Fermeture des détections obsolètes dans Vulnerability Response

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 10 minutes de lecture

    • Le module Fermer automatiquement les détections périmées vous aide à nettoyer automatiquement les détections vulnérables anciennes et périmées qui n’ont pas été trouvées récemment par vos intégrations tierces. Le passage de ces détections à l’état Fermé réduit le nombre d’éléments vulnérables actifs et de tâches de rattrapage dans votre Now Platform instance et vous aide à rapprocher les actifs dans votre CMDB.

    Vue d’ensemble et termes clés

    Afin de déployer plus précisément les données de détection sur vos éléments vulnérables, le module Fermer automatiquement les détections périmées vous aide à nettoyer les détections d’éléments vulnérables anciennes et périmées qui n’ont pas été trouvées récemment par vos intégrations tierces. Pour plus d’informations sur cette fonctionnalité, consultez le cas d’utilisation ci-dessous et l’article Fermer automatiquement les détections périmées [KB 0958638].

    Dans les versions précédentes de Vulnerability Response, le module Éléments vulnérables à fermeture automatique a automatiquement fait passer les éléments vulnérables qui n’ont pas été récemment trouvés ou mis à jour par vos intégrations de scanners tiers à Fermé - Périmé.

    Avant d’activer la fonctionnalité Fermer automatiquement les détections périmées, passez en revue les termes suivants, la façon dont les états sont déployés jusqu’aux éléments vulnérables et aux tâches de rattrapage, ainsi que les prérequis pour vos intégrations tierces qui importent des données de détection.

    Pour activer cette fonctionnalité, reportez-vous à la section Fermer automatiquement les détections obsolètes dans Vulnerability Response.

    Termes clés

    Détections obsolètes
    Fait référence aux détections associées aux éléments vulnérables de votre Now Platform® instance qui sont anciennes et n’ont pas été trouvées, mises à jour ou détectées par les analyses d’intégration tierce pendant une période significative.
    Dernières détections trouvées
    Cette option de recherche utilise la date et l’heure fournies par le scanner tiers. Ce terme fait référence à la date et à l’heure les plus récentes (ou les plus récentes) auxquelles le scanner a détecté à nouveau.
    Dernière numérisation des actifs
    Cette option de recherche utilise la date et l’heure fournies par le scanner tiers. Ce terme désigne la date et l’heure les plus récentes auxquelles un actif a été scanné pour la dernière fois par un analyseur tiers.

    Cas d'utilisation

    Parfois, les actifs (éléments de configuration) peuvent être mis hors service dans votre environnement ou purgés par des analyseurs tiers, et leurs détections associées ne sont pas mises à jour par les détections d’éléments vulnérables. Par conséquent, les détections et leurs éléments vulnérables associés ne sont pas mis à jour dans l’application Vulnerability Response et deviennent inactifs (périmés).

    Pour fermer ces détections vieillies dont les données d’éléments vulnérables restent inchangées et réduire ensuite le nombre de VI actifs et de tâches de remédiation (RT), activez l’option Fermer automatiquement les détections périmées. Cette fonctionnalité ferme automatiquement les détections d’éléments vulnérables qui ne sont pas récemment trouvées ou mises à jour par vos intégrations de scanners tiers en fonction de critères de recherche et d’un nombre de jours par ancienneté que vous définissez.

    Par exemple, supposons qu’un élément de configuration (CI) particulier possède plusieurs ID d’actif et que l’un d’eux n’a pas été importé lors d’une détection à partir d’un scanner tiers au cours des 90 derniers jours. Cette fonctionnalité ferme automatiquement cette détection qui n’a pas de nouvelles données de vulnérabilité afin que l’élément vulnérable associé puisse être fermé.

    Étant donné qu’un VI peut être associé à plusieurs détections, cette fonctionnalité ne fait transiter que les détections jugées obsolètes par les paramètres que vous définissez. Par exemple, si un VI est associé à quatre détections, dont deux sont périmées, c’est-à-dire qu’aucune nouvelle donnée de vulnérabilité n’a été importée au cours des 90 derniers jours, cette fonctionnalité ferme uniquement les détections périmées. Avant de pouvoir fermer le VI, vous devez d’abord corriger les deux autres détections ouvertes.

    Déploiement des états de détection sur les VI

    Pour différencier les détections fermées automatiquement des détections fermées par des scanners tiers, une nouvelle valeur a été ajoutée pour le champ État, Stémé. Les valeurs possibles pour ce champ sont Ouvert, Fermé et Périmé. Périmé indique qu’une détection a été fermée par la fonctionnalité de détection de fermeture automatique.

    Priorité de l’état : Ouvert > Fermé > périmé.

    1. Si des détections sont ouvertes, l’état du VI associé reste Ouvert.
    2. Si aucune détection n’est ouverte, que certaines sont fermées et que d’autres sont périmées, l’état du VI associé passe à Fermé - Corrigé.
    3. Si toutes les détections sont périmées, l’état du VI associé passe à Fermé : périmé.

      Selon Vulnerability Response la version 20.0, si une détection est à l’état Fermé - Périmé, le VI associé est à l’état Fermé, l’état du VI ne passe pas à Fermé - Périmé. Cela permet d’éviter que le VI ne se rouvre lorsqu’une nouvelle détection est identifiée et d’éviter de la parcourir entièrement. Pour inverser ce comportement, décochez la case Ignorer les détections obsolètes pour les VI fermés dans le formulaire Configuration de fermeture automatique. Pour plus d'informations, consultez Fermer automatiquement les détections obsolètes dans Vulnerability Response.

    4. Si la détection est périmée et que le VI associé est à l’état Fermé, l’état du VI ne passe pas à Fermé : périmé. Cela permet d’éviter que le VI ne se rouvre lorsqu’une nouvelle détection est identifiée et d’éviter de passer par l’ensemble du processus de demande et d’approbation de faux positif. Pour inverser ce comportement, décochez la case Ignorer les détections obsolètes pour les VI fermés dans le formulaire Configuration de fermeture automatique. Pour plus d'informations, consultez Fermer automatiquement les détections obsolètes dans Vulnerability Response.

    Déploiement des états VI vers les tâches de rattrapage (VUL)

    Priorité de l’état : Ouvert > Fermé : Fixe > Fermé : périmé.

    1. Si des VI dans une VUL (tâche de rattrapage) sont ouverts, l’état VUL n’est pas modifié.
    2. Si au moins un VI est Fermé - Fixe et que les autres sont Fermé - Périmé, l’état VUL passe à Fermé - Fixe.
    3. Si tous les VI d’une VUL sont Fermé - Périmé, l’état de la VUL passe à Fermé - Annulé.

    Exigences relatives aux détections de fermeture automatique et aux intégrations tierces

    Utilisateurs de Microsoft TVM et fermeture automatique des détections périmées

    Élément de liste de vérification Description
    Intégration de vulnérabilité Microsoft TVM Avec l’intégration des vulnérabilités Microsoft TVM, si vous sélectionnez Dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’intégration des vulnérabilités des machines Microsoft TVM (importation complète) au cours des sept derniers jours. Cette intégration s’exécute chaque semaine.

    Si la fermeture automatique des détections périmées est activée et configurée pour les dernières détections détectées, et que l’intégration des vulnérabilités des ordinateurs Microsoft TVM est désactivée ou qu’une importation de données n’est pas effectuée avec succès au cours des sept derniers jours, la tâche planifiée pour fermer les détections s’exécute toujours quotidiennement, mais certaines détections périmées peuvent ne pas être fermées comme prévu.

    Si vous sélectionnez Derniers actifs numérisés pour baser votre recherche, l’exécution de l’intégration des vulnérabilités des machines Microsoft TVM n’est pas requise.

    Pour activer cette intégration :

    1. Accédez à la Intégration de vulnérabilité Microsoft TVM > Administration > Intégration.
    2. Localisez et activez l’intégration des vulnérabilités des machines Microsoft TVM (importation complète).
    (Facultatif) Déployez plusieurs instances des intégrations Microsoft TVM dans votre environnement. Vous pouvez éventuellement déployer plusieurs instances des intégrations dans votre environnement.

    La fermeture automatique des détections périmées n’est pas spécifique à une instance et est activée ou désactivée dans votre environnement. Les détections obsolètes sont automatiquement transférées vers l’état obsolète sur les instances qui ont correctement terminé l’exécution de l’intégration.

    Si la fermeture automatique des détections périmées est activée et que vous désactivez les intégrations qui s’exécutent chaque semaine dans une instance, la tâche planifiée pour fermer les détections s’exécute toujours quotidiennement, mais il est possible que certaines détections ne passent pas automatiquement à l’état périmé comme prévu.

    Qualys utilisateurs et éléments vulnérables périmés à fermeture automatique

    • Toutes les intégrations tierces activées Qualys qui récupèrent les données de détection peuvent s’exécuter avec ce module. Aucune application spécifique Qualys n’est requise.
    • Vous pouvez éventuellement déployer plusieurs instances des Qualys intégrations dans votre environnement.
    • La fermeture automatique des détections périmées n’est pas spécifique à une instance et est activée ou désactivée dans votre environnement. Les détections périmées sont automatiquement transitionnées vers l’état Périmé sur toutes les instances.

    Rapid7 utilisateurs et fermeture automatique des détections périmées

    Élément de liste de vérification Description
    L’intégration Rapid7 des vulnérabilités Si vous sélectionnez Dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’une des intégrations complètes d’éléments vulnérables au cours des Rapid7 sept derniers jours. Ces intégrations complètes s’exécutent chaque semaine :
    • Pour Rapid7 Nexpose l’entrepôt de données, une exécution réussie à partir de l’intégration Rapid7 complète des éléments vulnérables est requise.
    • Pour Rapid7 InsightVM, une exécution réussie de l’API Rapid7 Comprehensive Vulnerable Item Integration est requise.

    Si l’option Fermer automatiquement les détections périmées est activée et configurée pour les dernières détections, si les intégrations complètes d’éléments Rapid7 vulnérables sont désactivées ou si une importation de données n’a pas abouti au cours des sept derniers jours, la tâche planifiée pour fermer les détections s’exécute toujours quotidiennement, mais certaines détections périmées peuvent ne pas être fermées comme prévu.

    Si vous sélectionnez Derniers actifs scannés pour baser votre recherche, aucune exécution d’intégration complète Rapid7 n’est requise.

    Pour activer ces intégrations :

    1. Accédez à la Rapid7 Vulnerability Integration > Administration > Intégration.
    2. Localisez et activez l’intégration Rapid7 complète des éléments vulnérables dont vous avez besoin.
    Remarque :

    En plus de ces intégrations qui s’exécutent chaque Rapid7 Nexpose semaine et Rapid7 InsightVM qui ont chacune des intégrations de VI qui s’exécutent quotidiennement, l’intégration d’élément vulnérable Rapid7 et l’intégration d’élément vulnérable Rapid7 : API.

    Si les intégrations quotidiennes et hebdomadaires Rapid7 sont activées, une seule intégration s’exécute à la fois. Si l’une de ces tâches d’intégration est en cours d’exécution, la tâche de l’autre intégration est ignorée jusqu’à la tâche planifiée suivante.
    (Facultatif) Déployez plusieurs instances d’intégrations Rapid7 dans votre environnement. Vous pouvez éventuellement déployer plusieurs instances des intégrations complètes dans votre environnement.

    La fermeture automatique des détections périmées n’est pas spécifique à une instance et est activée ou désactivée dans votre environnement. Les détections obsolètes sont automatiquement transférées vers l’état obsolète sur les instances qui ont correctement terminé l’exécution de l’intégration.

    Si l’option Fermer automatiquement les détections périmées est activée et que vous désactivez les intégrations qui s’exécutent chaque semaine dans une instance, la tâche planifiée pour fermer les détections s’exécute toujours quotidiennement, mais il est possible que certaines détections ne passent pas automatiquement à l’état Obsolète comme prévu.

    Utilisateurs de l’intégration de vulnérabilité Tenable et fermeture automatique des éléments vulnérables périmés

    • Toutes les intégrations activées de Tenable Vulnerability Integration qui récupèrent les données de détection peuvent s’exécuter avec ce module. Aucune intégration de vulnérabilité Tenable spécifique n’est requise.
    • Vous pouvez éventuellement déployer plusieurs instances de Tenable Vulnerability Integration dans votre environnement.
    • La fermeture automatique des détections périmées n’est pas spécifique à une instance et est activée ou désactivée dans votre environnement. Les détections périmées sont automatiquement transitionnées vers l’état Périmé sur toutes les instances.

    Après avoir vérifié que vos intégrations sont correctement configurées, consultez Fermer automatiquement les détections obsolètes dans Vulnerability Response pour activer la fonctionnalité.

    Mettre à niveau les informations de la fermeture automatique des éléments vulnérables périmés vers la fermeture automatique des détections périmées

    Pour le module Fermer automatiquement les éléments vulnérables périmés, si vous avez précédemment utilisé la fermeture automatique des éléments vulnérables périmés :
    • La valeur du nombre de jours que vous avez saisi pour l’option Dernière numérisation des actifs dans Fermer automatiquement les éléments vulnérables périmés est conservée automatiquement pour les derniers actifs analysés dans Fermer automatiquement les détections périmées.
    • La valeur du nombre de jours que vous avez entré pour l’option Derniers éléments vulnérables trouvés dans Fermer automatiquement les éléments vulnérables périmés est conservée automatiquement pour les dernières détections trouvées dans Fermer automatiquement les détections périmées.
    • Les détections ouvertes existantes avec des éléments vulnérables comme Fermé - Périmé passeront à l’état Périmé conformément aux paramètres de configuration de fermeture automatique lorsque la tâche planifiée s’exécute après la Auto-Close Stale Detections mise à niveau.

    Informations sur le déploiement

    • Si un élément vulnérable était Fermé - Périmé avant la mise à niveau et que toutes ses détections sont marquées comme Périmées après la mise à niveau, l’état du VI reste Fermé - Périmé.
    • Si un élément vulnérable était à l’état Fermé - Périmé avant la mise à niveau, et que seules certaines de ses détections sont marquées comme Périmées après la mise à niveau et que les autres ont été fermées par le scanner, l’élément vulnérable passe à Fermé - Corrigé selon la logique de déploiement.