Automatiser le suivi des cibles de rattrapage dans Réponse aux vulnérabilités des applications

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Les règles de cibles de rattrapage de l’application définissent le délai attendu pour le rattrapage des éléments vulnérables de l’application (AVI), fournissant un délai pour le rattrapage de la vulnérabilité elle-même. Par exemple, si un élément vulnérable de l’application contient une cote de risque critique, la vulnérabilité de cet élément doit être corrigée dans les 15 jours.

    Les gestionnaires App-Sec peuvent créer des règles de cible de rattrapage d’application en définissant :
    • La cible de rattrapage.
    • La cible de rappel.

    Les gestionnaires App-Sec peuvent voir la date cible de rattrapage dans le formulaire AVI et les vues de listes, mais les dates ne sont pas mises à jour pour les AVI à l’état Différé, Résolu ou Fermé .

    La date cible de rattrapage est codée par couleur sous forme de points dans la vue de liste AVI, comme suit :
    • Les AVI qui n’ont pas atteint leur date de notification sont affichés en vert.
    • Les AVI approchant de la date cible de rattrapage sont affichés en orange.
    • Les AVI au-delà de la date cible de rattrapage sont affichés en rouge.

    Règles par défaut

    Réponse aux vulnérabilités des applications Livré avec trois règles par défaut qui sont inactives par défaut :
    • Règle de cote de risque critique : une cible de rattrapage avec une cote de risque critique de 1 , une cible de rattrapage de 15 jours et un rappel de 7 jours avant la date cible.
    • Règle de cote de risque moyen à élevé : cible de rattrapage avec une cote de risque de 2 à Élevé ou 3 à Moyen , une cible de rattrapage de 30 jours et un rappel de 7 jours avant la date cible.
    • Règle de cote de risque moins critique : une cible de rattrapage avec une cote de risque 4-Faible , une cible de rattrapage de 45 jours et un rappel de 7 jours avant la date cible.

    Les règles de cibles de rattrapage peuvent être désactivées ou supprimées

    Lorsqu’une règle est désactivée, les dates cibles de rattrapage actuelles pour les AVI auxquels elle a été appliquée sont effacées. Si un AVI satisfait à une règle active, cette règle est appliquée. Sinon, l’AVI n’a pas de règle ou de date cible, et son état est Aucune cible.

    Lorsque des règles sont supprimées, la date cible de rattrapage et les champs connexes des AVI fermés sont conservés. La date cible de rattrapage et les champs connexes sur les AVI non fermés sont effacés et toutes les règles dépendantes sont réappliquées.

    Scénario de la règle de rattrapage

    Lorsque plusieurs règles de cible de rattrapage sont appliquées au même AVI, la règle la plus restrictive est appliquée.

    Par exemple, si un AVI remplit la condition de deux règles de cible de rattrapage de l’application :

    Scénario : AVI ouvert pour la dernière fois le 03/01/2018 à 10:00:00.
    • Règle cible de rattrapage de l’application 1 : dernière ouverture le 03/07/2018 ; la cible de rattrapage est de 15 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 16/03/2018 10:00:00.
    • Règle cible de rattrapage de l’application 2 : dernière ouverture le 03/10/2018 ; la cible de rattrapage est de 10 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 03/11/2018 10:00:00.
    Dans ce scénario, la règle 2 de la cible de rattrapage de l’application s’applique à l’AVI, car elle contient la date la plus restrictive. 10 jours depuis que l’AVI a été identifiée pour la première fois contre 15 jours.
    Remarque :
    Les cibles de rattrapage des applications sont calculées à partir de la dernière date d’ouverture additionnée au nombre de jours (mesurés par incréments de 24 heures). Vous pouvez ajouter ce champ au formulaire AVI à partir de la zone de sélection Mise en page du formulaire. Il s’agit de la date à laquelle l’AVI a été ouvert pour la dernière fois dans votre instance.

    À partir de la version 17.1, les cibles de rattrapage sont calculées à partir de la cible à partir de (date). La valeur par défaut reste la date de la dernière ouverture.

    Remarque :
    Une fois la règle de cible de rattrapage de l’application définie, les dates de la cible de rattrapage sont calculées par la Evaluate remediation targets tâche planifiée ou par le bouton Appliquer les changements de la vue de liste Règles de cibles de rattrapage.

    À propos de la tâche planifiée Évaluer les cibles de rattrapage

    Evaluate remediation targets Fonctionne une fois à 4:00:00 tous les jours.

    Evaluate remediation targets parcourt toutes les règles de vulnérabilité actives, en commençant par celles dont la date cible de rattrapage est la plus précoce. Il examine tous les AVI qui :
    • ne sont pas dans un état Fermé, Différé ou Résolu .
    • N’a pas de date cible de rattrapage.
    • Avoir une date cible de rattrapage qui est postérieure à la date indiquée dans la règle de cible de rattrapage de l’application.

    Evaluate remediation targets Ajoute une date cible de rattrapage, s’il n’en existe pas, ou si cette règle contient une date antérieure à celle de l’enregistrement, elle met à jour la date cible existante. Enfin, il met à jour les champs Date cible de rattrapage et État de rattrapage dans le formulaire AVI. Pour les règles inactives, l’option Évaluer les cibles de rattrapage efface les champs de rattrapage de l’AVI.

    Réapplication des règles de cibles de rattrapage

    Lorsque vous modifiez une règle de cible de rattrapage, utilisez le bouton Appliquer les changements de la page de liste Règles de cibles de rattrapage pour réexécuter toutes les règles modifiées sur tous les AVI ouverts actifs, à l’exception de ceux à l’état Fermé, Différé ou Résolu .
    Remarque :

    Si la tâche planifiée est en cours d’exécution Evaluate remediation targets , vous ne pouvez pas lancer un processus de nouvelle demande. Toutefois, si un processus de nouvelle demande est déjà en cours d’exécution et que la tâche planifiée est déclenchée, ils s’exécutent en parallèle.

    Les processus de réapplication dans Réponse aux vulnérabilités et Réponse aux vulnérabilités des applications sont indépendants et peuvent s’exécuter en parallèle.