Rapid7 Gestion des solutions

Gestion de la sécurité Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Xanadu

ft:clusterId

security

bundleId

security

workflow

Technology

Rapid7 Gestion des solutions

Rversion finale: Xanadu

Mis à jour 1 août 2024

8 minutes de lecture

Les solutions sont des rattrapages connus qui sont importés dans votre Intégration des vulnérabilités Rapid7 à partir de l’entrepôt Rapid7 de données ou Rapid7 InsightVM Rapid7 . L’entrepôt de données importe à la fois des solutions et des solutions de remplacement. Avec Rapid7 InsightVM, vous obtenez des solutions dans le cadre de l’API Rapid7 Vulnerable Item Integration.

À partir de la version 21.0 de Réponse aux vulnérabilités, il y a un changement dans la façon dont les solutions sont créées par Rapid7 InsightVM. Au lieu de s’appuyer sur des champs solution_summary, solution_fix ou solution_type , Rapid7 InsightVM crée désormais des solutions à l’aide des solution_id fournies par le scanner. Cela signifie que même si ces champs sont vides, une solution est créée tant qu’un ID de solution est disponible.

Pour afficher les solutions importées sous forme de liste, accédez à Rapid7 > Solutions.

Si le module d’extension Gestion des solutions pour vulnérabilités est activé, la dernière version de Intégration des vulnérabilités Rapid7 fournit les fonctionnalités clés suivantes concernant les solutions :

La Rapid7 gestion des solutions est déplacée vers la gestion des solutions de vulnérabilité.
Une nouvelle intégration Rapid7 Prerequisite Solution Management pour l’entrepôt de données est introduite. L’intégration récupère la solution prérequise à partir de l’entrepôt Rapid7 de données.
La liste connexe de Rapid7 (solution) sur les entrées tierces (TPE) est masquée.
Les données précédemment importées peuvent être visualisées dans le nouveau modèle de données. Les solutions Rapid7, le remplacement de la solution et la carte de solutions en matière de vulnérabilité sont réimportés et le champ Importer depuis est défini sur vide. Le champ est renseigné dans Gestion des solutions.
Les détections sont mises à jour pour renseigner le champ de solution. Les détections montrent les solutions telles qu’elles font partie de Vulnerability Solution Management.
Rapid7 obtient une préférence plus élevée par rapport à d’autres solutions tout en définissant la solution préférée sur TPE pour Rapid7 l’entrepôt de données.
Les solutions sont déployées sur les éléments vulnérables (VI) à partir des détections pour Rapid7 InsightVM.
Remarque :
Si vous n’avez pas activé le module d’extension Gestion des solutions pour vulnérabilités , l’application fonctionne telle quelle.

Vulnerability Solution Management

Si vous avez activé le module d’extension Gestion des solutions pour vulnérabilités , les solutions pour l’entrepôt Rapid7Rapid7 de données et Rapid7 InsightVM la table Solutions en matière de vulnérabilité [sn_vul_solution]. Toutefois, si vous n’avez pas activé le module d’extension Gestion des solutions pour vulnérabilités , alors Intégration des vulnérabilités Rapid7 fonctionne tel quel et importe les solutions dans la table personnalisée [sn_vul_r7_solution].

Pour afficher la table des solutions en matière de vulnérabilité, accédez à Tout > Réponse aux vulnérabilités > Solutions en matière de vulnérabilité où vous pouvez afficher et comparer les solutions de différents fournisseurs. Pour afficher les solutions importées dans la table personnalisée, accédez à Tout > Rapid7 Vulnerability Integration > Solutions.

Remarque :

Regrouper par source pour afficher les solutions en fonction des fournisseurs.

Intégration de Rapid7 Prerequisite Solution Management

Si vous avez activé le module d’extension Gestion des solutions pour vulnérabilités , un script correctif est exécuté et modifie l’ordre des intégrations. La nouvelle intégration de solutions préalables Rapid7 pour Rapid7 l’entrepôt de données mappe les solutions avec les solutions prérequises. Les intégrations s’exécutent dans la séquence suivante :

Rapid7 Intégration de solution
Rapid7 Solution prérequise
Rapid7 Intégration de solution de remplacement
Rapid7 Intégration de la carte de solution de vulnérabilité
Rapid7 Intégration de la solution VI (à partir de la version 19.0 de Réponse aux vulnérabilités)

Remarque :

Si vous exécutez les intégrations manuellement, commencez par l’intégration de la Rapid7 solution. Ne modifiez pas la chaîne d’intégration suivante dans l’intégration Rapid7 . La séquence est définie dans la colonne Intégration suivante.

Liste connexe Rapid7 (Solutions) sur TPE

Si vous avez activé le module d’extension Gestion des solutions pour vulnérabilités , vous pouvez effectuer les opérations suivantes :

Vous pouvez afficher les TPE en accédant à Tout > Réponse aux vulnérabilités > Tiers.
Vous ne pouvez pas voir la liste connexe Solutions (Rapid7), qui était disponible dans les versions antérieures.
Vous pouvez voir les solutions liées à Rapid7 dans la liste connexe des solutions, ainsi que les solutions d’autres sources, telles que RedHat, Microsoft (MSRC), etc.

Si vous n’avez pas activé le module d’extension Gestion des solutions pour vulnérabilités , les événements suivants se produisent :

La fonctionnalité des listes connexes reste la même.
Vous pouvez consulter la liste connexe Solutions (Rapid7).
La liste connexe Solutions est masquée.

Solution privilégiée sur les TPE et les VI

Rapid7 obtient la solution de l’entrepôt de données au niveau de l’entrée tierce (TPE) et Rapid7 InsightVM au niveau de la détection.

Pour un Rapid7 entrepôt de données, la solution est gérée de la manière suivante :

La solution privilégiée est définie sur le TPE en fonction de la vulnérabilité et du mappage de la solution.
Si la vulnérabilité de a Rapid7 une seule solution de remplacement la plus élevée de Rapid7, alors elle est définie comme la solution préférée, quelles que soient les autres solutions des fournisseurs attachés à cette vulnérabilité.
Dans tous les autres cas, le flux de la solution privilégiée reste le même. Pour en savoir plus sur le comportement par défaut des solutions privilégiées, reportez-vous à la section Gestion des solutions pour vulnérabilités.

Pour Rapid7 InsightVM, la solution est gérée de la manière suivante :

La solution privilégiée est déployée des détections aux VI.
S’il n’existe qu’une seule détection et une seule solution à partir de Rapid7, la solution est déployée jusqu’à VI.
S’il existe plusieurs détections et qu’elles ont toutes la même solution à partir de Rapid7, la solution est déployée jusqu’à VI.
Si plusieurs détections ont plusieurs solutions à partir de Rapid7, la dernière solution est déployée sur le VI.

À partir de la version 19.0 de Réponse aux vulnérabilités, la solution privilégiée, générée par Rapid7 Data Warehouse, est directement renseignée sur les éléments Rapid7 vulnérables en contournant le besoin de Gestion des solutions pour vulnérabilités. Ce changement permet d’éliminer toute incertitude quant aux solutions potentielles pour ces éléments vulnérables.

Pour atteindre cette population directe par le biais Rapid7de , les mesures suivantes sont prises :

Une nouvelle intégration, Rapid7 VI Solution Integration, est établie et intégrée dans le workflow existant de Rapid7 Vulnerability Integration.
Une nouvelle table [sn_vul_r7_rapid7_vi_solution_import] est créée.
Une nouvelle carte de transformation Rapid7 VI Solution Transform est créée.
L’include de script Rapid7AssetsImportProcessor est modifié pour exclure le traitement des solutions générées par Rapid7 dans Gestion des solutions pour vulnérabilités.

Lors de l’exécution de l’intégration de la solution Rapid7 VI, les données non traitées obtenues à partir de Rapid7 sont stockées dans la table nouvellement créée. Par la suite, la transformation de la solution Rapid7 VI est déclenchée, traitant ces données et renseignant la solution préférée directement dans la table des éléments vulnérables.

Remarque :

L’intégration de la solution Rapid7 VI renseigne la solution préférée exclusivement lorsque le module d’extension Gestion des solutions pour vulnérabilités a été installé.

À partir de la version 22.0 de , les solutions de ne sont plus mises en file d’attente lors de Réponse aux vulnérabilitésRapid7 l’exécution de la tâche Process Vulnerability Solutions Metrics Queueplanifiée. Cette tâche planifiée implique le déploiement de solutions à partir d’entrées NVD vers des entrées tierces, le remplissage des solutions préférées sur les vulnérabilités et la mise à jour des mesures d’état de rattrapage sur les solutions. Dans les scénarios suivants, seules les mesures d’état de rattrapage doivent être mises à jour :

Lorsque la solution préférée change en fonction des vulnérabilités
Lorsque les VIT sont créés ou supprimés
Lorsqu’une importation VIT est terminée

Bien que les solutions soient mises en file d’attente pour mettre à jour uniquement les mesures d’état de rattrapage, elles tentent toujours de déployer des solutions à partir d’entrées NVD vers des entrées tierces et de renseigner les solutions privilégiées. Pour optimiser ce processus, la colonne Statut de mise à jour est introduite dans la table Solution de vulnérabilité. Lorsque les mesures d’état de rattrapage des solutions doivent être mises à jour sans nécessiter le déploiement des solutions à partir des entrées NVD vers les entrées tierces ou le remplissage des solutions privilégiées, elles ne sont plus en file d’attente. Au lieu de cela, la colonne Mettre à jour l’état est directement mise à jour en tant que vrai. Cette approche permet de traiter les tickets où seules les mesures d’état de rattrapage doivent être mises à jour, ce qui permet de réaliser des économies de temps et de ressources. Dans la tâche planifiée, une fois le traitement des solutions en file d’attente terminé, les solutions marquées avec un état de mise à jour défini sur vrai sont identifiées. Ensuite, ces solutions sont itérées, en calculant les nombres et en mettant à jour les mesures d’état de rattrapage en conséquence. Cette étape joue un rôle important dans l’amélioration des performances de la tâche planifiée, car le nombre de solutions à mettre en file d’attente est réduit.

Chaîne de remplacement de solution importée d’un entrepôt de données Rapid7 pour une vulnérabilité

Vous pouvez afficher les solutions de remplacement d’une solution en sélectionnant une solution de vulnérabilité et en sélectionnant la liste connexe Solutions de remplacement. Vous pouvez afficher les solutions précédentes en sélectionnant la liste connexe Solutions précédentes. Lorsque vous attachez une solution au TPE, la solution de remplacement de cette solution est attachée à ce TPE.

Modifier la profondeur maximale de la chaîne de remplacement de solution dans un graphique par propriété système

La chaîne de remplacement de la solution reçue dans le Rapid7 modèle de données est trop longue pour créer le graphique lors du remplissage de la solution préférée. Ainsi, pour limiter la profondeur de la chaîne, une propriété système nommée sn_vul.max_recursion_depth avec une valeur 500 est créée. Si la profondeur de la chaîne est supérieure à 500, le reste de la chaîne est ignoré. Pour modifier la profondeur maximale de la chaîne, accédez à la table [sys_properties] et modifiez la valeur de la propriété.

Mise à niveau de l’application Rapid7

Si vous mettez à niveau le Intégration des vulnérabilités Rapid7 module d’extension et que vous ne l’avez pas encore activé Gestion des solutions pour vulnérabilités , l’application fonctionne telle quelle.

Que vous activiez le module d’extension Gestion des solutions pour vulnérabilités avant ou après la mise à niveau de l’application Rapid7 , le champ Importer depuis reste vide pour les intégrations suivantes :

Intégration de la solution de remplacement Rapid7
Intégration de la carte de solutions de vulnérabilité Rapid7
Intégration de la solution Rapid7
Remarque :
À partir de l’exécution de l’intégration suivante, les données sont renseignées dans la table de solution de vulnérabilité.

Pour Rapid7 InsightVM, les données sont reçues au niveau de la détection. Lorsque l’intégration s’exécute Rapid7 InsightVM , les solutions sont importées dans la table des solutions de vulnérabilité.