Réponse aux vulnérabilités Vue d’ensemble des tâches de rattrapage et des règles de tâche de rattrapage
Configurez les tâches de remédiation (VUL) pour aider les analystes et les spécialistes de la remédiation à organiser les éléments vulnérables (VI) et à les analyser en bloc. Les critères selon lesquels les tâches de rattrapage sont formées sont configurés de façon à ce que vous n’ayez pas à affecter manuellement des éléments vulnérables aux tâches de rattrapage. Les tâches de rattrapage vous permettent de surveiller la progression et de piloter le processus de rattrapage plus efficacement.
Suivi du nombre de reports pour les éléments vulnérables et les tâches de remédiation
Suivez le nombre de reports d’un élément vulnérable, d’un élément vulnérable d’application, d’un élément vulnérable de conteneur ou d’une tâche de rattrapage. Une tâche planifiée, définie Nombres de reports, s’exécute quotidiennement pour valider les nombres d’enregistrements différés plusieurs fois dans la colonne Nombre de reports. Les enregistrements sont affichés dans les modules Reports multiples pour VR, AVR et CVR.
Actualisation automatique des éléments vulnérables
Lorsque la case Mettre à jour automatiquement les éléments vulnérables connexes est cochée, les nouveaux éléments vulnérables correspondant aux critères de filtre de la tâche de rattrapage sont automatiquement ajoutés à la tâche. Les éléments vulnérables de la tâche de rattrapage qui ne correspondent plus aux critères de filtrage sont automatiquement supprimés de la tâche.
Par défaut, lorsque la tâche de rattrapage quitte l’état Ouvert , la case est décochée. Si vous souhaitez que les éléments vulnérables continuent d’être ajoutés à la tâche de rattrapage, quel que soit l’état, désactivez la Set auto refresh vulnerable items règle métier.
Actualisation manuelle des éléments vulnérables
Pour les tâches de rattrapage créées manuellement avec un filtre Groupe de filtres ou Condition , lorsque vous cliquez sur le lien connexe Actualiser les éléments vulnérables associés sur la page Tâche de rattrapage , tous les éléments vulnérables qui correspondent aux critères de filtre sont ajoutés. Les éléments qui ne correspondent plus aux critères sont supprimés. Cette action permet une mise à jour immédiate de la liste des éléments vulnérables et est utilisée que la case Mettre à jour automatiquement les éléments vulnérables connexes soit cochée ou non.
Les tâches de rattrapage créées manuellement à l’aide de types de filtres Condition ou Groupe de filtres sont actualisées une fois par heure.
Comprendre les règles de tâche de rattrapage
Les règles de tâche de rattrapage vous permettent de définir la manière dont les éléments vulnérables sont automatiquement regroupés et affectés. Une règle par défaut, Vulnérabilité, est incluse dans le système de base qui rassemble les éléments vulnérables en fonction de leurs vulnérabilités. Toutefois, vous pouvez effectuer un regroupement selon n’importe quel autre ensemble de valeurs dans des colonnes accessibles à partir de l’élément vulnérable. Ces valeurs peuvent inclure l’élément de configuration (CI), le groupe de support, la gravité de la vulnérabilité, etc.
Vous pouvez créer n’importe quel nombre de conditions. Une fois que vous avez défini une sélection Grouper par, une autre ligne apparaît. Vous pouvez avoir jusqu’à six sélections Grouper par . Vous pouvez également automatiser l’affectation de groupe. Voir Créer ou modifier Réponse aux vulnérabilités des règles de tâche de rattrapage et Filtrage au sein de Réponse aux vulnérabilités pour plus d’informations.
Vous pouvez contrôler si toutes les règles de correspondance sont évaluées ou si seule la première correspondance est appliquée en définissant le mode d’exécution sur la page des règles de tâche de rattrapage. Ce paramètre est configuré dans le .Espace de travail de Gestion de l'exposition de la sécurité Pour plus d'informations, consultez Regroupement de plusieurs résultats en tant que tâches de remédiation pour un traitement facile à l’aide des règles de tâche de remédiation.
Par exemple, vous pouvez regrouper vos éléments vulnérables par centre de coûts du CI vulnérable ou par vecteur d’attaque de la vulnérabilité. Vous pouvez avoir une règle de tâche pour les vulnérabilités de faible gravité ou les CI à faible risque. Vous pouvez avoir une autre règle de tâche pour les serveurs critiques et les vulnérabilités avec des exploits, des éléments vulnérables qui exposent l’entreprise à plus de risques.
Un autre ensemble de règles peut être utilisé pour les éléments vulnérables qui exposent l’entreprise à davantage de risques. Le nom de la tâche de rattrapage est ajouté à la règle de tâche de rattrapage Grouper par valeurs pour faire la description brève du nouvel enregistrement. Consultez la section Créer manuellement une tâche de rattrapage dans Réponse aux vulnérabilités pour plus d’informations sur les champs disponibles.
Lorsqu’un nouvel élément vulnérable est créé, importé ou rouvert après avoir été fermé, les règles de vulnérabilité sont évaluées en fonction de celui-ci. Un VI n’est évalué qu’une seule fois, automatiquement, sauf s’il est rouvert après avoir été fermé ou si les règles sont réappliquées manuellement.
Le processus suivant est utilisé pour chaque VI nouveau ou rouvert :
- Pour chaque règle de tâche de rattrapage, le VI est comparé au filtre de la règle de tâche de rattrapage.
- Pour chaque règle dans laquelle la condition de la règle de tâche de rattrapage est vérifiée, la règle extrait les données des sélections Grouper par sur le VI. Il construit un nom de groupe et un champ. Dans ce cas, risque élevé : QID-32342 : résumé de QID-3242 (nom : ID de vulnérabilité : résumé de vulnérabilité).La règle vérifie s’il existe une tâche de rattrapage ouverte correspondante qui est affectée au même groupe d’affectation que le VI.Remarque :Le champ Description courte est limité à 160 caractères. Les résumés de vulnérabilité plus longs sont tronqués.
- Si la tâche est trouvée, le VI est ajouté à la tâche existante à l’état Ouvert .
- Si aucune tâche à l’état Ouvert n’est trouvée, la règle crée une tâche à risque élevé : QID-32342 , l’affecte au même groupe d’affectation que le VI et place le VI dans la tâche de rattrapage.
Plusieurs règles de tâche de rattrapage peuvent être définies pour regrouper différents types de vulnérabilités. Étant donné que chaque vulnérabilité est comparée aux conditions de règle de la tâche de rattrapage avant de la placer dans une tâche de rattrapage, un trop grand nombre de règles peut avoir un impact sur les performances.
Par défaut, les règles de tâche de rattrapage utilisent le groupe d’affectation défini par les règles d’affectation sur l’élément vulnérable lors du regroupement des éléments vulnérables et affectent la tâche de rattrapage pour correspondre aux éléments vulnérables.
Dans le cadre de la règle de tâche par défaut, l’affectation de ces tâches de rattrapage est contrôlée par les règles du module Règles d’affectation . Pour plus d’informations sur les règles d’affectation, reportez-vous à la section .
Lorsqu’une règle de tâche est supprimée, vous avez la possibilité de supprimer toutes les tâches ouvertes créées par cette règle à partir de la vue de formulaire ou de liste. Les tâches qui ne sont pas ouvertes sont exclues.
Réapplication des règles de tâche de rattrapage
Lorsque vous souhaitez modifier une règle de tâche de rattrapage, utilisez le bouton Réappliquer sur la page de la règle de tâche de rattrapage pour réexécuter la règle modifiée sur toutes les tâches de rattrapage ouvertes actives créées par cette règle. Elle supprime et recrée automatiquement les tâches de rattrapage en fonction de la règle modifiée.