Vulnerability Response Vue d’ensemble des tâches de rattrapage et des règles de tâche

  • Rversion finale: Washingtondc
  • Mis à jour 6 févr. 2024
  • 6 minutes de lecture

    • Configurez les tâches de rattrapage (VUL) pour aider les analystes et les spécialistes du rattrapage à organiser les éléments vulnérables (VI) et à les analyser en bloc. Les critères de formation des groupes sont configurés de sorte que vous n’ayez pas à affecter manuellement des éléments vulnérables aux groupes. En utilisant les tâches de rattrapage, vous pouvez surveiller la progression et diriger le processus de rattrapage plus efficacement.

    Suivi des nombres de reports pour les éléments vulnérables et les tâches de rattrapage

    Suivez le nombre de fois où un élément vulnérable, un élément vulnérable d’application, un élément vulnérable de conteneur ou une tâche de rattrapage est reporté. Une tâche planifiée, qui définit des nombres de reports, s’exécute quotidiennement pour publier les décomptes des enregistrements qui sont reportés plus d’une fois dans la colonne Nombre de reports. Les enregistrements sont affichés dans les modules Reports multiples pour VR, AVR et CVR.

    Actualisation automatique des éléments vulnérables

    Remarque :
    L’automatisation de l’actualisation des éléments vulnérables s’applique uniquement aux groupes créés à l’aide du filtre de condition ou du groupe de filtres. L’automatisation ne s’applique pas aux VI qui ont été ajoutés manuellement ou regroupés à l’aide des règles de tâche de rattrapage.

    Lorsque la case à cocher Actualiser automatiquement les éléments vulnérables est sélectionnée, les nouveaux VI correspondant aux critères de filtre de la tâche de rattrapage sont automatiquement ajoutés à la tâche. Les éléments vulnérables de la tâche de rattrapage qui ne correspondent plus aux critères de filtre sont automatiquement supprimés de la tâche.

    Par défaut, lorsque la tâche de rattrapage quitte l’état Ouvert , la case à cocher est décochée. Si vous souhaitez que les éléments vulnérables continuent d’être ajoutés à la tâche de rattrapage, quel que soit leur état, désactivez la Set auto refresh vulnerable items règle métier.

    Vous pouvez cocher à nouveau la case manuellement à partir de l’état En cours d’examen. L’actualisation automatique des éléments vulnérables n’est pas désactivée lorsque la tâche de rattrapage passe à l’état En attente d’implémentation . Une fois à l’état En attente d’implémentation, aucun nouvel élément vulnérable ne peut être ajouté à la tâche existante, et aucun élément vulnérable existant ne peut être supprimé.
    Remarque :
    Lorsqu’une tâche de rattrapage est créée manuellement et que des VI sont ajoutés à l’aide du filtre de condition ou du groupe de filtres, la case à cocher n’est pas cochée. Vous avez le choix de cocher la case ou non.

    Actualisation manuelle des éléments vulnérables

    Pour les tâches de rattrapage créées manuellement avec un filtre de groupe de filtres ou de condition , tous les éléments vulnérables correspondant aux critères de filtre sont ajoutés lorsque vous cliquez sur le lien connexe Actualiser les éléments vulnérables associés sur la page Tâche de rattrapage. Les éléments qui ne correspondent plus aux critères sont supprimés. Cette action permet une mise à jour immédiate de la liste des éléments vulnérables et est utilisée que la case Actualiser automatiquement les éléments vulnérables soit cochée ou non.

    Les tâches de rattrapage créées manuellement à l’aide des types de filtres Condition ou Groupe de filtres sont actualisées une fois par heure.

    Comprendre les règles de la tâche de rattrapage

    Les règles de tâche de rattrapage vous permettent de définir la manière dont les éléments vulnérables sont automatiquement regroupés et affectés. Une règle par défaut, Vulnérabilité, est incluse dans le système de base qui rassemble les éléments vulnérables en fonction de leurs vulnérabilités. Toutefois, vous pouvez regrouper par n’importe quel autre ensemble de valeurs dans des colonnes accessibles à partir du VI. Ces valeurs peuvent inclure le groupe de support de l’élément de configuration (CI), la gravité de la vulnérabilité, etc.

    Vous pouvez créer autant de conditions que vous le souhaitez. Une fois que vous avez défini une sélection Grouper par, une autre ligne apparaît. Vous pouvez avoir jusqu’à six sélections Grouper par . Vous pouvez également automatiser l’affectation de groupe. Voir Créer ou modifier Vulnerability Response des règles de tâche de rattrapage et Filtrage au sein de Vulnerability Response pour plus d’informations.
    Remarque :
    Pour rendre Rapid7 InsightVM les balises d’actifs disponibles pour une utilisation dans le filtre Condition des règles de tâche de rattrapage, vous devez exécuter l’intégration de la Rapid7 InsightVM liste des actifs avant les autres Rapid7 InsightVM intégrations.

    Par exemple, vous pouvez regrouper vos éléments vulnérables par centre de coûts du CI vulnérable ou par vecteur d’attaque de la vulnérabilité. Vous pouvez avoir une règle de tâche pour les vulnérabilités de faible gravité ou les CI à faible risque. Vous pouvez avoir une autre règle de tâche pour les serveurs critiques et les vulnérabilités avec des exploits, c’est-à-dire des éléments vulnérables qui exposent l’entreprise à davantage de risques.

    Un ensemble différent de règles peut être utilisé pour les éléments vulnérables qui exposent l’entreprise à davantage de risques. Le nom de la tâche de rattrapage est annexé à la règle de tâche de rattrapage Grouper par valeurs pour faire une brève description du nouvel enregistrement. Consultez Créer un groupe Vulnerability Response pour plus d’informations sur les champs disponibles.

    Figure 1. Exemple de créateur de condition pour les entrées Grouper par
    Créateur de condition pour la règle de tâche de rattrapage affichant le groupe par entrées.

    Lorsqu’un nouvel élément vulnérable est créé, importé ou rouvert après avoir été fermé, les règles de vulnérabilité sont évaluées par rapport à celui-ci. Un VI n’est évalué qu’une seule fois, automatiquement, sauf s’il est rouvert après avoir été fermé ou si les règles sont réappliquées manuellement.

    Le processus suivant est utilisé pour chaque VI nouveau ou rouvert :

    • Pour chaque règle de tâche de rattrapage, le VI est comparé au filtre de règle de tâche de rattrapage.
    • Pour chaque règle dans laquelle la condition de règle de tâche de rattrapage correspond, la règle extrait les données du groupe par sélections sur le VI. Elle crée un nom de groupe et un champ. Dans ce cas, Risque élevé : QID-32342 :Résumé de QID-3242 (Nom : ID de vulnérabilité :résumé de vulnérabilité).
      Remarque :
      Le champ Brève description est limité à 160 caractères. Les résumés de vulnérabilité plus longs sont tronqués.
      La règle vérifie s’il existe une tâche de rattrapage ouverte correspondante qui est affectée au même groupe d’affectation que le VI.
      • Si la tâche est trouvée, le VI est ajouté à la tâche existante à l’état Ouvert .
      • Si aucune tâche à l’état Ouvert n’est trouvée, la règle crée une tâche à risque élevé : QID-32342 , l’affecte au même groupe d’affectation que le VI et place le VI dans la tâche de rattrapage.

    Plusieurs règles de tâche de rattrapage peuvent être définies pour regrouper différents types de vulnérabilités. Étant donné que chaque vulnérabilité est comparée aux conditions des règles de tâche de rattrapage avant de la placer dans un groupe, un trop grand nombre de règles peut avoir un impact sur les performances.

    Par défaut, les règles de tâche de rattrapage utilisent le groupe d’affectation défini par les règles d’affectation sur l’élément vulnérable lors du regroupement des éléments, et assignent la tâche de rattrapage pour qu’elle corresponde aux éléments vulnérables.

    Dans le cadre de la règle de tâche par défaut, l’affectation de ces tâches de rattrapage est contrôlée par les règles du module Règles d’affectation . Pour en savoir plus sur les règles d’affectation, reportez-vous à Vulnerability Response Vue d’ensemble des règles d’affectation.

    Lorsqu’une règle de tâche est supprimée, vous pouvez supprimer toutes les tâches ouvertes créées par cette règle depuis la vue de formulaire ou de liste. Les tâches qui ne sont pas ouvertes sont exclues.

    Réapplication des règles de tâche de rattrapage

    Lorsque vous souhaitez modifier une règle de tâche de rattrapage, utilisez le bouton Réappliquer sur la page de règle de tâche de rattrapage pour réexécuter la règle modifiée sur toutes les tâches de rattrapage ouvertes actives créées par cette règle. Il supprime et recrée automatiquement les tâches de rattrapage en fonction de la règle modifiée.