Fermeture des détections obsolètes dans Réponse aux vulnérabilités
Le module Fermer automatiquement les détections périmées vous aide à nettoyer automatiquement les détections vulnérables anciennes et périmées qui n’ont pas été trouvées récemment par vos intégrations tierces. Le déplacement de ces détections vers Fermé réduit le nombre d’éléments vulnérables actifs et de tâches de rattrapage dans votre Now Platform instance et vous aide à rapprocher les actifs dans votre CMDB.
Vue d’ensemble et termes clés
Afin de déployer plus précisément les données de détection sur vos éléments vulnérables, le module Fermer automatiquement les détections périmées vous aide à nettoyer les détections d’éléments vulnérables anciennes et périmées qui n’ont pas été trouvées récemment par vos intégrations tierces. Pour plus d’informations sur cette fonctionnalité, consultez le cas d’utilisation ci-dessous et l’article Fermer automatiquement les détections obsolètes [KB 0958638].
Dans les versions précédentes de Réponse aux vulnérabilités, le module Éléments vulnérables à fermeture automatique faisait automatiquement passer les éléments vulnérables qui n’ont pas été récemment trouvés ou mis à jour par vos intégrations de scanners tiers vers le module Fermé - Périmé.
Avant d’activer la fonctionnalité Fermer automatiquement les détections périmées, passez en revue les termes suivants, la façon dont les états se déploient jusqu’aux éléments vulnérables et aux tâches de rattrapage, ainsi que les prérequis pour vos intégrations tierces qui importent les données de détection.
Pour activer cette fonctionnalité, reportez-vous à la section Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités.
Termes clés
- Détections périmées
- Fait référence aux détections associées à des éléments vulnérables dans votre Now Platform® instance qui vieillissent et n’ont pas été trouvées, mises à jour ou détectées par les analyses d’intégration tierces pendant une période prolongée.
- Dernières détections trouvées
- Cette option de recherche utilise une date et une heure fournies par l’analyseur tiers. Ce terme désigne la date et l’heure les plus récentes ou les plus récentes auxquelles les détections ont été retrouvées par le scanner.
- Derniers actifs numérisés
- Cette option de recherche utilise une date et une heure fournies par l’analyseur tiers. Ce terme désigne la date et l’heure les plus récentes auxquelles un actif a été analysé pour la dernière fois par un scanner tiers.
Cas d'utilisation
Parfois, des actifs (éléments de configuration) peuvent être mis hors service dans votre environnement ou purgés par des scanners tiers, et leurs détections associées ne sont pas mises à jour par les détections d’éléments vulnérables. Par conséquent, les détections et leurs éléments vulnérables associés ne sont pas mis à jour dans l’application Réponse aux vulnérabilités et deviennent inactifs (périmés).
Pour fermer ces détections vieillies qui ont des données d’éléments vulnérables inchangées et réduire ensuite le nombre de VI actifs et de tâches de remédiation (RT), activez Fermer automatiquement les détections obsolètes. Cette fonctionnalité ferme automatiquement les détections d’éléments vulnérables qui ne sont pas récemment trouvées ou mises à jour par vos intégrations de scanners tiers en fonction des critères de recherche et de l’âge en nombre de jours que vous définissez.
À titre d’exemple, supposons qu’un élément de configuration particulier (CI) possède plusieurs ID d’actif et que l’un de ces ID n’a pas été importé lors d’une détection à partir d’un scanner tiers au cours des 90 derniers jours. Cette fonctionnalité ferme automatiquement cette détection qui n’a pas de nouvelles données de vulnérabilité afin que l’élément vulnérable associé puisse être fermé.
Étant donné qu’un VI peut être associé à plusieurs détections, cette fonctionnalité ne fait passer d’une détection à l’autre que les détections jugées périmées par les paramètres que vous définissez. Par exemple, si quatre détections sont associées à un VI et que deux d’entre elles ont expiré (c’est-à-dire qu’aucune nouvelle donnée de vulnérabilité n’a été importée au cours des 90 derniers jours), cette fonctionnalité ferme uniquement les détections périmées. Pour pouvoir fermer le VI, vous devez d’abord corriger les deux autres détections ouvertes.
Déploiement des états de détection vers les VI
Pour différencier les détections fermées automatiquement des détections fermées par des scanners tiers, une nouvelle valeur a été ajoutée pour le champ État, Périmé. Les valeurs possibles pour ce champ sont Ouvert, Fermé et Périmé. Périmé indique qu’une détection a été fermée par la fonctionnalité de détection de fermeture automatique.
Priorité de l’état : Ouvert > Fermé > périmé.
- Si des détections sont ouvertes, l’état du VI associé reste Ouvert.
- Si aucune détection n’est ouverte, certaines sont fermées et d’autres périmées, l’état de VI associé passe à Fermé - Fixe.
- Si toutes les détections sont périmées, l’état du VI associé passe à Fermé - Périmé.
À partir de Réponse aux vulnérabilités la version 20.0, si la détection est périmée et que son VI associé est à l’état Fermé, l’état du VI ne passe pas à Fermé - Périmé. Cela permet d’éviter que le VI ne se rouvre lorsqu’une nouvelle détection est identifiée, afin d’éviter de passer par l’ensemble du processus de demande et d’approbation de faux positif. Pour inverser ce comportement, décochez la case Ignorer les détections obsolètes pour les VI fermés dans le formulaire Configuration de fermeture automatique. Pour plus d'informations, consultez Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités.
Déploiement des états des VI sur les tâches de remédiation (VUL)
Priorité de l’état : Ouvert > Fermé : Fixe > Fermé : périmé.
- Si des VI dans une tâche de rattrapage sont ouverts, l’état de vulnérabilité n’est pas modifié.
- Si au moins un VI est Fermé - Fixe et que les autres sont Fermé - Périmé, l’état de la vulnérabilité passe à Fermé - Fixe.
- Si tous les VI d’une VUL sont Fermé - Périmé, l’état de la VUL passe à Fermé - Annulé.
Détections de fermeture automatique et exigences d’intégration tierce
Les utilisateurs de Microsoft TVM et les détections obsolètes de fermeture automatique
| Élément de liste de vérification | Description |
|---|---|
| Intégration de vulnérabilité Microsoft TVM | Avec Microsoft TVM Vulnerability Integration, si vous sélectionnez Dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’intégration des vulnérabilités des machines Microsoft TVM (importation complète) au cours des sept derniers jours. Cette intégration s’exécute chaque semaine. Si la fermeture automatique des détections périmées est activée et configurée pour les détections détectées en dernier, que l’intégration des vulnérabilités des ordinateurs Microsoft TVM est désactivée ou qu’aucune importation de données n’est effectuée avec succès au cours des sept derniers jours, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections périmées peuvent ne pas être fermées comme prévu. Si vous sélectionnez Derniers actifs numérisés pour baser votre recherche, il n’est pas nécessaire d’exécuter l’intégration des vulnérabilités des ordinateurs Microsoft TVM. Pour activer cette intégration :
|
| (Facultatif) Déployez plusieurs instances d’intégrations Microsoft TVM dans votre environnement. | Vous pouvez éventuellement déployer plusieurs instances d’intégrations dans votre environnement. La fermeture automatique des détections obsolètes n’est pas spécifique à une instance et est activée ou désactivée dans votre environnement. Les détections périmées sont automatiquement transférées vers l’état périmé sur les instances qui ont terminé avec succès les exécutions d’intégration. Si la fermeture automatique des détections périmées est activée et que vous désactivez les intégrations qui s’exécutent chaque semaine dans une instance, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections peuvent ne pas passer automatiquement à l’état périmé comme prévu. |
Qualys utilisateurs et fermer automatiquement les éléments vulnérables périmés
- Toutes les intégrations tierces activées Qualys qui récupèrent les données de détection peuvent s’exécuter avec ce module. Aucune application spécifique Qualys n’est requise.
- Vous pouvez éventuellement déployer plusieurs instances d’intégrations Qualys dans votre environnement.
- La fermeture automatique des détections obsolètes n’est pas spécifique à une instance et est activée ou désactivée dans votre environnement. Les détections périmées sont automatiquement transitionnées vers l’état périmé sur toutes les instances.
Rapid7 utilisateurs et fermer automatiquement les détections obsolètes
| Élément de liste de vérification | Description |
|---|---|
| L’intégration Rapid7 de vulnérabilité | Si vous sélectionnez Dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’une des Rapid7 intégrations complètes d’éléments vulnérables au cours des sept derniers jours. Ces intégrations complètes s’exécutent chaque semaine :
Si l’option Fermer automatiquement les détections périmées est activée et configurée pour les dernières détections, et que les Rapid7 intégrations complètes des éléments vulnérables sont désactivées, ou qu’aucune importation de données n’est effectuée avec succès au cours des sept derniers jours, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections périmées peuvent ne pas être fermées comme prévu. Si vous sélectionnez Derniers actifs numérisés pour baser votre recherche, aucune exécution d’intégration complète Rapid7 n’est requise. Pour activer ces intégrations :
Remarque : En plus de ces intégrations qui s’exécutent de manière Rapid7 Nexpose hebdomadaire et Rapid7 InsightVM qui ont chacune des intégrations de VI qui s’exécutent quotidiennement, l’intégration d’éléments vulnérables Rapid7 et l’intégration d’éléments vulnérables Rapid7 - API. Si les intégrations quotidiennes et hebdomadaires Rapid7 sont activées, une seule intégration s’exécute à la fois. Si l’un de ces travaux d’intégration est en cours d’exécution, le travail de l’autre intégration est ignoré jusqu’à la tâche planifiée suivante. |
| (Facultatif) Déployez plusieurs instances d’intégrations Rapid7 dans votre environnement. | En option, vous pouvez déployer plusieurs instances d’intégrations complètes dans votre environnement. La fermeture automatique des détections obsolètes n’est pas spécifique à une instance et est activée ou désactivée dans votre environnement. Les détections périmées sont automatiquement transférées vers l’état périmé sur les instances qui ont terminé avec succès les exécutions d’intégration. Si l’option Fermer automatiquement les détections périmées est activée et que vous désactivez les intégrations qui s’exécutent chaque semaine dans une instance, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections peuvent ne pas passer automatiquement à l’état Périmé comme prévu. |
Utilisateurs de l’intégration de vulnérabilité Tenable et fermeture automatique des éléments vulnérables périmés
- Toutes les intégrations activées à partir de Tenable Vulnerability Integration qui récupèrent les données de détection peuvent s’exécuter avec ce module. Aucune intégration de vulnérabilité Tenable spécifique n’est requise.
- Vous pouvez éventuellement déployer plusieurs instances de Tenable Vulnerability Integration dans votre environnement.
- La fermeture automatique des détections obsolètes n’est pas spécifique à une instance et est activée ou désactivée dans votre environnement. Les détections périmées sont automatiquement transitionnées vers l’état périmé sur toutes les instances.
Après avoir vérifié que vos intégrations sont correctement configurées, reportez-vous à la rubrique Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités pour activer la fonctionnalité.
Mettre à niveau les informations de Fermer automatiquement les éléments vulnérables périmés vers Fermer automatiquement les détections obsolètes
- La valeur du nombre de jours que vous avez saisi pour l’option Derniers actifs numérisés dans Fermer automatiquement les éléments vulnérables périmés est conservée automatiquement pour les derniers actifs numérisés dans Fermer automatiquement les détections obsolètes.
- La valeur du nombre de jours que vous avez saisis pour l’option Derniers éléments vulnérables trouvés dans Fermer automatiquement les éléments vulnérables périmés est conservée automatiquement pour les détections détectées pour la dernière fois dans Fermer automatiquement les détections périmées.
- Les détections ouvertes existantes avec éléments vulnérables comme Fermé - Périmé passeront à l’état Périmé selon les paramètres de configuration de fermeture automatique lorsque la tâche planifiée s’exécutera après la Auto-Close Stale Detections mise à niveau.
Informations sur le déploiement
- Si un élément vulnérable était Fermé - Périmé avant la mise à niveau, et que toutes ses détections sont marquées comme Périmées après la mise à niveau, l’état du VI reste Fermé - Périmé.
- Si un élément vulnérable était Fermé - Périmé avant la mise à niveau, et que seules certaines de ses détections sont marquées comme Périmées après la mise à niveau et que les autres ont été fermées par l’analyseur, l’élément vulnérable passe à l’état Fermé - Corrigé selon la logique de déploiement.