Vulnerability Response Règles de cibles de rattrapage

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Les règles de cible de rattrapage définissent le délai prévu pour le rattrapage d’un élément vulnérable (EV), de la même manière que les SLA fournissent un délai pour le rattrapage de la vulnérabilité elle-même. Par exemple, si un actif contient des données PCI (données de carte de crédit), la vulnérabilité de cet élément doit être corrigée dans les 30 jours conformément à la norme PCI DSS.

    Les gestionnaires de vulnérabilité peuvent créer des règles de cibles de rattrapage en définissant :
    • La cible de rattrapage
    • La cible de rappel
    • Les destinataires des rappels et des notifications : qui doivent être informés lorsque les éléments vulnérables (VI) ont dépassé la date cible de rappel ou de rattrapage et n’ont pas été corrigés.

    Les analystes et les gestionnaires de vulnérabilités peuvent voir la date cible de rattrapage dans le formulaire et les vues de liste des éléments de vulnérabilité, tant que les éléments vulnérables ne sont pas à l’état Différé, Résolu ou Fermé . Les règles de cible de rattrapage sont exécutées lors de l’importation et réexécutées si un VI est rouvert.

    La date cible de rattrapage est codée par couleur sur la vue de liste VI sous forme de points, comme suit :
    • Les éléments vulnérables qui n’ont pas atteint leur date de notification s’affichent en vert.
    • Les éléments vulnérables approchant de la date cible de rattrapage sont affichés en orange.
    • Les éléments vulnérables au-delà de la date cible de rattrapage sont affichés en rouge.

    Un e-mail récapitulatif, par règle de cible de rattrapage, est envoyé lorsqu’un ou plusieurs VI approchent de leur date cible de rattrapage ou que la date cible de rattrapage est dépassée.

    Les règles de cible de rattrapage peuvent être désactivées ou supprimées

    Lorsqu’une règle est désactivée, les dates cibles de rattrapage actuelles pour les VI auxquels elle a été appliquée sont effacées. Si un VI satisfait à une règle active, cette règle est appliquée, sinon le VI n’a pas de règle ou de date cible, et son état est Aucune cible.

    Lorsque des règles sont supprimées, la date cible de rattrapage et les champs connexes des VI fermés, différés ou résolus sont conservés. La date cible de rattrapage et les champs connexes des VI non fermés sont effacés et toutes les règles dépendantes sont réappliquées.

    Scénario de règle de cible de rattrapage

    Lorsque plusieurs règles de cible de rattrapage sont appliquées au même élément vulnérable, la règle la plus restrictive est appliquée.
    Remarque :
    Les cibles de rattrapage sont calculées à partir de la dernière date d’ouverture additionnée au nombre de jours (mesurés par incréments de 24 heures).

    À partir de la version 17.1, les cibles de rattrapage sont calculées à partir de la (date) à partir de la cible. La valeur par défaut reste Date de dernière ouverture.

    Par exemple, si un élément vulnérable remplit la condition pour deux règles de cible de rattrapage :

    Scénario : l’élément vulnérable a été ouvert pour la dernière fois le 01/03/2018 à 10 :00 :00.
    • Règle de cible de rattrapage 1 : dernière ouverture le 03/07/2018 ; la cible de rattrapage est de 15 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 16/03/2018 10 :00 :00.
    • Règle de cible de rattrapage 2 : dernière ouverture le 03/10/2018 ; la cible de rattrapage est de 10 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 03/11/2018 10 :00 :00.
    Dans ce scénario, la règle de cible de rattrapage 2 s’applique à l’élément vulnérable, car sa date est la plus restrictive. 10 jours depuis que l’élément vulnérable a été identifié pour la première fois, contre 15 jours.
    Remarque :
    Une fois la règle de cible de rattrapage définie, les dates cibles de rattrapage sont calculées par la Evaluate remediation targets tâche planifiée.

    À propos de la tâche planifiée Évaluer les cibles de rattrapage

    Evaluate remediation targets S’exécute une fois à 4 :00 :00 quotidiennement.

    Il parcourt toutes les règles de vulnérabilité actives, en commençant par celles dont la date cible de rattrapage est la plus précoce. Il examine tous les éléments vulnérables qui :
    • Ne sont pas dans un état Fermé, Différé ou Résolu .
    • N’ont aucune date cible de rattrapage.
    • avoir une date cible de rattrapage postérieure à la date de la règle de cible de rattrapage.

    Evaluate remediation targets Ajoute une date cible de rattrapage, s’il n’en existe pas, ou si une règle entraîne une date antérieure à celle de l’enregistrement, elle met à jour la date cible existante. Enfin, elle met à jour les champs Cible de rattrapage et État du rattrapage dans le formulaire d’élément vulnérable.

    Une fois les exécutions, les Evaluate remediation targets notifications disponibles sont envoyées.

    Evaluate remediation targets efface les champs de rattrapage sur le VI et arrête l’envoi de notifications.

    À partir de la Vulnerability Response version 19.0, la propriété, lorsqu’elle sn_sec_cmn.evaluate_targetmissed_records est activée, empêche la tâche planifiée d’évaluer les Remediation Target Rules VI manqués. Cette propriété est activée par défaut.

    Réapplication des règles de cibles de rattrapage

    Lorsque vous modifiez une règle de cible de rattrapage, utilisez le bouton Appliquer les changements sur la page de liste Règles de cibles de rattrapage pour réexécuter toutes les règles modifiées sur tous les VI ouverts actifs, à l’exception de ceux dont l’état est Fermé, Différé ou Résolu . Selon le nombre de VI que vous avez, cela peut prendre du temps.
    Remarque :

    Si la tâche planifiée est en cours d’exécution Evaluate remediation targets , vous ne pouvez pas lancer un processus de nouvelle application. Toutefois, si un processus de réapplication est déjà en cours d’exécution et que la tâche planifiée qu’il a déclenchée, ils s’exécutent en parallèle.

    Les processus de réapplication dans Vulnerability Response et Application Vulnerability Response sont indépendants et peuvent s’exécuter en parallèle.