Créer, modifier et supprimer des règles de tâche de rattrapage de Container Vulnerability Response

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Vous pouvez créer des règles pour regrouper automatiquement les éléments vulnérables du conteneur (CVIT) dans des tâches de remédiation (CVUL) en fonction des conditions de filtre. Ces règles regroupent automatiquement les CVIT au fur et à mesure qu’elles sont importées ou créées manuellement.

    Avant de commencer

    Si vous créez une nouvelle règle, elle ne s’applique pas aux données existantes. Une fois que vous l’avez soumis, il est exécuté par rapport aux nouvelles importations.

    Rôle requis : App-Sec Manager

    Procédure

    1. Accédez à la Tout > Conteneur Vulnerability Response > Administration > Règles de tâche de rattrapage..
    2. Ouvrez la règle ou sélectionnez Nouveau.
    3. Renseignez les champs du formulaire ou modifiez-les.
      Tableau 1. Règle de la tâche de rattrapage
      Champ Description
      Nom Nom de la règle de tâche.
      Actif Indique si la tâche est active.
      Description Description de la règle.
      Sensible à la casse Détermine si une condition est sensible à la casse ou non.
      Remarque :
      La valeur par défaut n’est pas sensible à la casse.
      Condition

      Conditions de filtre facultatives pour la règle.

      Par défaut (case sensible à la casse non cochée), le texte de recherche que vous saisissez dans le générateur de conditions sur les enregistrements et formulaires de règles de tâche n’est pas sensible à la casse. Vous pouvez activer les recherches sensibles à la casse sur les enregistrements de tâches et les formulaires.

      Voici un exemple de condition Vulnérabilité > est > VULNENT123451 (une vulnérabilité importée connue). Tous les CVIT présentant cette vulnérabilité correspondent à cette condition.

      Grouper par (jusqu’à six ensembles de conditions sont disponibles)
      Regrouper les éléments vulnérables de conteneurs à partir de Table que la règle utilise pour regrouper les CVIT.
      Sélectionner les éléments de l’arborescence :
      • Élément vulnérable de conteneur [sn_vuln_vulnerable_item]
      • Élément vulnérable de conteneur : image de Docker
      • Élément vulnérable de conteneur : vulnérabilité de conteneurs
      Remarque :
      Si vous choisissez une table étendue, le champ Utilisation n’est appliqué qu’aux éléments vulnérables de l’application qui utilisent cette table étendue.
      Utilisation du champ Champ de la table que la règle utilise pour regrouper les CVIT. Sélectionnez des conditions dans l’arborescence.
      Affectation
      Affecter la tâche de rattrapage par

      Lors de l’affectation automatique des tâches de rattrapage, le choix Affectation est utilisé en plus des choix Grouper par pour regrouper les éléments vulnérables. De nouvelles tâches sont créées, selon les besoins, de sorte que chaque CVIT est placé dans une tâche avec un ensemble de groupes d’affectation correspondants.

      Pour automatiser l’affectation des tâches créées en fonction de cette règle, choisissez l’une des options disponibles.
      • Regrouper par champ : si vous avez sélectionné un champ de groupe d’utilisateurs à partir des valeurs du champ Utilisation dans la section Grouper par , il apparaît dans le menu déroulant.
      • Groupe d’utilisateurs : utilisez la liste de recherche pour sélectionner un groupe d’utilisateurs statique.
      Remarque :
      Si vous supprimez une règle de la vue de formulaire ou de la vue de liste, vous avez la possibilité de supprimer toutes les tâches de rattrapage ouvertes créées par cette règle. Les groupes qui ne sont pas dans l’état Ouvert sont exclus.
    4. Sélectionnez Soumettre pour de nouvelles règles.
      Une fois que vous avez sélectionné Soumettre, votre règle s’affiche dans la liste Règles de tâche de rattrapage [sn_vul_grouping_rule]. Les situations suivantes initient votre règle.
      • Lorsque de nouveaux CVIT sont créés.
      • Lorsque vous sélectionnez Réappliquer. Vous sélectionnez Réappliquer pour évaluer les règles de tâche sur les tâches de rattrapage existantes uniquement.
      • Lorsque les CVIT sont mis à jour, soit par vous, soit par le système.
        Si un CVIT est mis à jour, les règles de tâches sont évaluées pour vérifier leur correspondance avec les tâches de rattrapage existantes. Voici quelques mises à jour courantes qui déclenchent une vérification des règles :
        • Lorsque l’état passe de Fermé à Ouvert, ou de Fermé à En cours d’examen.
        • L’élément de configuration (CI) est modifié.
        • La vulnérabilité est modifiée.

      Le système vérifie que toutes les règles de tâches ne correspondent pas au CVIT mis à jour. Si les conditions d’une règle correspondent aux conditions d’une tâche de rattrapage, les CVIT correspondants lui sont affectés.

      Si aucune correspondance n’est trouvée, une nouvelle tâche de rattrapage est créée.

      Pour plus d’informations sur le déploiement d’état des CVIT vers les tâches de remédiation et sur le déploiement de l’état des tâches de rattrapage vers les CVIT, consultez Vue d’ensemble des tâches de remédiation et des règles de tâche de Container Vulnerability Response.

      Pour obtenir un exemple de règle de tâche de rattrapage, consultez Exemples de règles de tâche de rattrapage d’Application Vulnerability Response.

    5. Pour supprimer une règle de tâche, sélectionnez-la dans la liste Règles de tâche de rattrapage, puis sélectionnez Supprimer.
      Le message suivant s’affiche : La règle de tâche de rattrapage sélectionnée a créé n tâches de rattrapage. Parmi les tâches de rattrapage, n sont à l’état Ouvert.
      Option Description
      Case à cocher désactivée (par défaut). Supprimez uniquement la règle. Les tâches qui ne sont pas dans l’état ouvert sont exclues.
      Case à cocher. Inclure les tâches de rattrapage dans l’état Ouvert lorsque vous supprimez la règle de tâche de rattrapage. Supprimez la règle et toutes les tâches de rattrapage à l’état Ouvert.
    6. Choisissez une option et sélectionnez Supprimer.