Définir vos propres accords sur les niveaux de service (SLA) à l’aide de règles de cibles de remédiation
Les règles de cibles de rattrapage définissent le délai prévu pour le traitement des résultats, de la même manière que les accords sur les niveaux de service (SLA) fixent des délais pour la correction des vulnérabilités. Vous pouvez également envoyer des notifications aux utilisateurs et aux groupes lorsque les dates cibles approchent et lorsqu’elles sont dépassées.
Par exemple, si un actif contient des données de l’industrie des cartes de paiement (PCI), telles que des informations de carte de crédit, la vulnérabilité doit être résolue dans les 30 jours, conformément à la norme de sécurité des données PCI DSS (PCI DSS). Vous pouvez créer des règles de cibles de rattrapage en spécifiant :
- La cible de remédiation : délai auquel la vulnérabilité doit être corrigée.
- Cible de rappel : date à laquelle les rappels doivent commencer.
- Destinataires des rappels et des notifications : qui doivent être notifiés si les résultats dépassent les dates cibles de rappel ou de rattrapage sans être corrigés.
- Méthode de recalcul : comment le système met à jour la date de la cible de rattrapage (RT) lorsque la cote de risque d’un élément vulnérable change.
Les analystes et les gestionnaires de vulnérabilité peuvent afficher la date cible de rattrapage dans les vues de formulaire et de liste, à condition que les résultats ne soient pas à l’état Différé, Résolu ou Fermé. Les règles de cibles de rattrapage sont évaluées pendant l’importation et réévaluées si un résultat est rouvert.
- Vert : résultats qui n’ont pas atteint leur date de notification.
- Orange : résultats approchant de la date cible de rattrapage.
- Rouge : résultats dépassant la date cible de rattrapage.
Un e-mail récapitulatif est envoyé pour chaque règle de cible de rattrapage lorsqu’un ou plusieurs résultats approchent de leur date cible de rattrapage ou l’ont dépassée.
Recalcul de la date cible de rattrapage
À partir de la version 30.1.4 d’Unified Security Exposure Management et de la version 26.4.4 de Vulnerability Response, les administrateurs peuvent configurer la façon dont le système recalcule la date cible de rattrapage lorsque la cote de risque d’un résultat change.
- Dans des conditions normales, le système calcule la date RT comme suit :
Cible de rattrapage = (date) + cible (jours) à partir de la cible
- Lorsque la cote de risque change, le système calcule une nouvelle date de RT à l’aide de la formule ci-dessous. La méthode de recalcul sélectionnée détermine si cette nouvelle date remplace la date de tâche de rattrapage existante.
Date RT recalculée = heure du changement de champ + cible (jours)
L’heure de changement de champ capture le moment où la cote de risque a changé. La cible (jours) utilise le SLA de la nouvelle cote de risque.
| Méthode de recalcul | Description |
|---|---|
| Calcul par défaut | Conserve la date de RT existante. La date recalculée n’est pas appliquée. |
| Recalculer à partir de la date de changement de risque | Met à jour la date cible de rattrapage sur : heure du changement de champ + cible (jours) en fonction de la nouvelle cote de risque. |
| Recalculer depuis la date de changement du risque et tjs définir sur la date cible la plus proche | Compare la date RT existante avec l’heure du changement de champ + la cible (jours) et applique la date antérieure. |
| Recalculer dep. date de changmt du risque et déf. sur date cible la + proche qd cote de risque monte | Si le risque augmente : Compare la date de tâche de rattrapage existante et la date de tâche de rattrapage recalculée et applique la date la plus ancienne. Si le risque diminue : Applique Heure de changement de champ + Cible (jours) sans comparaison. |
Pour connaître les étapes de configuration, reportez-vous à la section Recalculer une date cible de rattrapage.
Désactivation ou suppression des règles de cibles de rattrapage
- Désactivation d’une règle : lorsqu’une règle est désactivée, les dates cibles de rattrapage actuelles pour les résultats auxquels elle a été appliquée sont effacées. Si un résultat répond aux critères d’une règle active, cette règle est appliquée ; sinon, le résultat n’a pas de date cible et son état est défini sur « Aucune cible ».
- Suppression d’une règle : lorsqu’une règle est supprimée, la date cible de rattrapage et les champs connexes sur les résultats fermés, différés ou résolus sont conservés. Pour les résultats non fermés, ces champs sont effacés et toutes les règles dépendantes sont réappliquées.
Scénario de règle de cible de remédiation
Lorsque plusieurs règles de cibles de rattrapage s’appliquent aux mêmes résultats, la règle la plus restrictive est utilisée.
Lescibles de rattrapage sont calculées à partir de la cible à partir du (date). La valeur par défaut reste Dernière date d’ouverture.
Par exemple, si un résultat répond aux conditions de deux règles de cible de rattrapage :
- Règle 1 : Dernière ouverture le 03/07/2018 ; la cible de rattrapage est de 15 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 16/03/2018 10:00:00.
- Règle 2 : Dernière ouverture le 03/10/2018 ; la cible de rattrapage est de 10 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 03/11/2018 10:00:00.
Dans ce scénario, la règle 2 s’applique au résultat parce qu’il a la date la plus restrictive (10 jours depuis que l’élément a été identifié pour la première fois, contre 15 jours).
À propos de la tâche planifiée Évaluer les cibles de remédiation
Evaluate remediation targets La tâche s’exécute une fois par jour à 4:00:00.
Il traite toutes les règles actives, en commençant par celles dont les dates cibles de rattrapage sont les plus précoces. Le poste évalue les résultats suivants :
- ne sont pas à l’état Fermé, Différé ou Résolu.
- N’ont pas de date cible de rattrapage.
- Avoir une date cible de rattrapage ultérieure à la date spécifiée dans la règle.
Si un résultat n’a pas de date cible de rattrapage, la tâche en ajoute une. Si une règle aboutit à une date antérieure à celle de l’enregistrement, la tâche met à jour la date cible existante. Elle met également à jour les champs Cible de rattrapage et État du rattrapage dans le formulaire de conclusions.
Une fois la tâche exécutée, toutes les notifications applicables sont envoyées. La tâche efface les champs de rattrapage du résultat et arrête l’envoi de notifications.
Réapplication des règles de cibles de rattrapage
Lorsque vous modifiez une règle de cible de rattrapage, utilisez le bouton Réappliquer sur la page de liste des règles de cibles de rattrapage pour réexécuter les règles modifiées sur tous les résultats ouverts actifs, à l’exception de ceux dont l’état est Fermé, Différé ou Résolu. Selon le nombre de résultats, ce processus peut prendre un certain temps.
Remarque :
- Si la Evaluate remediation targets tâche est en cours d’exécution, vous ne pouvez pas lancer un processus de nouvelle demande. Toutefois, si un processus de réapplication est déjà en cours d’exécution et que la tâche planifiée est déclenchée, ils s’exécutent en parallèle.
- En tant qu’administrateur ou analyste de vulnérabilité, vous pouvez obtenir la dernière date cible de remédiation pour les résultats sélectionnés dans le Espace de travail de Gestion de l'exposition de la sécurité. Cette méthode est plus efficace que l’exécution des règles de cibles de rattrapage pour tous les résultats dans l’interface utilisateur classique, ce qui peut prendre du temps.