Tableau de bord de Vulnerability Response unifié

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 14 minutes de lecture

    • Le tableau de bord Unified Vulnerability Response fournit une vue complète des vulnérabilités et des risques d’une organisation. Les vulnérabilités liées à l’infrastructure, au cloud, aux applications et aux conteneurs peuvent être consultées dans un tableau de bord centralisé afin d’améliorer la visibilité et la correction.

    Rôles Now Platform requis

    Les rôles suivants sont associés à cette solution. Ils sont nécessaires pour afficher, modifier et partager les rapports :
    • gestionnaire_sn_vul.app_s
    • sn_vul.vulnerability_admin
    • sn_vul.vulnerability_analyst
    • sn_vulc.admin
    • sn_vul_container.vulnerability_admin
    • sn_vul_container.vulnerability_analyst
    • sn_vul.app_développeur
    • sn_vulc.vulnerability_analyst

    Accéder au tableau de bord de Vulnerability Response unifié

    Pour ouvrir le tableau de bord, accédez à l’un des éléments suivants :
    • Tout > Réponse aux vulnérabilités > Espace de travail du gestionnaire de vulnérabilité et sélectionnez l’icône Tableaux de bord . En fonction de votre rôle, le tableau de bord par défaut s’affiche. Pour afficher le tableau de bord de Vulnerability Response unifié, sélectionnez la liste déroulante en regard du nom du tableau de bord.
    • Espaces de travail > Espace de travail d'Analyse de la plateforme > Tableaux de bord > Tableau de bord de Vulnerability Response unifié.
    Tableau de bord de Vulnerability Response unifié

    Cas d'utilisation

    Pour obtenir des exemples sur la façon dont les différentes personnes de votre organisation utilisent ce tableau de bord, consultez ces cas d'utilisation.
    Utilisateur Utilisation du tableau de bord
    • Responsables des vulnérabilités
    • Analystes de vulnérabilité
    • Fournit une visibilité en temps réel des risques présents dans l’infrastructure, les applications, les configurations et les conteneurs. Enable leur permet de hiérarchiser et de corriger les vulnérabilités en temps opportun.
    • Fournit une vue d’ensemble de la surface d’attaque des actifs critiques, qui peut être utilisée pour suivre les progrès et les efforts de rattrapage.
    • Fournit une vue d’ensemble des risques entre les unités business (BU). Vous pouvez utiliser des filtres pour sélectionner des unités business et comparer la progression pour réaffecter les ressources, si nécessaire. L’accès au niveau du rôle doit être fourni au responsable de la BU.
    • Fournit une visibilité sur l’impact potentiel par les BU. Vous pouvez utiliser le filtre CVE (Common Vulnerability and Exposure) pour identifier les expositions dans l’ensemble de l’organisation.
    • Fournit une visibilité sur les scores EPSS atteints par les entrées vulnérables qui existent dans le catalogue CISA KEV pour les éléments vulnérables de l’application, de l’hôte et du conteneur.

    Onglets du tableau de bord de Vulnerability Response unifié

    Ce tableau de bord vous permet de voir les vulnérabilités ou les problèmes présents dans les hôtes, le cloud, les configurations, les applications et les conteneurs. Vous pouvez afficher les vulnérabilités en fonction de l’unité business, du groupe d’affectation, de l’évaluation du risque, de la criticité et de l’existence d’un exploit pour les vulnérabilités.

    L’onglet Vue d’ensemble des actifs fournit l’état général des éléments de configuration (CI) dans le système.Onglet Vue d’ensemble des actifs

    L’onglet Vue d’ensemble de la vulnérabilité fournit un état sur les types de vulnérabilités tels que l’hôte, l’application, le conteneur.Onglet Vue d’ensemble de la vulnérabilité

    L’onglet Vue d’ensemble de l’affectation fournit un état sur l’affectation des vulnérabilités.Onglet Vue d’ensemble de l’affectation

    L’onglet Gestion des exceptions fournit un état sur les vulnérabilités différées.Onglet Gestion des exceptions

    L’onglet Accord sur les niveaux de service (SLA) fournit l’état de l’accord sur les niveaux de service atteint par différents groupes d’affectation.Onglet SLA de l’accord sur les niveaux de service

    L’onglet Renseignements sur les vulnérabilités fournit un état sur les scores EPSS atteints par les vulnérabilités ayant le marqueur CISA KEV vrai et le score EPSS > = 0,9 pour les éléments vulnérables d’application, d’hôte et de conteneur.Onglet Renseignements sur les vulnérabilités

    Filtres

    Vous pouvez filtrer les widgets en fonction des éléments suivants :
    • Unité business
    • Groupe d'affectation
    • Cote de risque
    • État critiques des actifs
    • Accessible sur Internet
    • Existence de l'exploit

    Lorsqu’un filtre est sélectionné, les données de tous les widgets sont mises à jour. Toutefois, si un filtre n’est pas applicable pour un widget, un symbole en forme de croix s’affiche à côté du nom du filtre.

    Remarque :
    Seuls les filtres d’unité business et de groupe d’affectation sont disponibles dans Tokyo. Tous les filtres sont disponibles à partir de Utah maintenant.

    Indicateurs

    Actifs analysés
    Indicateur de formule pour les actifs analysés au cours des 60 derniers jours. Contient les actifs d’éléments détectés analysés, les actifs de mise en production d’application analysées, les actifs d’image de conteneur détectés analysés en tant qu’indicateurs de contribution.
    Actifs : l'exploit existe
    Indicateur de formule pour les actifs où l’exploitation existe dans les vulnérabilités. Contient les actifs de l’hôte : l’exploit existe, les actifs de l’application : l’exploit existe, les actifs du conteneur : l’exploit existe en tant qu’indicateurs de contribution.
    Actif Infra : accessible sur Internet
    Indicateur pour l’extraction du nombre d’actifs, qui sont accessibles sur Internet.
    Éléments détectés basés sur le type de ressources dans le cloud
    Indicateur pour extraire le nombre d’actifs ayant une catégorie d’actif telle que le cloud.
    Images de base
    Indicateur pour l’extraction du nombre d’images de base.
    Type d'actif CISA KEV
    Indicateur de formule, qui donne le nombre d’éléments vulnérables du conteneur et de l’hôte pour lesquels le marqueur CISA KEV (BOD 22-01) est défini sur vrai pour la vulnérabilité. Contient le CVR existant CISA et les éléments vulnérables existants CISA en tant qu’indicateurs de contribution.
    Éléments vulnérables existants CISA : non affecté
    Indicateur de formule, qui donne le nombre d’éléments vulnérables du conteneur et de l’hôte pour lesquels le marqueur CISA KEV (BOD 22-01) est défini sur vrai pour la vulnérabilité et pour lesquels les éléments vulnérables ne sont pas affectés. Contient des éléments vulnérables du conteneur non affectés, des éléments vulnérables de l’hôte non affectés comme indicateurs de contribution.
    Éléments vulnérables existants CISA : cible manquée
    Indicateur de formule, qui donne le nombre d’éléments vulnérables du conteneur et de l’hôte pour lesquels le marqueur CISA KEV (BOD 22-01) est défini sur vrai pour la vulnérabilité et pour lesquels les éléments vulnérables ont manqué la cible. Contient des éléments vulnérables existants CISA, des CVR existants CISA en tant qu’indicateurs de contribution.
    VIT d'hôtes actifs
    Nombre d’éléments vulnérables de l’hôte actif (VIT).
    VIT d'application actifs
    Nombre d’éléments vulnérables de l’application (AVIT) actifs.
    VIT de conteneurs actifs
    Nombre d’éléments vulnérables du conteneur (CVIT) actifs.
    Nouveaux VIT
    Nombre de VIT ouverts sur une journée.
    Nouveaux AVIT
    Nombre d’AVIT ouverts sur une journée.
    Nouveaux CVIT
    Nombre de CVIT ouverts sur une journée.
    Nouveaux résultats des tests
    Nombre de résultats de tests (TR) qui ont été créés sur une journée.
    AVIT fermés
    Nombre de VIT fermés sur une journée.
    VIT fermés
    Nombre d’AVIT fermés sur une journée.
    CVIT fermés
    Nombre de CVIT clôturés sur une journée.
    Résultats des tests fermés
    Nombre de TR fermés sur une journée.
    Problèmes de configuration ouverts : résultats des tests
    Nombre de tous les résultats des tests ouverts qui sont à l’état Échec.
    Score de risque de l'organisation
    Score de risque d’une organisation issu de la table Score de risque de déploiement de l’application.
    Élément vulnérable de l'application non affecté
    AVIT sans groupe d’affectation ou affecté à.
    Élément de vulnérabilité de l'hôte non affecté
    VIT sans groupe d’affectation ou affecté à.
    Éléments vulnérables du conteneur non affectés
    CVIT sans groupe d’affectation ou affecté à.
    Problèmes de configuration non affectés
    TR sans groupe d’affectation ou affecté à.
    VIT différés
    VIT à l’état différé.
    AVIT différés
    AVIT à l’état différé.
    CVIT différés
    CVIT à l’état différé.
    SLA hôte : fermé
    Âge moyen des VIT fermés fermés.
    SLA de l'application : fermé
    Âge moyen de la fermeture des AVIT fermés.
    SLA de conteneur : fermé
    Âge moyen de fermeture des CVIT fermés.
    SLA de résultat de test : réussi
    Âge moyen auquel les TR réussis sont fermés.
    SLA de l'hôte : fermé (critique et élevé)
    Âge moyen de fermeture des VIT critiques et élevés fermés.
    SLA de l'application : fermé (critique et élevé)
    Âge moyen de clôture des AVIT critiques et élevés.
    SLA de conteneur : fermé (critique et élevé)
    Âge moyen de fermeture des CVIT critiques et élevées fermés.
    SLA de résultat de test : réussi (critique et élevé)
    Âge moyen de fermeture des TR critiques et élevés réussis.
    Regrouper MTTR
    Âge moyen de fermeture des VIT, AVIT, CVIT et TR fermés.
    SLA manqué
    Âge moyen de clôture des VIT, AVIT, CVIT et TR fermés et cibles manqués.
    Vulnérabilités avec des scores EPSS >= 0,9
    Nombre d’entrées de vulnérabilité avec des scores EPSS supérieurs ou égaux à 0,9.

    Répartitions

    • Type de VIT (unifié)
    • Accessible sur Internet (unifié)
    • Cote de risque (unifiée)
    • L'exploit existe (unifié)
    • Type de ressource dans le cloud de l’élément détecté (unifié)
    • CISA existe (unifié)
    • Classe CMDB (unifiée)
    • Unité business (unifiée)
    • Criticité opérationnelle (unifié)
    • Raison de l'ajournement (unifiée)
    • Groupe d’affectation (unifié)
    • État du rattrapage (unifié)

    Visualisations de données

    Tableau 1. Onglet Vue d’ensemble des actifs
    Titre Type Description
    Vue d'ensemble de la surface d'attaque Score unique Score unique Nombre représentant le score agrégé de la sécurité d’une organisation.
    Nombre CI CMDB Score unique Score unique Nombre de CI de l’organisation qui sont enregistrés et suivis dans la Base de données de gestion des configurations (CMDB). Fournit une répartition des CI suivants :
    • CI analysés : nombre de CI analysés
    • Exploit : nombre d’exploits disponibles
    • Accessible sur Internet : nombre de CI accessibles sur Internet
    Ressource du cloud Score unique Score unique Nombre de CI avec une catégorie d’actif telle que le cloud. Fournit une répartition des actifs dans le cloud suivants :
    • AWS
    • Azure
    • GCP
    Image de Docker Score unique Score unique Nombre d’images Docker, y compris le nombre d’images de base.
    Applications Score unique Score unique Nombre d’applications dans l’organisation.
    Tableau 2. Onglet Vue d’ensemble de la vulnérabilité
    Titre Type Description
    KEV CISA Graphique circulaire

    Nombre de vulnérabilités associées au catalogue et au CISA marqueur CISA comme vrai.

    Fournit une répartition basée sur les éléments suivants :
    • Vulnérabilité CISA : Types de vulnérabilités avec le marqueur CISA comme vrai
    • CI hôtes : accessible sur Internet : CI accessibles sur Internet
    • VIT non affectés : VIT non affectés avec le marqueur CISA comme vrai
    • Cible VIT manquée : VIT qui ont manqué la cible avec le marqueur CISA comme vrai
    Vulnérabilités actives par criticité Barre empilée Barre empilée Nombre de VIT, AVIT et CVIT actifs en fonction de la criticité.
    Tendance de création et de fermeture de vulnérabilité

    Ligne multiple Ligne multiple

    		 Nombre de vulnérabilités nouvelles et fermées pour toutes les applications. Fournit une tendance pour les trois derniers mois.
    Mauvaise configuration par plateforme cloud

    Ligne multiple Ligne multiple

    		 Nombre de problèmes de configuration basés sur la cote de risque pour chaque actif dans le cloud.
    Conformité du cloud Table Liste des ressources dont la catégorie d’actif est Cloud avec les détails suivants :
    • Nom de la ressource
    • Classe
    • Problèmes de vulnérabilité : nombre de problèmes présents dans la ressource qui sont agrégés en fonction de l’évaluation du risque.
    • Problèmes de configuration : nombre de ressources présentant des problèmes de configuration et cote de risque.
    • Compte dans le cloud : ID du compte dans le cloud.
    • Région du cloud : emplacement des ressources cloud.
    • Fournisseur dans le cloud : nom du fournisseur dans le cloud.
    Tableau 3. Onglet Vue d’ensemble de l’affectation
    Titre Type Description
    VIT non attribués Barre empilée Barre empilée Nombre de vulnérabilités qui ne sont affectées à aucun groupe ou individu, ainsi que l’évaluation du risque.
    MTTR par groupe d'affectation - 10 premiers

    Ligne multiple Ligne multiple

    		 Temps moyen nécessaire à un groupe d’affectation pour identifier et corriger les vulnérabilités ou les problèmes de sécurité. Les 10 premiers groupes d’affectation qui ont le temps moyen de correction le plus élevé sont affichés .
    10 principaux groupes d'affectation sans SLA (critique et vulnérabilité élevée) Barre empilée Barre empilée 10 premiers groupes d’affectation qui n’ont pas respecté la date cible de rattrapage des vulnérabilités critiques et élevées.
    Tableau 4. Onglet Gestion des exceptions
    Titre Type Description
    VIT différés Barre empilée Barre empilée Nombre de vulnérabilités à l’état Différé, basé sur l’évaluation du risque.
    VIT critiques et différés élevés par groupe d'affectation Barre empilée Barre empilée Nombre de vulnérabilités avec des cotes de risque critique et élevé à l’état Différé, catégorisées en fonction des groupes d’affectation.
    Tableau 5. Onglet Accord sur les niveaux de service (SLA)
    Titre Type Description
    Vulnérabilité de l'hôte : exécution de SLA par groupe d'affectation

    Ligne multiple Ligne multiple

    		 Temps nécessaire à un groupe d’affectation pour corriger les vulnérabilités de l’hôte. Fournit une tendance pour les 10 derniers mois.
    Problèmes de conformité : exécution de SLA par groupe d'affectation

    Ligne multiple Ligne multiple

    		 Temps nécessaire à un groupe d’affectation pour corriger les problèmes de conformité. Fournit une tendance pour les 10 derniers mois.
    Vulnérabilité de l'application : exécution de SLA par groupe d'affectation

    Ligne multiple Ligne multiple

    		 Temps nécessaire par un groupe d’affectation pour corriger les vulnérabilités de l’application. Fournit une tendance pour les 10 derniers mois.
    Vulnérabilité de conteneur : exécution de SLA par groupe d'affectation

    Ligne multiple Ligne multiple

    		 Temps nécessaire par un groupe d’affectation pour corriger les vulnérabilités du conteneur. Fournit une tendance pour les 10 derniers mois.
    Tableau 6. Onglet Renseignements sur les vulnérabilités
    Titre Type Description
    Vulnérabilités avec le score EPSS >= 0,9 Table Vue de liste complète de toutes les entrées vulnérables (CVE ou TPE) dont le score EPSS est supérieur ou égal à 0,9, ainsi que les détails suivants.
    • ID : ID CVE de la vulnérabilité
    • Score de l'EPSS
    • Dernière modification de l'EPSS
    • CISA KEV BOD 22-01 : Indique si l’entrée existe dans la CISA KEV BOD (Binding Operational Directive 22-01)
    • VI totaux : nombre total de VI qui existent pour cette entrée de vulnérabilité.
    • Total des VI de conteneurs : nombre total de VI de conteneurs qui existent pour cette entrée de vulnérabilité.
    • Gravité
    Éléments vulnérables d'hôte externes avec un score EPSS >= 0,9 Score unique Score unique Nombre indiquant le nombre agrégé d’éléments vulnérables de l’hôte orientés vers l’extérieur avec un score EPSS supérieur ou égal à 0,9. Fournit des scores uniques triés par gravité de l’évaluation du risque.
    Éléments vulnérables de l'hôte orientés vers l'extérieur, par niveau de risque Barre empilée Barre empilée Nombre d’éléments vulnérables de l’hôte orientés vers l’extérieur, par cote de risque. Les barres empilables sont classées par score EPSS > = 0,9 et CISA KEV = vrai.
    Éléments vulnérables avec un score EPSS >= 0,9 par niveau de risque Barre empilée Barre empilée Nombre de vulnérabilités avec un score EPSS supérieur ou égal à 0,9, triées par cote de risque. Fournit une répartition par éléments vulnérables d’hôte, éléments vulnérables d’applications et éléments vulnérables de conteneurs.

    Tâches planifiées pour la collecte de données

    Travaux de collecte de données permet de collecter automatiquement les scores d'indicateurs et de répartitions automatisés. Les tâches planifiées suivantes sont exécutées pour collecter automatiquement les scores sur les nouvelles données.
    Avertissement :
    Par défaut, les travaux de collecte de données suivants sont désactivés dans le système de base :
    • Collecte quotidienne de données du tableau de bord unifié
    • Collecte de données hebdomadaire du tableau de bord unifié
    • Collecte de données historiques du tableau de bord unifié

    Avant d’activer les tâches, consultez la base de connaissances.

    Tâche planifiée Fréquence Description
    Collecte de données historiques du tableau de bord unifié Une fois Collecte les scores et les instantanés pour les enregistrements existants.
    Collecte de données hebdomadaire du tableau de bord unifié Hebdomadaire Collecte les données chaque semaine.

    Collecte quotidienne de données du tableau de bord unifié

    		 Quotidien Collecte des données tous les jours.
    Déployer les scores de risque vers l’organisation Quotidien Collecte le score de risque agrégé pour une organisation.
    Renseigner les nombres quotidiens de conformité du cloud Quotidien Collecte les données pour la conformité du cloud.
    Tâche quotidienne de l’EPSS Quotidien Collecte les données EPSS à partir de First.org.
    Une nouvelle table Score de risque de déploiement de l’application [sn_vul_cmn_rollup_app_risk_score] est créée dans le champ d’application commun de vulnérabilité. Cette table est renseignée à l’aide des calculateurs de déploiement suivants via les tâches planifiées de tous les jours.
    Nom du calculateur de cumul Description
    Déploiement du score de risque de l'organisation Cumule les scores de risque pour tous les éléments vulnérables et problèmes de configuration dans une organisation. Il fournit un score de risque global pour une organisation.
    Déploiement de l'élément vulnérable Cumule les scores de risque pour tous les éléments vulnérables dans une organisation, afin de contribuer au score de risque global d’une organisation.
    Déploiement de l'élément vulnérable d'application Cumule les scores de risque pour tous les éléments vulnérables de l’application dans une organisation, afin de contribuer au score de risque global d’une organisation.
    Déploiement de l'élément vulnérable de conteneur Cumule les scores de risque pour tous les éléments vulnérables du conteneur dans une organisation, afin de contribuer au score de risque global d’une organisation.
    Déploiement du résultat de test Cumule les scores de risque pour tous les résultats de test d’une organisation, afin de contribuer au score de risque global d’une organisation.
    Cumul des scores de l'EPSS des NVD aux TPE Cumule les scores EPSS des NVD aux TPE, afin de contribuer au score de risque global d’une organisation.