Réponse aux vulnérabilités Règles de cibles de rattrapage

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Les règles de cible de rattrapage définissent le délai prévu pour le rattrapage des éléments vulnérables (VI), tout comme les SLA fournissent un délai pour le rattrapage de la vulnérabilité elle-même. Par exemple, si un actif contient des données PCI (données de carte de crédit), la vulnérabilité de cet élément doit être corrigée dans les 30 jours, conformément à la norme PCI DSS.

    Les gestionnaires de vulnérabilité peuvent créer des règles de cible de rattrapage en définissant :
    • La cible de rattrapage
    • La cible de rappel
    • Les destinataires des rappels et des notifications : qui doit être notifié lorsque les éléments vulnérables (VI) ont dépassé la date cible de rappel ou de rattrapage et n’ont pas été corrigés ?

    Les analystes et les gestionnaires de vulnérabilité peuvent voir la date cible de rattrapage dans le formulaire d’élément de vulnérabilité et les vues de liste, tant que les éléments vulnérables ne sont pas à l’état Différé, Résolu ou Fermé . Les règles de cibles de rattrapage sont exécutées lors de l’importation et réexécutées si un VI est rouvert.

    La date cible de rattrapage est codée par couleur sur la vue de liste des VI sous forme de points, comme suit :
    • Les éléments vulnérables qui n’ont pas encore atteint leur date de notification sont affichés en vert.
    • Les éléments vulnérables approchant de la date cible de rattrapage sont affichés en orange.
    • Les éléments vulnérables dépassant la date cible de rattrapage sont affichés en rouge.

    Un e-mail récapitulatif, par règle de cible de rattrapage, est envoyé lorsqu’un ou plusieurs VI approchent de leur date cible de rattrapage ou que la date cible de rattrapage est dépassée.

    Les règles de cibles de rattrapage peuvent être désactivées ou supprimées

    Lorsqu’une règle est désactivée, les dates cibles de rattrapage actuelles pour les éléments vulnérables auxquels elle s’applique sont effacées. Si un VI satisfait à une règle active, cette règle est appliquée, sinon le VI n’a pas de règle ni de date cible, et son état est Aucune cible.

    Lorsque des règles sont supprimées, la date cible de rattrapage et les champs connexes sur les VI fermés, différés ou résolus sont conservés. La date cible de rattrapage et les champs connexes sur les VI non fermés sont effacés et toutes les règles dépendantes sont réappliquées.

    Scénario de règle de cible de rattrapage

    Lorsque plusieurs règles cibles de rattrapage sont appliquées au même élément vulnérable, la règle la plus restrictive s’applique.
    Remarque :
    Les cibles de rattrapage sont calculées à partir de la dernière date d’ouverture additionnée au nombre de jours (mesurés par incréments de 24 heures).

    À partir de la version 17.1, les cibles de rattrapage sont calculées à partir de la cible à partir du (date). La valeur par défaut reste Dernière date d’ouverture.

    Par exemple, si un élément vulnérable répond à la condition de deux règles de cible de rattrapage :

    Scénario : l’élément vulnérable a été ouvert pour la dernière fois le 03/01/2018 à 10:00:00.
    • Règle de cible de rattrapage 1 : Dernière ouverture le 03/07/2018 ; la cible de rattrapage est de 15 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 16/03/2018 10:00:00.
    • Règle de cible de rattrapage 2 : Dernière ouverture le 10/03/2018 ; la cible de rattrapage est de 10 jours à compter de sa dernière ouverture ; La date cible de rattrapage calculée est le 11/03/2018 10:00:00.
    Dans ce scénario, la règle de cible de rattrapage 2 s’applique à l’élément vulnérable, car il a la date la plus restrictive. 10 jours depuis la première identification de l’élément vulnérable par rapport à 15 jours.
    Remarque :
    Une fois la règle de cible de rattrapage définie, les dates cibles de rattrapage sont calculées par la Evaluate remediation targets tâche planifiée.

    À propos de la tâche planifiée Évaluer les cibles de rattrapage

    Evaluate remediation targets s’exécute une fois à 4:00:00 tous les jours.

    Il itère toutes les règles de vulnérabilité actives, en commençant par celles dont la date cible de rattrapage est la plus ancienne. Il examine tous les éléments vulnérables qui :
    • ne sont pas à l’état Fermé, Différé ou Résolu .
    • N’ont pas de date cible de rattrapage.
    • Avoir une date cible de rattrapage ultérieure à la date de la règle de cible de rattrapage.

    Evaluate remediation targets Ajoute une date cible de rattrapage, s’il n’en existe pas, ou si une règle aboutit à une date antérieure à celle de l’enregistrement, il met à jour la date cible existante. Enfin, il met à jour les champs Cible de rattrapage et État du rattrapage dans le formulaire d’élément vulnérable.

    Une fois la Evaluate remediation targets tâche exécutée, les notifications disponibles sont envoyées.

    Evaluate remediation targets efface les champs de rattrapage sur le VI et arrête l’envoi de notifications.

    Lorsqu’elle est activée, cette sn_sec_cmn.evaluate_targetmissed_records propriété empêche la tâche planifiée d’évaluer Remediation Target Rules les VI manqués. Cette propriété est activée par défaut.

    Réapplication des règles de cibles de rattrapage

    Lorsque vous modifiez une règle de cible de rattrapage, utilisez le bouton Appliquer les changements de la page de liste des règles de cibles de rattrapage pour réexécuter toutes les règles modifiées sur tous les VI ouverts actifs, à l’exception de ceux dont l’état est Fermé, Différé ou Résolu . Selon le nombre d’EV que vous avez, cette opération peut prendre un certain temps.
    Remarque :

    Si la tâche planifiée Evaluate remediation targets est en cours d’exécution, vous ne pouvez pas lancer un processus de nouvelle demande. Toutefois, si un processus de réapplication est déjà en cours d’exécution et le travail planifié qu’il a déclenché, ils s’exécutent en parallèle.

    Les processus de réapplication sont Réponse aux vulnérabilitésRéponse aux vulnérabilités des applications indépendants et peuvent s’exécuter en parallèle.

    Important :
    En tant qu’administrateur et analyste des vulnérabilités, vous pouvez obtenir la dernière date cible de rattrapage pour les éléments vulnérables sélectionnés dans le Espace de travail du gestionnaire de vulnérabilités. Cette méthode est plus efficace que l’exécution des règles de cibles de rattrapage pour tous les éléments vulnérables de l’interface classique utilisateur, qui est un processus chronophage. Pour plus d'informations, consultez Réévaluer les propriétés de rattrapage des enregistrements dans le Espace de travail du gestionnaire de vulnérabilités.