Fermer automatiquement les détections obsolètes dans Vulnerability Response

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Activez la fermeture automatique des détections périmées pour fermer automatiquement les détections vulnérables périmées qui n’ont pas été trouvées récemment par vos intégrations tierces.

    Avant de commencer

    Rôle requis : sn_vul.vulnerability_admin ou sn_vuln.admin (déconseillé), ou gestionnaire de vulnérabilités avec le rôle granulaire sn_vul.manage_auto_close_stale_vi.

    Pour plus d’informations sur cette fonctionnalité, les termes clés et toute configuration qui peut être requise pour vos intégrations tierces qui importent des données de détection, consultez Fermeture des détections obsolètes dans Vulnerability Response pour plus d’informations.

    Procédure

    1. Accédez à la Réponse aux vulnérabilités > Administration > Configuration de fermeture automatique > Détections périmées.
      Le formulaire Configuration périmée de fermeture automatique s’affiche.
    2. Renseignez les champs.
    3. Pour le champ Fermer automatiquement les détections périmées en fonction de , choisissez une option pour votre recherche.

      Les deux recherches correspondent à l’âge des détections anciennes et obsolètes en nombre de jours jusqu’à une date fournie par votre scanner.

      • Dernières détections trouvées. Cette option recherche la date la plus récente ou la plus récente à laquelle les détections ont été trouvées à nouveau par le scanner.
        Remarque :
        Pour Rapid7 les utilisateurs TVM Microsoft , un message d’avertissement s’affiche lorsqu’ils nécessitent des informations de détection actuelles.

        Si vous sélectionnez Dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’une des intégrations complètes des éléments vulnérables au cours des Rapid7 sept derniers jours.

        Si vous sélectionnez Dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’intégration des vulnérabilités des machines Microsoft TVM (importation complète) au cours des sept derniers jours.

      • Dernières ressources analysées. Cette option recherche la date la plus récente à laquelle un actif a été scanné pour la dernière fois par un analyseur tiers.
    4. Pour Rapid7 les utilisateurs TVM Microsoft uniquement, vérifiez que toutes les intégrations requises sont activées.
      Voir Présentation de Rapid7 Vulnerability Integration et Présentation de l’intégration Microsoft Threat and Vulnerability Management pour plus d’informations.
    5. Pour activer le module, cochez la case Actif pour le sélectionner.
    6. Dans le champ Dernières détections trouvées (il y a x jours ), entrez l’âge des détections plus anciennes et périmées, en nombre de jours.

      La valeur par défaut est de 90 jours. Vous pouvez entrer n’importe quelle valeur positive pour le nombre de jours. Cette valeur est utilisée pour correspondre à une date fournie par votre scanner. Avec 90 et Dernières détections trouvées affichées, toutes les détections introuvables au cours des 90 derniers jours sont automatiquement fermées. Lorsque 90 et Derniers actifs analysés sont affichés, toutes les détections associées à des actifs non analysés au cours des 90 derniers jours sont automatiquement fermées.

      Remarque :

      Il existe une relation entre le champ Dernières détections trouvées/Dernières analyses d’actifs (il y a x jours) pour cette fonctionnalité et le champ Importer depuis sur l’intégration complète des éléments vulnérables (API) Rapid7 et l’intégration des vulnérabilités des machines Microsoft TVM.

      Pour ces intégrations, le champ Importer depuis sur les pages de configuration est vide par défaut.

      Si vous ne saisissez aucune valeur ou si le champ n’a pas de valeur, les données pour le nombre de jours configurés dans le champ Dernières détections trouvées/Dernières scan des ressources (il y a x jours) sont utilisées .

      Par exemple, si le nombre de jours défini dans le formulaire de configuration de fermeture automatique est de 90 et que le champ Importer depuis est vide sur les pages de configuration de l’intégration, la première exécution de l’intégration importe les données des 90 derniers jours. Les champs Importer depuis pour l’intégration Rapid7 complète des éléments vulnérables - API et l’intégration des vulnérabilités des machines Microsoft TVM sont modifiables, de sorte que vous pouvez également fournir les valeurs de votre choix. La valeur de 90 jours est fournie par défaut si le champ reste vide afin que la fonctionnalité de fermeture automatique ne ferme pas les faux positifs.

      Cette relation entre ces champs s’applique uniquement à la première exécution de l’intégration. Par la suite, la modification du champ Dernières détections trouvées/Dernières analyses d’actifs (il y a jours) sur le formulaire Fermer automatiquement les détections vulnérables périmées n’affecte pas le champ Importer depuis sur les pages de configuration de l’intégration. Ce champ prend la valeur de l’heure de début de la première exécution afin que les exécutions d’intégration suivantes importent uniquement les informations delta.

    7. Facultatif : Cochez la case Ignorer les détections obsolètes des VI différés pour ignorer les détections obsolètes qui sont mappées sur des VI différés ou sur des VI actuellement en cours de révision pour le report.

      Si vous laissez cette option désactivée, toutes les détections qui correspondent à vos critères seront fermées et mappées aux VI différés ou aux VI en cours d’examen pour le report. Les VI différés ou les VI en cours de révision qui correspondent à ces détections sont également automatiquement fermés en fonction de la logique de déploiement. Pour en savoir plus sur la logique de déploiement, reportez-vous à la section Fermeture des détections obsolètes dans Vulnerability Response.

      Si vous activez cette option, toutes les détections qui correspondent à vos critères et qui correspondent à des VI différés ou à des VI en cours d’examen en vue d’un report, sont ignorées lors de la fermeture automatique.

    8. Facultatif : Décochez la case Ignorer les détections obsolètes pour les VI fermés .
      Par défaut, cette case est cochée afin que le VI fermé ne soit pas rouvert lorsqu’une nouvelle détection associée à ce VI fermé est identifiée.

      Pour en savoir plus sur la logique de déploiement, reportez-vous à la section Fermeture des détections obsolètes dans Vulnerability Response.

    9. Cliquez sur Mettre à jour pour enregistrer vos modifications.

      La tâche planifiée, Fermer automatiquement les détections périmées, s’exécute quotidiennement. La tâche identifie si vous avez sélectionné la date à laquelle les détections ont été trouvées pour la dernière fois ou si les actifs ont été analysés pour la dernière fois. Les détections correspondantes passent à l’état Périmé. La fonctionnalité de fermeture automatique de la détection obsolète ferme uniquement les détections obsolètes pour les instances d’intégration actives. Les détections et éléments vulnérables associés aux instances d’intégration actives sont fermés.

      Une fois que les détections sont marquées comme périmées, si le scanner signale avoir trouvé à nouveau cette détection, le champ État des détections passe à Ouvert. Les éléments vulnérables correspondants à la détection sont également rouverts.

      De plus, si la détection est marquée comme périmée et que le scanner constate qu’elle est réparée, la détection passe à l’état Fermé. L’état s’étend également aux VI.