États des détections, des tâches de rattrapage et des éléments vulnérables

Gestion de la sécurité Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Xanadu

ft:clusterId

security

bundleId

security

workflow

Technology

États des détections, des tâches de rattrapage et des éléments vulnérables

Rversion finale: Xanadu

Mis à jour 1 août 2024

1 minute de lecture

Les intégrations tierces récupèrent les données de détection des éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners.

Les données de détection sont couplées à des éléments vulnérables (VI, VIT) et l’état du VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par les données trouvées directement par un scanner.

Si toutes les détections sont fermées pour un élément vulnérable, cet élément vulnérable est fermé. Sur l’enregistrement VI, l’état est Fermé/Fixe. Lorsque tous les VI sont fermés pour une tâche de rattrapage, la tâche de rattrapage est fermée. Pour le reste, le flux d’état reste le même.

Les VI fermés avec un sous-état Fixe ou Périmé sont rouverts si une nouvelle détection est créée et les VI peuvent être mis en correspondance avec la nouvelle vulnérabilité.

À partir de la version 20.0 de Réponse aux vulnérabilités, si une détection est périmée et que le VI associé est à l’état Fermé, l’état du VI ne passe pas à Fermé - Périmé. Cela permet d’éviter que le VI ne se rouvre lorsqu’une nouvelle détection est identifiée, afin d’éviter de passer par l’ensemble du processus de demande et d’approbation de faux positif. Pour inverser ce comportement, décochez la case Ignorer les détections obsolètes pour les VI fermés sur le formulaire Configuration de fermeture automatique. Pour plus d'informations, consultez Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités.

Conformément à l’include de script, DetectionBase_shouldReOpenVI(), si le VI a été précédemment fermé avec un sous-état Fixe, Périmé ou CI désactivé, il est rouvert et la détection est mappée au VIT existant.

Par exemple, supposons que la date de fermeture d’un VI est postérieure à la dernière date trouvée d’une détection. Vous pouvez vous attendre à ce que ces enregistrements de VI restent fermés. Toutefois, si vous voyez qu’un VI précédemment fermé s’est rouvert, cela signifie que le VI a été fermé par une détection antérieure et que la vulnérabilité a été détectée à nouveau lors d’une analyse ultérieure. Lorsqu’une nouvelle détection est trouvée qui correspond au VIT fermé qui présente la même vulnérabilité sur l’élément de configuration du VI, le VI est rouvert.