Fermeture des détections obsolètes dans Réponse aux vulnérabilités

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 10 minutes de lecture

    • Le module Fermer automatiquement les détections obsolètes vous aide à nettoyer automatiquement les détections vulnérables obsolètes plus anciennes qui n’ont pas été récemment trouvées par vos intégrations tierces. Le déplacement de ces détections vers Fermé réduit le nombre d’éléments vulnérables actifs et de tâches de rattrapage dans votre ServiceNow AI Platform instance et vous aide à rapprocher les actifs de votre CMDB.

    Vue d’ensemble et termes clés

    Afin de déployer plus précisément les données de détection sur vos éléments vulnérables, le module Fermer automatiquement les détections obsolètes vous aide à nettoyer les détections d’éléments vulnérables obsolètes plus anciennes qui n’ont pas été récemment trouvées par vos intégrations tierces. Pour en savoir plus sur cette fonctionnalité, consultez le cas d’utilisation ci-dessous.

    Dans les versions précédentes de , le module Éléments Réponse aux vulnérabilités vulnérables à fermeture automatique a automatiquement fait passer les éléments vulnérables qui n’ont pas été récemment trouvés ou mis à jour par vos intégrations d’analyseurs tiers à Fermé - Périmé.

    Avant d’activer la fonctionnalité Fermer automatiquement les détections périmées, passez en revue les termes suivants, la manière dont les états se déploient pour les éléments vulnérables et les tâches de remédiation, ainsi que les conditions préalables de vos intégrations tierces qui importent des données de détection.

    Pour activer cette fonctionnalité, reportez-vous à la section Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités.

    Termes clés

    Détections périmées
    Fait référence aux détections associées aux éléments vulnérables de votre ServiceNow AI Platform® instance qui sont vieillies et n’ont pas été trouvées, mises à jour ou détectées par des analyses d’intégration tierces depuis une période significative.
    Dernières détections trouvées
    Cette option de recherche utilise une date et une heure fournies par l’analyseur tiers. Ce terme fait référence à la date et à l’heure les plus récentes ou les plus récentes auxquelles les détections ont été retrouvées par le scanner.
    Dernière numérisation des actifs
    Cette option de recherche utilise une date et une heure fournies par l’analyseur tiers. Ce terme désigne la date et l’heure les plus récentes auxquelles un actif a été analysé pour la dernière fois par un analyseur tiers.

    Cas d'utilisation

    Parfois, les actifs (éléments de configuration) peuvent être mis hors service dans votre environnement ou purgés par des scanners tiers, et leurs détections associées ne sont pas mises à jour par les détections d’éléments vulnérables. Par conséquent, les détections et leurs éléments vulnérables connexes ne sont pas mis à jour dans l’application Réponse aux vulnérabilités et deviennent inactifs (périmés).

    Pour fermer ces détections âgées dont les données d’éléments vulnérables restent inchangées et ensuite réduire le nombre d’éléments vulnérables actifs et de tâches de rattrapage, activez la fermeture automatique des détections obsolètes. Cette fonctionnalité ferme automatiquement les détections d’éléments vulnérables qui n’ont pas été récemment trouvées ou mises à jour par vos intégrations d’analyseurs tiers en fonction des critères de recherche et d’un âge en nombre de jours que vous définissez.

    Par exemple, supposons qu’un élément de configuration (CI) particulier possède plusieurs ID d’actifs et que l’un de ces ID n’a pas été importé sur une détection provenant d’un scanner tiers au cours des 90 derniers jours. Cette fonctionnalité ferme automatiquement cette détection qui ne contient aucune nouvelle donnée de vulnérabilité afin que l’élément vulnérable associé puisse être fermé.

    Étant donné qu’un VI peut être associé à plusieurs détections, cette fonctionnalité ne fait que transitionner les détections jugées périmées par les paramètres que vous avez définis. Par exemple, si quatre détections sont associées à un VI et que deux détections sont périmées, c’est-à-dire qu’aucune nouvelle donnée de vulnérabilité n’a été importée au cours des 90 derniers jours, cette fonctionnalité ferme uniquement les détections obsolètes. Avant de pouvoir fermer le VI, vous devez d’abord corriger les deux autres détections ouvertes.

    Déploiement des états de détection sur les VI

    Pour différencier les détections fermées automatiquement des détections fermées par des scanners tiers, une nouvelle valeur pour le champ Statut, Périmé, a été ajoutée. Les valeurs possibles pour ce champ sont : Ouvert, Fermé et Périmé. « Périmé » indique qu’une détection a été fermée par la fonctionnalité de détection de fermeture automatique.

    Priorité d’état : Ouvert > Fermé > périmé.

    1. Si des détections sont ouvertes, l’état du VI associé reste ouvert.
    2. Si aucune détection n’est ouverte, certaines sont fermées et d’autres sont périmées, l’état de VI associé passe à Fermé - Corrigé.
    3. Si toutes les détections sont périmées, l’état du VI associé passe de Fermé à Périmé.

      Réponse aux vulnérabilités À partir de la version 20.0, si la détection est périmée et que son VI associé est à l’état Fermé, l’état du VI ne passe pas à l’état Fermé - Périmé. Cela permet d’éviter la réouverture du VI lorsqu’une nouvelle détection est identifiée afin d’éviter de passer par l’ensemble du processus de demande et d’approbation de faux positif. Pour inverser ce comportement, décochez la case Ignorer les détections obsolètes pour les VI fermés dans le formulaire Configuration de fermeture automatique. Pour plus d'informations, consultez Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités.

    Déploiement des états des VI sur les tâches de remédiation (VUL)

    Priorité d’état : Ouvert > Fermé : Corrigé > Fermé : périmé.

    1. Si des VI d’une VUL (tâche de rattrapage) sont ouverts, l’état de la VUL n’est pas modifié.
    2. Si au moins un VI est Fermé-Corrigé et que les autres sont Fermé-Périmé, l’état de la VUL passe à Fermé-Corrigé.
    3. Si tous les VI d’une VUL sont Fermés : périmés, l’état de la VUL passe de Fermé à Annulé.
    4. Si des VI sont fermés comme Fermés – faux positif, le VUL ne se ferme pas automatiquement.

    Pour plus d’informations sur les scénarios de déploiement et de déploiement d’état, reportez-vous à la section Scénarios de déploiement et de réduction de l’état.

    Détections de fermeture automatique et exigences d’intégration tierce

    Utilisateurs Microsoft TVM et fermeture automatique des détections obsolètes

    Élément de liste de vérification Description
    L’intégration des vulnérabilités Microsoft TVM Avec l’intégration des vulnérabilités Microsoft TVM, si vous sélectionnez les dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’intégration des vulnérabilités des ordinateurs Microsoft TVM (importation complète) au cours des sept derniers jours. Cette intégration s’exécute chaque semaine.

    Si la fermeture automatique des détections périmées est activée et configurée pour les dernières détections trouvées, et que l’intégration des vulnérabilités des ordinateurs Microsoft TVM est désactivée ou qu’une importation de données n’est pas effectuée avec succès au cours des sept derniers jours, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections périmées peuvent ne pas être fermées comme prévu.

    Si vous sélectionnez la dernière analyse des actifs sur laquelle votre recherche se base, l’exécution de l’intégration des vulnérabilités des ordinateurs Microsoft TVM n’est pas requise.

    Pour activer cette intégration :

    1. Accédez à la Intégration de vulnérabilité Microsoft TVM > Administration > Intégration.
    2. Localisez et activez l’intégration des vulnérabilités de la machine Microsoft TVM (importation complète).
    (Facultatif) Déployez plusieurs instances d’intégrations Microsoft TVM dans votre environnement. Vous pouvez éventuellement déployer plusieurs instances des intégrations dans votre environnement.

    La fermeture automatique des détections obsolètes n’est pas spécifique à l’instance et est activée ou désactivée dans votre environnement. Les détections périmées passent automatiquement à l’état Périmé sur les instances qui ont terminé avec succès les exécutions d’intégration.

    Si la fermeture automatique des détections périmées est activée et que vous désactivez les intégrations qui s’exécutent chaque semaine dans une instance, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections peuvent ne pas passer automatiquement à l’état Périmé comme prévu.

    Qualys utilisateurs et Fermer automatiquement les éléments vulnérables périmés

    • Toutes les intégrations tierces activées Qualys qui récupèrent des données de détection peuvent s’exécuter avec ce module. Aucune application spécifique Qualys n’est requise.
    • Vous pouvez éventuellement déployer plusieurs instances des Qualys intégrations dans votre environnement.
    • La fermeture automatique des détections obsolètes n’est pas spécifique à l’instance et est activée ou désactivée dans votre environnement. Les détections périmées passent automatiquement à l’état Périmé sur toutes les instances.

    Rapid7 utilisateurs et Fermer automatiquement les détections obsolètes

    Élément de liste de vérification Description
    L’intégration Rapid7 de vulnérabilité Si vous sélectionnez les dernières détections trouvées sur lesquelles baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’une des intégrations complètes d’éléments Rapid7 vulnérables au cours des sept derniers jours. Ces intégrations complètes s’exécutent chaque semaine :
    • Pour Rapid7 Nexpose l’entrepôt de données, une exécution réussie à partir de l’intégration Rapid7 complète des éléments vulnérables est requise.
    • Pour Rapid7 InsightVM, une exécution réussie à partir de l’API d’intégration Rapid7 complète des éléments vulnérables est requise.

    Si la fermeture automatique des détections périmées est activée et configurée pour les dernières détections trouvées, et que les intégrations d’éléments Rapid7 vulnérables complets sont désactivées ou qu’une importation de données n’est pas effectuée avec succès au cours des sept derniers jours, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections périmées peuvent ne pas être fermées comme prévu.

    Si vous sélectionnez la dernière numérisation des actifs pour baser votre recherche, aucune exécution d’intégration complète Rapid7 n’est requise.

    Pour activer ces intégrations :

    1. Accédez à la Rapid7 Vulnerability Integration > Administration > Intégration.
    2. Localisez et activez l’intégration Rapid7 complète des éléments vulnérables dont vous avez besoin.
    Remarque :

    En plus de ces intégrations qui s’exécutent chaque semaine et Rapid7 InsightVM qui ont chacune des intégrations de VI qui s’exécutent quotidiennement, Rapid7 Nexpose l’intégration des éléments vulnérables Rapid7 et l’intégration des éléments vulnérables Rapid7 : API.

    Si les intégrations quotidienne et hebdomadaire Rapid7 sont activées, une seule intégration s’exécute à la fois. Si l’une de ces tâches d’intégration est en cours d’exécution, la tâche de l’autre intégration est ignorée jusqu’à la prochaine tâche planifiée.
    (Facultatif) Déployez plusieurs instances des Rapid7 intégrations dans votre environnement. Vous pouvez éventuellement déployer plusieurs instances des intégrations complètes dans votre environnement.

    La fermeture automatique des détections obsolètes n’est pas spécifique à l’instance et est activée ou désactivée dans votre environnement. Les détections périmées passent automatiquement à l’état Périmé sur les instances qui ont terminé avec succès les exécutions d’intégration.

    Si l’option Fermer automatiquement les détections périmées est activée et que vous désactivez les intégrations qui s’exécutent chaque semaine dans une instance, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections peuvent ne pas passer automatiquement à l’état Périmé comme prévu.

    Utilisateurs de l’intégration de vulnérabilité Tenable et fermeture automatique des éléments vulnérables périmés

    • Toutes les intégrations activées à partir de l’intégration de vulnérabilité Tenable qui récupèrent des données de détection peuvent s’exécuter avec ce module. Aucune intégration de vulnérabilité Tenable spécifique n’est requise.
    • Vous pouvez éventuellement déployer plusieurs instances de l’intégration de vulnérabilité Tenable dans votre environnement.
    • La fermeture automatique des détections obsolètes n’est pas spécifique à l’instance et est activée ou désactivée dans votre environnement. Les détections périmées passent automatiquement à l’état Périmé sur toutes les instances.

    Après avoir vérifié que vos intégrations sont correctement configurées, consultez la rubrique Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités pour activer la fonctionnalité.

    Mettre à niveau les informations depuis Fermer automatiquement les éléments vulnérables périmés vers Fermer automatiquement les détections obsolètes

    Pour le module Fermer automatiquement les détections périmées, si vous avez précédemment utilisé Fermer automatiquement les éléments vulnérables périmés :
    • La valeur du nombre de jours que vous avez saisi pour l’option Dernière analyse des actifs à partir de Fermer automatiquement les éléments vulnérables périmés est conservée automatiquement pour la dernière numérisation des actifs dans Fermer automatiquement les détections périmées.
    • La valeur du nombre de jours que vous avez saisi pour l’option Derniers éléments vulnérables trouvés à partir de Fermer automatiquement les éléments vulnérables périmés est conservée automatiquement pour les dernières détections trouvées dans Fermer automatiquement les détections périmées.
    • Les détections ouvertes existantes avec des éléments vulnérables à l’état Fermé – Périmé passeront à l’état Périmé selon les paramètres de configuration de fermeture automatique lorsque la tâche planifiée s’exécute après la Auto-Close Stale Detections mise à niveau.

    Informations sur le déploiement

    • Si un élément vulnérable a été fermé : périmé avant la mise à niveau et que toutes ses détections sont marquées comme périmées après la mise à niveau, l’état du VI reste Fermé : périmé.
    • Si un élément vulnérable était fermé : périmé avant la mise à niveau, et que seules certaines de ses détections sont marquées comme périmées après la mise à niveau et que les autres ont été fermées par le scanner, l’élément vulnérable passe alors à l’état Fermé : corrigé selon la logique de déploiement.