Lancer une nouvelle analyse pour l’intégration de vulnérabilité Rapid7

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 7 minutes de lecture

    • Lancez de nouvelles analyses dans la Rapid7 plateforme pour vérifier que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés.

    Avant de commencer

    Remarque :
    Les nouvelles analyses pour Rapid7 les éléments vulnérables de l’entrepôt de données ne sont pas prises en charge.

    Vous pouvez lancer de nouvelles analyses à partir des espaces de travail Réponse aux vulnérabilités. Pour plus d'informations, consultez Analyser de nouveau les enregistrements et les tâches de rattrapage dans le Espace de travail du gestionnaire de vulnérabilités et Analyser de nouveau les éléments vulnérables et les tâches de rattrapage dans le Espace de travail de remédiation IT.

    Rôles requis : Rôles requis : sn_vul.write_all ou sn_vul.write_assigned

    Pourquoi et quand exécuter cette tâche

    Pour les nouvelles analyses dans l’environnement classique, reportez-vous aux sections suivantes.

    Les nouvelles analyses sont prises en charge. Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables importés depuis Rapid7 InsightVM les intégrations de votre Now Platform® instance.
    Remarque :
    Le Rapid7 scanner est désactivé par défaut dans l’application Réponse aux vulnérabilités . Si vous tentez d’effectuer une nouvelle analyse à partir des éléments vulnérables ou des tâches de rattrapage qui ont Rapid7 l’application comme source, le bouton Analyser de nouveau n’est pas disponible.

    Pour réduire les frais généraux et le volume liés aux analyses complètes planifiées, les propriétaires de rattrapages, les spécialistes informatiques, les analystes de vulnérabilité ou les gestionnaires de vulnérabilité peuvent lancer de nouvelles analyses ciblées à la demande pour détecter des vulnérabilités spécifiques sur les actifs (éléments de configuration) de leurs environnements. Vous pouvez lancer de nouvelles analyses à partir d’enregistrements d’éléments vulnérables (VI), de tâches de rattrapage (RT), d’entrée tierce (TPE) ou d’éléments découverts à partir de votre Now Platform® instance.

    Les nouvelles analyses vous permettent de vérifier que vos activités de rattrapage, correctifs et autres actions ont correctement corrigé des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    Par exemple, l’ensemble de votre environnement est analysé une fois toutes les trois semaines. L’analyse complète la plus récente a été terminée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines pour la prochaine analyse planifiée afin de vérifier qu’elle a été corrigée. Pour vérifier que votre correctif a corrigé avec succès une vulnérabilité critique découverte lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform pour rechercher Rapid7 les éléments vulnérables. Vous pouvez afficher les résultats mis à jour sur vos éléments vulnérables avec la prochaine importation planifiée de Vulnérabilité et Intégrations d’éléments Rapid7 InsightVM vulnérables.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez déclencher une nouvelle analyse et ouvrez-le.
      Remarque :
      Lancez de nouvelles analyses pour les VI ayant Rapid7 comme source. Vérifier Rapid7 s’affiche dans la colonne Source des vues de listes des VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le générateur de conditions pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue de liste des VI, dans le coin supérieur gauche de la liste, cliquez sur l’icône d’engrenage et déplacez la source de Disponible à Sélectionnée.

      Lorsque vous lancez de nouvelles analyses, évitez de déclencher simultanément des analyses pour un ID source à partir de plusieurs sources. La dernière demande d’analyse générera une erreur.

      Par exemple, si vous lancez une nouvelle analyse d’un élément vulnérable à partir d’un enregistrement de VI et que vous demandez également une autre analyse à partir d’un enregistrement de tâche de rattrapage qui contient ce même élément vulnérable, il est probable que la deuxième demande échoue.

      Champ source mis en surbrillance sur le VI
    3. Vous pouvez également accéder à Réponse aux vulnérabilités > Tâches de remédiation ou Réponse aux vulnérabilités > Bibliothèques > tiers pour la tâche de rattrapage ou les enregistrements d’entrée tierce, respectivement, que vous souhaitez utiliser pour la nouvelle analyse.

      Selon votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un enregistrement de VI unique, l’élément vulnérable doit provenir du Rapid7 produit et se trouver dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI que vous sélectionnez dans la vue de liste doivent provenir du Rapid7 produit et dans un état autre que Fermé.
      • Sur un enregistrement de tâche de rattrapage, la tâche de rattrapage peut être dans n’importe quel état autre que Fermé et tous les VI associés doivent provenir du Rapid7 produit.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement de VI associé du Rapid7 produit dans un état autre que Fermé.
      • Sur un enregistrement d’élément détecté, l’élément vulnérable doit provenir du Rapid7 produit et se trouver dans un état autre que Fermé.
    4. Dans l’angle supérieur droit de l’enregistrement, cliquez sur Analyser à nouveau.
      Pour les vues de listes, sélectionnez les éléments vulnérables de la liste que vous souhaitez analyser à nouveau et, dans la liste Action sur les lignes sélectionnées , sélectionnez Analyser à nouveau.
    5. Dans la fenêtre contextuelle qui s’affiche, confirmez la nouvelle analyse.
      Un message s’affiche indiquant que votre analyse est en cours de traitement (mise en file d’attente). Dans le message, cliquez sur le lien Afficher les détails pour vérifier l’état de la nouvelle analyse (analyse enfant) et affichez toutes les autres nouvelles analyses lancées à partir de l’enregistrement. L’état de toutes les nouvelles analyses se trouve à tout moment dans la liste connexe Analyses au bas des enregistrements de VI, de tâche de rattrapage, de TPE et d’éléments détectés que vous utilisez pour lancer les nouvelles analyses.

      Lorsque l’analyse est en cours, le champ État passe à Analyse et le champ Message d’état affiche L’analyse est en cours.

      Remarque :
      Chaque nouvelle analyse prend en charge 500 actifs par analyse. Si votre demande comporte plus de 500 actifs, davantage d’analyses enfants sont demandées.

      Votre Now Platform® instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine avec succès ou jusqu’à ce que la période de suivi définie expire, selon la première éventualité.

      Figure 1. Nouvelle analyse en cours
      Champs de message d’état et d’état mis en surbrillance

      Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état de Now Platform® votre nouvelle analyse a cessé, et non au moment où la nouvelle analyse réelle s’est arrêtée. Tous les VI qui sont passés ou passeront à l’état Fermé/Corrigé sont importés lors de la prochaine importation planifiée des Rapid7 intégrations.

      Figure 2. Nouvelle analyse terminée
      Informations sur l’analyse terminée mises en surbrillance

      Vous pouvez également lancer une nouvelle analyse sur demande pour une vulnérabilité spécifique sur un actif spécifique. Vous pouvez afficher les résultats de ces analyses une fois l’analyse terminée sur le VI actualisé, la tâche de rattrapage, le TPE et les enregistrements d’éléments détectés à partir desquels vous avez lancé l’analyse.

      La valeur du champ État sur les enregistrements d’analyse de vulnérabilité est importée de Rapid7. Lorsque l’analyse est terminée avec succès, l’état est défini sur Terminé. Si l’analyse ne se termine pas correctement, une valeur d’erreur s’affiche.

      Analyses automatiques et analyses planifiées

      En tant que gestionnaire ou analyste des vulnérabilités, vous pouvez spécifier et planifier le moment où de nouvelles analyses sont lancées pour les VI et les RT. Vous pouvez également activer les analyses automatiques pour les VI et les tâches de rattrapage qui sont définies pour être résolues.

    6. Pour modifier les paramètres d’intégration sur l’instance d’intégration, accédez à Rapid7 Vulnerability Integration > Administration > Configuration.
    7. Dans l’enregistrement de configuration Rapid7, s’il n’est pas sélectionné, dans la liste Type d’intégration, sélectionnez Rapid7 InsightVM.
    8. À droite du champ Instance d’intégration , cliquez sur l’icône d’informations, puis sur Enregistrement ouvert.
    9. Sur l’enregistrement Rapid7 InsightVM de l’instance d’intégration, localisez les paramètres de planification des analyses et modifiez-les si nécessaire.
      Paramètres d’analyse

      scan_on_resolved Indique si l’analyse est lancée lorsqu’une vulnérabilité est résolue. La valeur par défaut est faux (désactivé).

      Si ce paramètre est défini sur vrai, chaque fois qu’un VI ou un RT est défini sur Résolu, le workflow pour réanalyser le VI et la tâche de rattrapage respectifs est déclenché automatiquement.

      scan_start_time
      Définissez l’heure de début de l’analyse au format HH :mm (format 24 heures) dans le fuseau horaire UTC pour l’heure de début de la fenêtre dans laquelle vous souhaitez que les nouvelles analyses soient disponibles.

      La valeur par défaut est 00:00.

      scan_end_time
      Définissez l’heure de fin de l’analyse au format HH :mm (format 24 heures) dans le fuseau horaire UTC pour l’heure de fin de la fenêtre d’analyse disponible.

      La valeur par défaut est 23:59.

      Si une analyse est lancée dans la fenêtre de temps prévue, elle se lance instantanément. Si l’analyse est lancée en dehors de la fenêtre, elle est mise en file d’attente pour la fenêtre planifiée suivante.

      Par exemple, si vous entrez une heure de début de 00h00 pour le scan_start_time paramètre et une scan_end_time heure de 10h00 le matin même, les analyses planifiées ou lancées manuellement en dehors de la fenêtre horaire de minuit à 10h sont mises en file d’attente et lancées à l’heure de début de la fenêtre horaire du jour suivant 00:00.

      Dans le même exemple, si vous lancez manuellement une nouvelle analyse à 11h00, la nouvelle analyse n’est pas immédiatement lancée, car elle se trouve en dehors des heures d’analyse configurées disponibles. La demande d’analyse reste en file d’attente jusqu’au début de la fenêtre horaire du jour suivant, dans cet exemple 00:00.