Vue d’ensemble des règles d’exclusion

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Les règles d’exclusion fournissent un moyen de filtrer ou d’empêcher les détections d’être converties en éléments vulnérables (VIT) pendant le processus d’ingestion dans Réponse aux vulnérabilités.

    Ces règles peuvent être configurées pour gérer divers scénarios tels que :
    • À l’exclusion des vulnérabilités de faible gravité ou de faible risque qui ne nécessitent pas de correction immédiate.
    • Amélioration du processus de rattrapage en hiérarchisant les VIT les plus critiques en vue d’une action.
    • Réduction du temps de traitement pendant l’importation des données en excluant un pourcentage de détections de la conversion VIT.
    Pendant le processus d’ingestion des données, il existe des approches distinctes pour gérer les détections nouvelles et existantes.
    • Pour les nouvelles détections :
      • Si une nouvelle détection ne répond pas aux conditions d’une règle d’exclusion, une détection est créée avec les VIT.
      • Si une nouvelle détection remplit les conditions d’une règle d’exclusion, la règle est associée à la détection, mais VIT n’est pas créé. Renseignez la référence de règle d’exclusion correspondante sur l’enregistrement de détection. La colonne Règle d’exclusion est renseignée en conséquence avec une référence à la règle d’exclusion sur l’enregistrement de détection.
    • Pour les détections existantes :
      • Si la détection ne répond pas aux conditions d’une règle d’exclusion, elle poursuit le workflow normal.
      • Si une détection existante correspond aux conditions d’une règle d’exclusion, le VIT associé à cette détection reste dans son état actuel, mais la règle est associée à la détection. L’état du VIT est régi par la valeur définie dans la sn_vul.close_vit_with_excluded_detections propriété. Par défaut, la valeur de cette propriété est définie sur Faux. Si la valeur est définie sur Faux, les détections sous un VIT sont exclues et l’état des VIT reste dans son état actuel. Toutefois, si la valeur est définie sur Vrai, les scénarios suivants peuvent se produire :
        • Si toutes les détections dans le cadre d’un VIT sont exclues, l’état du VIT est mis à jour et prend la valeur Fermé exclu.
          Remarque :
          À partir de la v22.1.2 d’un Réponse aux vulnérabilités nouveau sous-état appelé Exclu a été ajouté,
        • Si une détection est marquée comme fermée alors que les autres sont exclues, le VIT est désigné comme fermé fixe.
        • Si le VIT présente des détections ouvertes, il reste ouvert.