Gestion des exceptions dans Vulnerability Response pour conteneurs

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Lorsque votre organisation n’est pas en mesure de se conformer à une politique, une norme ou une directive de sécurité ou de gestion des vulnérabilités publiée, vous pouvez demander une exception. La gestion des exceptions implique de demander, examiner, approuver ou rejeter des exceptions pour un élément vulnérable du conteneur (CVIT) qui ne peuvent pas être corrigées conformément à la politique.

    Certaines vulnérabilités de conteneur (CVIT) peuvent ne pas disposer d’un correctif, d’un correctif ou d’une solution existant. Lorsqu’une exception est approuvée, cela signifie également que vous acceptez un risque, car vous reconnaissez et acceptez les conséquences de ne pas remédier à la vulnérabilité.

    Cycle de vie d’une exception

    Définition d’une exception
    Une exception est une demande de report de la correction d’un CVIT ou d’un RT pour une période spécifiée. Par exemple, en tant que propriétaire de correction, vous pouvez demander une exception si un correctif n’est pas disponible pour une machine.
    Demande d’exception
    En tant que propriétaire du rattrapage, vous pouvez demander une exemption pour un CVIT ou un RT à l’aide du processus de gestion des exceptions. Une fois que l’approbateur d’exception a approuvé cette demande, le CVIT ou le RT passe à l’état Différé .
    Approbation d’une demande d’exception
    Les CVIT ou les RT qui ne peuvent pas être corrigés immédiatement sont examinés par des analystes de vulnérabilité, évalués pour le risque et approuvés pour le report jusqu’à ce qu’ils puissent être corrigés. L’approbation d’une demande d’exception peut être un workflow à deux niveaux. Si seul l’approbateur de premier niveau est présent, l’exception peut être demandée et approuvée. Toutefois, s’il n’y a pas d’approbateur de premier niveau, aucune exception ne peut être demandée. Consultez Ajouter un approbateur d’exception pour plus d'informations.
    Remarque :

    À partir de la Vulnerability Response version 15.0, si vous déployez l’application VR pour la première fois, le Flow Designer pour la gestion des exceptions est activé par défaut. Si vous utilisez déjà le workflow, vous pouvez effectuer la mise à jour vers Flow Designer. Dans les deux cas, vous ne pouvez pas le repasser au workflow. Pour configurer des règles d’approbation pour la gestion des exceptions et les faux positifs, reportez-vous à la section Configurer les règles d’approbation pour Exception Management.

    Une fois qu’une demande d’exception pour un CVIT ou un RT est approuvée, vous pouvez effectuer les actions suivantes :
    • Rouvrir
    • Supprimer
    • Mettre à jour les champs Affectation à ou Groupes d’affectation
    Suivi d’une demande d’exception
    Après avoir émis l’exception, vous pouvez suivre son état à l’aide de l’onglet Approbations de changement d’état du CVIT ou du RT. Si une action est effectuée sur un RT, vous ne pouvez pas suivre l’état des CVIT individuels dans ce RT.
    Expiration d’une demande d’exception
    Lorsqu’une demande d’exception pour une CVIT ou une RT particulière expire, la CVIT ou la RT impactée revient à son état Ouvert .

    Si une seule CVIT ou toutes les CVIT d’un RT passent à l’analyse suivante, les CVIT et, le cas échéant, le champ État RT passent à Fermé avec le sous-état Fixe.

    Configurer les règles d’approbation

    Affichez et configurez des règles d’approbation en accédant à Tous > Conteneur Vulnerability Response > Administration > Règles d'approbation. Demandez une exception pour les CVIT qui ne peuvent pas être corrigés ou différés immédiatement, en identifiant les vulnérabilités impactées, les éléments de configuration (CI) ou les CVIT. Automatisez le processus de report de CVIT. Différez les CVIT correspondants en fonction de ces règles lorsque le système identifie ces CVIT.
    Les règles d’approbation suivantes sont expédiées par défaut :
    • Approbation des demandes d’exception : une configuration par défaut avec deux niveaux d’approbation est fournie dans le système de base. Chaque fois qu’il y a une demande d’exception sur un élément vulnérable, la demande d’approbation est envoyée aux utilisateurs ou groupes présents au niveau 1. Une fois approuvée par les approbateurs de niveau 1, elle est envoyée aux approbateurs de niveau 2.
      Remarque :
      Vous pouvez modifier les niveaux par défaut et les modifier au besoin. À partir de Vulnerability Response pour conteneurs la version 2.0.6, vous pouvez utiliser les propriétés système fournies dans le système de base pour les approbations d’exceptions via le workflow de la table Propriétés système [sys_properties]. Ainsi, lorsqu’une demande d’exception ou de faux positif est émise via le workflow, elle est envoyée pour approbation aux ID de groupe définis dans la propriété système. Accédez à la Tous > Propriétés système et sélectionnez sn_vul_container.container_exception_approver_L1, sn_vul_container.container_exception_approver_L2ou sn_vul_container.container_false_positive_approver_group pour modifier la valeur de la propriété.
    • Approbation des règles d’exception : elle n’a pas de configuration mais deux niveaux d’approbation.
    • Approbation des faux positifs : elle a une configuration avec un niveau d’approbation.
    Remarque :
    À partir de la version 2.5 de Vulnerability Response pour conteneurs, vous pouvez configurer les délais d’approbation des faux positifs et des exceptions, ainsi que des notifications par e-mail pour l’approbateur et le demandeur après un nombre de jours défini. Lorsqu’une demande est émise, l’élément vulnérable du conteneur passe à l’état En cours de révision et un enregistrement de changement d’état est créé. Si l’approbateur ne répond pas dans le délai configuré, l’élément vulnérable ou la tâche de rattrapage du conteneur revient à l’état Ouvert. L’état précédent est stocké dans le champ backup_state . Pour en savoir plus, consultez Configurer les règles d’approbation pour Exception Management.