’autres, sont répertoriés dans les notes de mise à jour sur le modèle de données de service commun . Pour obtenir des renseignements et des conseils à jour sur le CMDB, consultez les sujets suivants :

    Chaque calculateur contient une liste de règles de calculateur, avec une condition déterminant quand l’appliquer. Lorsque la calculatrice est exécutée, la condition de chaque règle de calculatrice est évaluée dans l’ordre et la première règle de calculatrice correspondante est utilisée.

    Le calculateur de gravité de la vulnérabilité calcule le score de risque pour les éléments vulnérables en utilisant la gravité de vulnérabilité normalisée.
    Remarque :
    • Un seul calculateur par champ cible (score de risque) peut être actif à la fois. La gravité de la vulnérabilité est désactivée par défaut.
    • Chaque fois que le score de risque est mis à jour sur une VIT, la section Notes est mise à jour avec les détails suivants :
      • Nom du groupe de calculateurs
      • Nom de la calculatrice : selon que la règle de calculatrice est basée sur un modèle ou un script, le nom est ajouté avec les détails entre parenthèses. Pour modifier ou afficher la base de la règle du calculateur, cliquez sur n’importe quelle règle et cochez la case Vue avancée . Dans la liste déroulante Type de valeur , sélectionnez l’option requise. Si Modèle est sélectionné, le score de risque est mis à jour en fonction de la condition spécifiée dans la règle. Si Script est sélectionné, vous pouvez ajouter ou mettre à jour le script existant.

        La propriété sn_sec_cmn.risk_score_changes_add_worknotes système permet de remplir la section des notes de travail. À partir de la version 25.0.3 de Réponse aux vulnérabilités, la propriété système est inactive par défaut. Si vous l’activez, vous pourrez alors seulement voir tous les changements liés au score de risque.

    Tous les calculateurs de vulnérabilité activés définissent les champs sélectionnés chaque fois qu’un élément vulnérable est créé, lorsqu’un CI ou une vulnérabilité associé change ou lorsque le lien connexe Calculer le score de risque d’un élément vulnérable est utilisé. Par exemple, le score de risque est automatiquement mis à jour sur les enregistrements d’éléments vulnérables lorsque la valeur de gravité est mise à jour sur une vulnérabilité importée. Une fois qu’une importation de vulnérabilité a mis à jour un score de vulnérabilité, le marqueur Recalculer est activé pour cette vulnérabilité. Les scores de risque des éléments vulnérables pour lesquels le marqueur de recalcul est activé (vrai) avec cette vulnérabilité sont recalculés.

    À partir d’un élément vulnérable existant, si vous cliquez sur le lien connexe Calculer le score de risque et que l’un des calculateurs est activé, le champ Score de risque de l’élément vulnérable est mis à jour.
    Remarque :
    • Le lien connexe Calculer le score de risque n’est visible que lorsqu’au moins un calculateur de vulnérabilité est activé.
    • Vous pouvez mettre à jour le score de risque d’un élément vulnérable dans le et Espace de travail de remédiation IT en sélectionnant le bouton Calculer le score de risque dans sa vue d’enregistrement.Espace de travail du gestionnaire de vulnérabilités
    • Chaque fois que le score de risque d’un VIT change, les détails suivants sont documentés dans la section Notes du VIT :
      • Nom du groupe de calculateurs
      • Nom du calculateur
      • Valeurs de champ avec leur pondération et leur contribution au score de risque
      • Score de risque final

    Règle du calculateur de vulnérabilité

    Le calculateur de risque par défaut du calculateur du système de base contient la règlede risque par défaut, une règle de calcul de vulnérabilité spécialisée appelée règle de risque. Il calcule le score de risque en fonction de plusieurs valeurs :
    • Gravité de la vulnérabilité
    • Informations sur l’exploitation
    • Criticité
    • Exposition externe du CI avec la vulnérabilité
    • Scores de l’EPSS
    Vous pouvez ajuster les valeurs à utiliser dans la règle de risque par défaut et le poids à donner à chacune de ces valeurs. Les poids sont utilisés pour ajuster la prise en compte de chaque élément lors de la définition du score de risque de base.

    Vous pouvez personnaliser les critères de la règle de risque par défaut. Pour plus d'informations, consultez Définir des champs et des poids pour la règle de risque pour Réponse aux vulnérabilités Calculateurs de risque.

    Pour obtenir un exemple de la façon dont les scores des risques pour les calculateurs de règle de risque sont déterminés, reportez-vous à la section Exemple de calcul de score de risque pour Réponse aux vulnérabilités.

    Affectation d’un pourcentage de pondération

    Vous pouvez également affecter un pourcentage de pondération (0-100) au niveau de la valeur du champ. Par exemple, vous pouvez affecter un pourcentage de pondération à chaque niveau de gravité (Aucun, à Critique).

    Si la pondération de gravité est de 50 pour la règle de risque, et que les valeurs de pondération suivantes sont affectées pour le niveau de gravité :
    Gravité de la vulnérabilité Score du risque
    Critique 100
    Élevé 50
    Moyen 20
    Aucun 0

    Si la gravité est critique, la pondération équivalente est 50. Si la gravité est élevée, la pondération équivalente est 25, et si la sévérité est moyenne, la pondération équivalente est 10. Si la gravité est Aucune, la pondération équivalente est 0. Pour plus d’informations, reportez-vous à la Exemple de calcul de score de risque pour Réponse aux vulnérabilités section .

    Paramètres de règle du calculateur de vulnérabilité

    Chaque règle a un paramètre Ordre . Toutefois, le premier à correspondre aux conditions met à jour le champ de score de risque dans l’élément vulnérable. Pour plus d’informations sur les paramètres des règles du calculateur de vulnérabilité, reportez-vous à la section Créer un Réponse aux vulnérabilités calculateur. Les règles de calculateur non scriptées ont généralement moins d’impact sur les performances que les règles de calculateur scriptées.

    Le calculateur de gravité de la vulnérabilité du système de base contient des règles de calcul qui affectent à chaque niveau de gravité (Aucune à Critique) une valeur (0-100) pour le score de risque en fonction de la gravité. Un score de risque de 100 est automatiquement attribué à la gravité inconnue. Ces valeurs peuvent être ajustées et, comme pour le calculateur de risque par défaut, de nouvelles règles de calcul ou de nouvelles règles de risque peuvent être créées.

    Poids de score du score de vulnérabilité

    Toutes les vulnérabilités se voient attribuer un score de risque et une évaluation en fonction de facteurs tels que la gravité, la criticité, les informations d’exploitation, etc. La règle Update Risk Rating from Risk Score métier de la table des éléments vulnérables est responsable du calcul de la cote de risque. Chaque fois que le score de risque change, la cote de risque est calculée et remplie sur les éléments vulnérables.
    Valeur (cote de risque) Poids (score de risque)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    • Les types d’évaluation du risque sont expédiés dans la table de base sous forme de vr_risk_rating. Ces types sont transmis dans le cadre de la règle métier sur chaque table où la cote de risque est calculée.
    • Le script est modifié afin que vous puissiez interroger les entrées des valeurs de la table des pondérations des scores de risque pour le calcul de la cote de risque.
    • Ajoutez des entrées supplémentaires pour un type existant ou créez-en un nouveau. Lorsque vous créez un nouveau type, assurez-vous d’ajouter les étiquettes pour la nouvelle cote de risque et de modifier les scripts et les règles métier associés. Vous devez également ajouter un nouveau style pour le nouveau score de risque.
    • Modifiez le script pour interroger les enregistrements dans la table de base.
    Vous pouvez accéder à la table des pondérations des scores de risques en saisissant sn_sec_cmn_risk_score_weight (pour les versions antérieures à 30.0) ou sn_sec_calculator_risk_score_weight (pour les versions 30.0 et supérieures) dans le navigateur de filtre.

    En outre, le score de risque est automatiquement recalculé lorsque les vulnérabilités et expositions courantes (CVE) associées ou les entrées tierces (TPE) associées sur les éléments de vulnérabilité (VI) sont liées à une vulnérabilité d’exploitation connue (KEV) CVE.

    Intégration de vulnérabilité Tenable et règle de risque Tenable

    La règle de risque tenable est disponible avec le .Tenable Vulnerability Integration L’évaluation de la priorité de vulnérabilité (VPR) est un attribut du produit Tenable qui est importé et utilisé avec un nouveau calculateur de risque par défaut dans Réponse aux vulnérabilités. La règle de risque Tenable est installée avec l’application dans le Vulnerability Response Integration with Tenable cadre du calculateur de risque par défaut dans les calculateurs de vulnérabilité de Réponse aux vulnérabilités.

    Cette règle de risque est désactivée par défaut. Consultez Configurer l’intégration de vulnérabilité Tenable à l’aide de l’assistant de configuration.