Vue d’ensemble des faux positifs

  • Rversion finale: Washingtondc
  • Mis à jour 6 févr. 2024
  • 3 minutes de lecture

    • Un faux positif est une condition dans laquelle le scanner signale qu’une vulnérabilité existe dans le système, alors qu’en réalité il n’y a pas de vulnérabilité. Il peut y avoir plusieurs raisons telles qu’une classification incorrecte, une logique ou un algorithme incorrect dans le scanner. Le propriétaire de rattrapage peut marquer des éléments vulnérables (VI) ou des tâches de rattrapage (RT) comme faux positifs.

    Cycle de vie d’un faux positif

    Signification de faux positif
    Le scanner donne parfois un avertissement, alors qu’en réalité il n’y a pas de vulnérabilité. Par exemple, si un élément de configuration a été mis hors service, mais que le scanner soulève toujours un problème lui étant lié, marquez-le comme faux positif.
    Marquage comme faux positif
    Pour en savoir plus sur le marquage d’un VI ou d’un RT comme faux positif, reportez-vous à la section Marquer comme faux positif.
    Utilisation du faux positif
    Une fois qu’un VI ou un RT est marqué comme faux positif, l’état est mis à jour en Fermé et le sous-état est modifié en Faux positif. Les actions suivantes peuvent être effectuées :
    • Rouvrir
    • Supprimer
    • Mettez à jour la date dans le champ Jusqu’à . Cette date est ensuite utilisée comme date d’expiration du faux positif.
    Remarque :
    S’il n’est pas approuvé, le VI ou le RT revient à son état précédent.
    Approbation d’un faux positif
    L’approbateur peut approuver le faux positif à partir de son workflow d’approbation.
    Remarque :

    À partir de Vulnerability Response v15.0, si vous déployez l’application VR pour la première fois, le Flow Designer pour la gestion des exceptions est activé par défaut. Si vous utilisez déjà le workflow, vous pouvez effectuer la mise à jour vers Flow Designer. Dans les deux cas, vous ne pouvez pas le repasser au workflow. Pour configurer des règles d’approbation pour la gestion des exceptions et les faux positifs, reportez-vous à la section Configurer les règles d’approbation pour Exception Management.

    Rouvrir un faux positif
    Un VI ou un RT dans un sous-état de faux positif peut être rouvert à tout moment.
    Suivi d’un faux positif
    Utilisez la section Approbations de changement d’état pour suivre l’état du faux positif. Une fois approuvé, l’état du VI ou du RT est mis à jour sur Fermé et le motif est Faux positif.
    Expiration d’un faux positif
    Seul l’approbateur de faux positif peut définir une date de fin pour le faux positif, pour l’expiration du VI ou du RT. En outre, seuls les faux positifs pour lesquels l’approbateur a fourni une date de fin peuvent expirer. Cette date peut être fournie une fois le faux positif approuvé.
    Un faux positif sans date de fin est un faux positif permanent. Après l’expiration du faux positif, l’état du VI ou du VR revient à Ouvert.
    Remarque :

    À partir de la version 21.0 de Vulnerability Response, vous pouvez configurer les délais d’approbation des faux positifs et des exceptions, ainsi que des notifications par e-mail pour l’approbateur et le demandeur après un nombre défini de jours. Lorsqu’une demande est émise, l’élément vulnérable passe à l’état En cours de révision et un enregistrement de changement d’état est créé. Si l’approbateur ne répond pas dans le délai configuré, l’élément vulnérable ou la tâche de rattrapage revient à l’état Ouvert. L’état précédent est stocké dans le champ backup_state . Pour en savoir plus, consultez Configurer les règles d’approbation pour Exception Management.

    Figure 1. Processus d’approbation des faux positifs avant la version 15.0
    Cycle de vie d’un faux positif.

    Le processus d’approbation est automatique si tous les VI réussissent l’analyse suivante. Les VI se ferment automatiquement, quel que soit l’état actuel. Les champs des VI ou, le cas échéant, de l’état RT basculent sur Fermé avec le sous-état Fixe.

    Pour plus d'informations, consultez Marquage et approbation d’un faux positif.