Automatiser le suivi de la cible de rattrapage dans Application Vulnerability Response

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Les règles de cibles de rattrapage de l’application définissent le délai prévu pour le rattrapage des éléments vulnérables de l’application (AVI), fournissant un délai pour le rattrapage de la vulnérabilité elle-même. Par exemple, si un élément vulnérable de l’application contient une cote de risque critique, la vulnérabilité de cet élément doit être corrigée dans les 15 jours.

    Les gestionnaires App-Sec peuvent créer des règles de cible de rattrapage de l’application en définissant :
    • Cible de rattrapage.
    • La cible de rappel.

    Les gestionnaires App-Sec peuvent voir la date cible de rattrapage dans le formulaire AVI et les vues de listes, mais les dates ne sont pas mises à jour pour les AVI à l’état Différé, Résolu ou Fermé .

    La date cible de rattrapage est codée par couleur sur la vue de liste AVI sous forme de points, comme suit :
    • Les AVI qui n’ont pas atteint leur date de notification sont affichés en vert.
    • Les AVI approchant de la date cible de rattrapage sont affichés en orange.
    • Les AVI ayant dépassé la date cible de rattrapage s’affichent en rouge.

    Règles par défaut

    Application Vulnerability Response Livré avec trois règles par défaut qui sont inactives par défaut :
    • Règle de cote de risque critique : une cible de rattrapage avec une cote de risque de 1-Critique , une cible de rattrapage de 15 jours et un rappel de 7 jours avant la date cible.
    • Règle de cote de risque moyen à élevé : cible de rattrapage avec une cote de risque 2-Élevé ou 3-Moyen, une cible de rattrapage de 30 jours et un rappel de 7 jours avant la date cible.
    • Règle de cote de risque moins critique : cible de rattrapage avec une cote de risque faible de 4 , une cible de rattrapage de 45 jours et un rappel de 7 jours avant la date cible.

    Les règles de cible de rattrapage peuvent être désactivées ou supprimées

    Lorsqu’une règle est désactivée, les dates cibles de rattrapage actuelles pour les AVI auxquels elle s’appliquait sont effacées. Si un AVI satisfait à une règle active, cette règle est appliquée, sinon l’AVI n’a pas de règle ou de date cible, et son état est Pas de cible.

    Lorsque des règles sont supprimées, la date cible de rattrapage et les champs connexes des AVI fermés sont conservés. La date cible de rattrapage et les champs connexes des AVI non fermés sont effacés et toutes les règles dépendantes sont réappliquées.

    Scénario de la règle de rattrapage

    Lorsque plusieurs règles de cible de rattrapage sont appliquées au même AVI, la règle la plus restrictive est appliquée.

    Par exemple, si un AVI remplit la condition pour deux règles de cible de rattrapage d’application :

    Scénario : AVI ouvert pour la dernière fois le 03/01/2018 à 10 :00 :00.
    • Règle 1 de cible de rattrapage de l’application : dernière ouverture le 03/07/2018 ; la cible de rattrapage est de 15 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 16/03/2018 10 :00 :00.
    • Règle 2 de la cible de rattrapage de l’application : dernière ouverture le 03/10/2018 ; la cible de rattrapage est de 10 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 03/11/2018 10 :00 :00.
    Dans ce scénario, la règle 2 de cible de rattrapage de l’application s’applique à l’AVI, car elle contient la date la plus restrictive. 10 jours depuis que l’AVI a été identifié pour la première fois contre 15 jours.
    Remarque :
    Les cibles de rattrapage des applications sont calculées à partir de la dernière date d’ouverture additionnée au nombre de jours (mesurés par incréments de 24 heures). Vous pouvez ajouter ce champ au formulaire AVI à partir de la zone de sélection Mise en page. Il s’agit de la date à laquelle l’AVI a été ouvert pour la dernière fois dans votre instance.

    À partir de la version 17.1, les cibles de rattrapage sont calculées à partir de la (date) à partir de la cible. La valeur par défaut reste la date de dernière ouverture.

    Remarque :
    Une fois la règle de cible de rattrapage de l’application définie, les dates cibles de rattrapage sont calculées par la Evaluate remediation targets tâche planifiée ou par le bouton Appliquer les changements dans la vue de liste Règles de cibles de rattrapage.

    À propos de la tâche planifiée Évaluer les cibles de rattrapage

    Evaluate remediation targets S’exécute une fois à 4 :00 :00 quotidiennement.

    Evaluate remediation targets parcourt toutes les règles de vulnérabilité actives, en commençant par celles dont la date cible de rattrapage est la plus précoce. Il examine tous les AVI qui :
    • Ne sont pas dans un état Fermé, Différé ou Résolu .
    • N’ont aucune date cible de rattrapage.
    • doit avoir une date cible de rattrapage ultérieure à la date définie dans la règle de cible de rattrapage de l’application.

    Evaluate remediation targets Ajoute une date cible de rattrapage, s’il n’en existe pas, ou si cette règle contient une date antérieure à celle de l’enregistrement, elle met à jour la date cible existante. Enfin, elle met à jour les champs Date cible de rattrapage et État du rattrapage dans le formulaire AVI. Pour les règles inactives, l’option Évaluer les cibles de rattrapage efface les champs de rattrapage de l’AVI.

    Réapplication des règles de cibles de rattrapage

    Lorsque vous modifiez une règle de cible de rattrapage, utilisez le bouton Appliquer les changements sur la page de liste Règles de cibles de rattrapage pour réexécuter toutes les règles modifiées sur tous les AVI ouverts actifs, à l’exception de ceux dont l’état est Fermé, Différé ou Résolu .
    Remarque :

    Si la tâche planifiée est en cours d’exécution Evaluate remediation targets , vous ne pouvez pas lancer un processus de nouvelle application. Toutefois, si un processus de réapplication est déjà en cours d’exécution et que la tâche planifiée est déclenchée, ils s’exécutent en parallèle.

    Les processus de réapplication dans Vulnerability Response et Application Vulnerability Response sont indépendants et peuvent s’exécuter en parallèle.