Gestion des exceptions dans Réponse aux vulnérabilités pour conteneurs

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Lorsque votre organisation n’est pas en mesure de se conformer à une politique, une norme ou une directive publiée en matière de gestion des vulnérabilités ou de sécurité, vous pouvez demander une exception. La gestion des exceptions implique de demander, de réviser, d’approuver ou de rejeter les exceptions à un élément vulnérable de conteneur (CVIT) qui ne peuvent pas être corrigées conformément à la politique.

    Certaines vulnérabilités de conteneur (CVIT) peuvent ne pas avoir de correctif, de correctif ou de solution existant. Lorsqu’une exception est approuvée, cela signifie également que vous acceptez un risque, car vous reconnaissez et acceptez les conséquences d’une non-correction de la vulnérabilité.

    Cycle de vie d’une exception

    Définition d’une exception
    Une exception est une demande de différer le rattrapage d’une CVIT ou d’un RT pour une période spécifiée. Par exemple, en tant que propriétaire de rattrapage, vous pouvez demander une exception si un correctif n’est pas disponible pour une machine.
    Demande d’exception
    En tant que propriétaire du rattrapage, vous pouvez demander une exemption pour un CVIT ou un RT à l’aide du processus de gestion des exceptions. Une fois que l’approbateur d’exception a approuvé cette demande, le CVIT ou le RT passe à un état Différé .
    Approbation d’une demande d’exception
    Les CVIT ou les RT qui ne peuvent pas être corrigés immédiatement sont examinés par des analystes de vulnérabilité, évalués pour le risque et approuvés pour le report jusqu’à ce qu’ils puissent être corrigés. L’approbation d’une demande d’exception peut être un workflow à deux niveaux. Si seul l’approbateur de premier niveau est présent, l’exception peut être demandée et approuvée. Toutefois, s’il n’y a pas d’approbateur de premier niveau, une exception ne peut pas être demandée. Consultez Ajouter un approbateur d’exception pour plus d'informations.
    Remarque :

    À partir de la version 15.0, si vous déployez l’application VR pour la première fois, le concepteur de Réponse aux vulnérabilités flux pour la gestion des exceptions est activé par défaut. Si vous utilisez déjà le workflow, vous pouvez effectuer une mise à jour vers Flow Designer. Dans les deux cas, vous ne pouvez pas revenir au workflow. Pour configurer des règles d’approbation pour la gestion des exceptions et les faux positifs, reportez-vous à la section Configurer les règles d’approbation pour la gestion des exceptions.

    Une fois qu’une demande d’exception pour une CVIT ou une RT est approuvée, vous pouvez effectuer les actions suivantes :
    • Rouvert
    • Supprimer
    • Mettre à jour les champs Affectation à ou Groupes d’affectation
    Suivi d’une demande d’exception
    Après avoir déclenché l’exception, vous pouvez suivre son état à l’aide de l’onglet Approbations de changement d’état du CVIT ou du RT. Si une action est effectuée sur un RT, vous ne pouvez pas suivre l’état des CVIT individuels dans ce RT.
    Expiration d’une demande d’exception
    Lorsqu’une demande d’exception pour une CVIT ou une RT particulière expire, la CVIT ou la RT impactée revient à son état Ouvert .

    Si une seule CVIT ou tous les CVIT d’un RT réussissent lors de l’analyse suivante, les CVIT et, le cas échéant, le champ État RT passent à Fermé avec le sous-état Corrigé.

    Configurer les règles d’approbation

    Affichez et configurez les règles d’approbation en accédant à Tout > Conteneur Vulnerability Response > Administration > Règles d'approbation. Demandez une exception pour les CVIT qui ne peuvent pas être corrigés ou différés immédiatement, en identifiant les vulnérabilités, les éléments de configuration (CI) ou les CVIT impactés. Automatisez le processus de report de la CVIT. Différez les CVIT correspondants en fonction de ces règles lorsque le système identifie ces CVIT.
    Les règles d’approbation suivantes sont expédiées par défaut :
    • Approbation des demandes d’exception : une configuration par défaut avec deux niveaux d’approbation est fournie dans le système de base. Chaque fois qu’il existe une demande d’exception sur un élément vulnérable, la demande d’approbation est envoyée aux utilisateurs ou groupes présents au niveau 1. Une fois approuvé par les approbateurs de niveau 1, il est envoyé aux approbateurs de niveau 2.
      Remarque :
      Vous pouvez modifier les niveaux par défaut et les modifier au besoin. À partir de Réponse aux vulnérabilités pour conteneurs la version 2.0.6, vous pouvez utiliser les propriétés système fournies dans le système de base pour les approbations d’exception via workflow dans la table Propriétés système [sys_properties]. Ainsi, lorsqu’une demande d’exception ou de faux positif est émise via le workflow, elle est envoyée pour approbation aux ID de groupe définis dans la propriété système. Accédez à la Tout > Propriétés système et sélectionnez sn_vul_container.container_exception_approver_L1, sn_vul_container.container_exception_approver_L2ou sn_vul_container.container_false_positive_approver_group pour modifier la valeur de la propriété.
    • Approbation des règles d’exception : il n’a pas de configuration mais deux niveaux d’approbation.
    • Approbation des faux positifs : il a une configuration avec un niveau d’approbation.
    Remarque :
    À partir de la version 2.5 de , vous pouvez configurer les délais d’approbation Réponse aux vulnérabilités pour conteneursdes faux positifs et des exceptions, ainsi que les notifications par e-mail pour l’approbateur et le demandeur après un nombre de jours défini. Lorsqu’une demande est émise, l’élément vulnérable du conteneur passe à l’état En cours de révision et un enregistrement de changement d’état est créé. Si l’approbateur ne répond pas dans le délai configuré, l’élément vulnérable du conteneur ou la tâche de rattrapage revient à l’état Ouvert. L’état précédent est stocké dans le champ backup_state . Pour en savoir plus, consultez Configurer les règles d’approbation pour la gestion des exceptions.