Composants installés avec Réponse aux vulnérabilités pour conteneurs
Plusieurs types de composants sont installés lors de l'activation de l'application Réponse aux vulnérabilités pour conteneurs, notamment des tables, des rôles d'utilisateur et des tâches planifiées.
Les données de démonstration sont disponibles pour cette fonctionnalité.
Rôles installés avec Réponse aux vulnérabilités pour conteneurs
Des rôles sont ajoutés avec l'activation de Réponse aux vulnérabilités pour conteneurs.
Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.
Si vous êtes un client de mise à niveau, l’accès des utilisateurs et des groupes que vous avez affectés avec les autorisations sn_vul.vulnerability_read et sn_vul.vulnerability_write avant la version 10.3 n’a pas changé. Ces rôles restent affectés aux utilisateurs et aux groupes jusqu’à ce que vous les changiez. Toutefois, à partir de la version 10.3, vous préférerez peut-être affecter des rôles granulaires pour plus de contrôle sur ce que les utilisateurs et les groupes peuvent faire et voir dans l’application Réponse aux vulnérabilités . Pour une vue d’ensemble et plus d’informations sur la gestion de ces rôles, consultez Réponse aux vulnérabilités Profils et rôles granulaires et Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.
| Titre du rôle [name] | Description |
|---|---|
| V2.10 : sn_vul_container.delete | Supprime les enregistrements sources. Contient les rôles sn_vul_cmn.delete et sn_vul_container.delete_vi. |
| sn_vul_container.ci_manager | Gère la reclassification des éléments de configuration (CI) sans correspondance. |
| sn_vul_container.configure_integrations | Configure les intégrations de conteneurs. |
| sn_vul_container.configure_vi_granularity | Configure la granularité des éléments vulnérables de conteneur. |
| sn_vul_container.create_vi | Peut créer manuellement des éléments vulnérables de conteneur. |
| sn_vul_container.delete_vi | Peut supprimer les éléments vulnérables de conteneur créés manuellement. |
| sn_vul_container.exception_approver | Approuve les exceptions, les reports et les fermetures des éléments vulnérables du conteneur. À partir de la version v2.3, le rôle granulaire sn_vul_container.read_all a été supprimé pour ce rôle afin que vous puissiez accéder aux éléments vulnérables du conteneur et aux tâches de rattrapage qui vous sont affectés, à vous et à votre groupe, au lieu de tous les éléments vulnérables et tâches de rattrapage du conteneur. |
| sn_vul_container.false_positive_approver | Approuve ou rejette la fermeture des éléments vulnérables du conteneur en tant que faux positif. |
| sn_vul_container.manage_assignment_rules | Définit et met à jour les règles d’affectation des éléments vulnérables de conteneur. |
| sn_vul_container.manage_auto_close_stale_vi | Configurer la fermeture automatique des éléments vulnérables du conteneur périmé |
| sn_vul_container.manage_auto_exception_rule | Gérer (créer/lire/mettre à jour/supprimer) les règles d’exception |
| sn_vul_container.manage_normalized_severity | Peut mettre à jour le mappage pour normaliser la gravité. |
| sn_vul_container.manage_permissions | Peut affecter des rôles de Vulnerability Response de conteneur aux utilisateurs. |
| sn_vul_container.manage_remediation_targ... | Définit et met à jour les règles de cibles de rattrapage de conteneur. |
| sn_vul_container.manage_risk_score_confi... | Définit et met à jour les calculateurs de score de risque, les règles de risque et les calculateurs de déploiement de vulnérabilité pour les éléments vulnérables du conteneur. |
| sn_vul_container.read_all | Peut afficher tous les éléments vulnérables du conteneur et les informations connexes. |
| sn_vul_container.read_assigned | Peut afficher les éléments vulnérables de conteneurs qui me sont affectés ou qui sont affectés à mes groupes. |
| sn_vul_container.read_assignment_rules | Peut afficher les éléments vulnérables du conteneur et les règles d’affectation. |
| sn_vul_container.read_auto_exception_rule | Règles d’exception en lecture |
| sn_vul_container.read_discovered_image | Peut afficher les éléments détectés. |
| sn_vul_container.read_integrations | Peut afficher les résultats des exécutions d’intégration. |
| sn_vul_container.read_normalized_severity | Peut afficher le mappage de gravité normalisé. |
| sn_vul_container.read_remediation_target... | Peut afficher les règles de cibles de rattrapage. |
| sn_vul_container.read_risk_score_configu... | Peut afficher les calculateurs de score de risque, les règles de risque et les calculateurs de déploiement de vulnérabilité pour les éléments vulnérables du conteneur. |
| sn_vul_container.remediation_owner | Lit et écrit les éléments vulnérables de conteneurs qui leur sont affectés. Les enregistrements de vulnérabilité sont également lisibles par un utilisateur disposant de ce rôle. |
| sn_vul_container.update_assigned_to | Peut mettre à jour l’affectation des éléments vulnérables de conteneur. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.update_assignment_group | Peut mettre à jour le groupe d’affectation pour les éléments vulnérables de conteneur. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.update_state | Peut mettre à jour l’état des éléments vulnérables. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.vulnerability_admin | Configure toutes les règles, intégrations, etc., pour le Réponse aux vulnérabilités pour conteneurs produit. |
| sn_vul_container.vulnerability_analyst | Surveille le rattrapage de tous les éléments vulnérables du conteneur. |
| sn_vul_container.write_all | Peut mettre à jour tous les éléments vulnérables et tâches de rattrapage des conteneurs. |
| sn_vul_container.write_assigned | Peut mettre à jour des éléments vulnérables de conteneurs ou des tâches de rattrapage affectées à moi ou à mes groupes. |
| sn_vul_container.read_watch_topic | Peut lire les rubriques de surveillance pour les vulnérabilités de conteneur. |
| sn_vul_container.create_watch_topic | Peut créer des rubriques de surveillance pour les vulnérabilités de conteneur. |
| sn_vul_container.edit_watch_topic | Peut modifier les rubriques de surveillance pour les vulnérabilités de conteneur. |
| sn_vul_container.manage_exception_configuration | Peut gérer les configurations de gestion des exceptions. |
Tables installées avec Réponse aux vulnérabilités pour conteneurs
Les tables sont ajoutées avec l’activation de Réponse aux vulnérabilités pour conteneurs (CVR).
| Table | Description |
|---|---|
| Recherche d’image de conteneur sn_vul_container_image_findings |
Stocke des informations sur les vulnérabilités associées, la couche d’image, l’image Docker, le référentiel d’images et l’image détectée. |
| Couche d'image du conteneur sn_vul_container_image_layer |
Contient les informations de chaque couche d’image. Une image est un fichier statique avec du code exécutable qui peut créer un conteneur sur un système informatique. |
| Package d'images du conteneur sn_vul_container_image_package |
Fournit des informations sur les packages dans lesquels se trouvent les vulnérabilités. Les détails du package binaire sont également fournis sous forme de valeurs séparées par des virgules. |
| Élément vulnérable de conteneur sn_vul_container_image_vulnerable_item |
Contient les détails de chaque résultat et la vulnérabilité correspondante. |
| Image du conteneur détectée sn_vul_container_image |
Fournit des informations sur l’ID d’image, l’image Docker et le référentiel d’images. Il stocke également les informations de la couche et les associe à l’image détectée. |
| Recherche de mappages sn_vul_container_finding_m2m_vul_item |
Relation M2M entre les résultats de l’image du conteneur et les éléments vulnérables (CVIT) du conteneur. |
| Éléments vulnérables à fermeture automatique sn_vul_container_image_auto_close_config |
Contient les informations sur la façon de fermer les résultats d’image du conteneur périmés et de déployer l’état jusqu’aux CVIT. |
| Clés de vulnérabilité de l’image du conteneur sn_vul_container_image_vulnerability_keys |
Contient la configuration de granularité pour la création de CVIT à partir des résultats de l’image du conteneur. |
| Services associés au Doker sn_vul_container_m2m_ci_services |
Contient tous les services d’entreprise associés à une image de conteneur. |
| Nombres de conteneurs VR sn_vul_container_vr_container_counts |
Contient la moyenne mobile des instances de conteneur dérivées d’une image de conteneur au cours des 90 derniers jours. |
| Élément de tâche de rattrapage de conteneur sn_vul_container_m2m_vul_group_item |
Table M2M entre les tâches CVIT et Container Remediation. |
| Tâche de rattrapage de conteneur sn_vul_container_vulnerability |
Contient des tâches de rattrapage de conteneurs. |
| Manifeste de tâche de rattrapage de conteneur sn_vul_container_rt_manifest |
Toute mise à jour de la tâche de rattrapage sera effectuée à l’aide de cette table de manifestes par les travaux planifiés. |
Tâches planifiées installées avec Réponse aux vulnérabilités pour conteneurs
Des tâches planifiées sont ajoutées à l'activation d'Réponse aux vulnérabilités pour conteneurs.
| Tâche planifiée | Description |
|---|---|
| Associer les VI de conteneurs existants à la règle d’exception automatique | Associe automatiquement la règle d’exception automatique aux éléments vulnérables du conteneur (CVIT) existants. |
| Vérifier l’expiration du report de l’élément vulnérable du conteneur | Envoie des notifications si des éléments vulnérables du conteneur ou des vulnérabilités du conteneur ont expiré (et s’ils expirent dans une semaine). |
| Nombre de conteneurs de Vulnerability Response (Application - Vulnerability Response et Configuration Compliance pour les conteneurs) | S’exécute quotidiennement pour remplir la table sn_vul_container_vr_container_counts qui calcule la moyenne mobile de 90 jours pour les conteneurs. |
| Fermer automatiquement les CVIT | Ferme automatiquement les éléments de vulnérabilité de conteneur qui correspondent à la condition définie dans la configuration de fermeture automatique. Leur statut passe à « Corrigé ». |
| Calculer la criticité opérationnelle pour la CVIT | Traite tous les CVIT actifs et met à jour le champ Criticité opérationnelle, en fonction des services affectés de l’image Docker du CVIT. |
| Fermer les CVIT d’annulation qui n’ont pas d’image Docker associée | Expire automatiquement les CVIT qui n’ont pas de CI associé. Leur état est défini sur Fermé et le sous-état sur Annulé. |
| Calculer les nombres de VI connexes pour la tâche de rattrapage de conteneurs | Calcule les nombres sur les enregistrements de tâches de rattrapage de conteneurs. |
| Déployer les valeurs d’éléments vulnérables de conteneur vers la vulnérabilité et le groupe | Calcule les vulnérabilités et les déploiements de groupes pour les éléments vulnérables du conteneur. Remarque : À partir de la version 2.10 de Réponse aux vulnérabilités pour conteneurs, la tâche planifiée est améliorée pour créer des tâches en arrière-plan avec des options de multithreading. Cette mise à niveau implique de segmenter la tâche en plusieurs tâches enfants plus petites, qui sont exécutées en parallèle ou simultanément. Cette modification permet de traiter plusieurs enregistrements simultanément, ce qui accélère considérablement la tâche globale. |