Triage automatique des vulnérabilités
L’examen et le triage des nouvelles vulnérabilités sont nécessaires pour garantir une correction réussie. Transformez les importations de vulnérabilités en tâches de remédiation grâce à l’affectation automatisée des éléments vulnérables (VI), au calcul du risque, aux cibles de remédiation et au regroupement des VI.
En commençant par les vulnérabilités importées, rapprochez les actifs introuvables dans la CMDB, classez les résultats par ordre de priorité, traduisez-les en activités de rattrapage qui sont automatiquement affectées, orchestrez le processus de rattrapage et confirmez son achèvement par une analyse de validation.
Les nouveaux éléments vulnérables sont généralement triés en tâches de rattrapage lors de leur importation, en fonction des règles de tâches de rattrapage. Parfois, les éléments vulnérables ne peuvent pas être regroupés ou ne contiennent pas d’élément de configuration reconnu.
- Connectez-vous à votre instance Réponse aux vulnérabilités.
- Validez le fait que vos règles (recherche de CI, affectation) pour l’élément vulnérable fonctionnent comme prévu. Pour plus d’informations sur la révision des règles de recherche de CI, reportez-vous à la section Règles de recherche de CI pour identifier les éléments de configuration à partir d’intégrations de Réponse aux vulnérabilités vulnérabilité tierces. Pour en savoir plus sur les règles d’affectation, reportez-vous à la section Réponse aux vulnérabilités Vue d’ensemble des règles d’affectation.Remarque :En raison du volume important d’importations de données, il convient d’être prudent avec l’affectation automatisée des éléments vulnérables.
- Vérifiez que vos cibles de rattrapage sont correctes. Reportez-vous à la rubrique Réponse aux vulnérabilités Règles de cibles de rattrapage pour en savoir plus sur le fonctionnement et la révision des règles de cibles de rattrapage.
- Affichez les éléments vulnérables non groupés.
- En examinant les éléments vulnérables non groupés, envisagez de réviser vos règles de groupe et d’effectuer une nouvelle analyse. Consultez Créer ou modifier Réponse aux vulnérabilités des règles de tâche de rattrapage pour plus d'informations.
- Regroupez manuellement les éléments vulnérables. Créer manuellement une tâche de rattrapage dans Réponse aux vulnérabilités pour plus d’informations.
- Révisez les scores de risque pour les éléments vulnérables dans vos tâches de rattrapage. Consultez Réponse aux vulnérabilités Calculateurs et règles du calculateur de vulnérabilité pour plus d'informations.
- Fermez les éléments vulnérables plus anciens qui n’ont pas été détectés récemment par vos intégrations tierces. Consultez Fermeture automatique des éléments vulnérables et des détections pour plus d'informations.
- Afficher et reclasser des éléments de configuration sans correspondance.
- Recherchez ce qui doit être fait pour la correction.
Cette étape peut inclure :
- Déterminez ce qu’il faut traiter maintenant et ce que vous pouvez différer. Cette détermination est souvent basée sur le score de risque, les systèmes affectés et les correctifs avec des fenêtres de changement.Remarque :Les règles de cibles de rattrapage appartiennent aux éléments vulnérables. Ces règles sont exécutées lorsque l’élément vulnérable est importé. Ces règles ont été créées précédemment dans l’assistant de configuration.
- Actualisez les éléments vulnérables, si nécessaire, et Afficher l’état de la cible de rattrapage d’un Réponse aux vulnérabilités élément vulnérable.
- Créez une demande de changement et affectez la tâche de rattrapage à un groupe d’affectation (Opérations informatiques) pour le rattrapage.Remarque :Si la vulnérabilité constitue un incident de sécurité et que le module d’extension Réponse aux incidents de sécurité (com.snc.security_incident) est activé, vous pouvez créer des enregistrements d’incident de sécurité à partir des tâches de rattrapage.
- Après avoir soumis une ou plusieurs demandes de changement, passez l’état du groupe à En cours d’examen.
- Déterminez ce qu’il faut traiter maintenant et ce que vous pouvez différer. Cette détermination est souvent basée sur le score de risque, les systèmes affectés et les correctifs avec des fenêtres de changement.