Réponse aux vulnérabilités Règles de cibles de rattrapage

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Les règles de cibles de rattrapage définissent le délai attendu pour le rattrapage des éléments vulnérables (VI), tout comme les SLA fournissent un délai pour le rattrapage de la vulnérabilité elle-même. Par exemple, si un actif contient des données PCI (données de carte de crédit), la vulnérabilité de cet élément doit être corrigée dans les 30 jours, conformément à la norme PCI DSS.

    Les gestionnaires de vulnérabilité peuvent créer des règles de cible de rattrapage en définissant :
    • La cible de rattrapage
    • La cible de rappel
    • Les destinataires des rappels et des notifications : qui doit être notifié lorsque les éléments vulnérables (VI) ont dépassé la date cible de rappel ou de rattrapage et n’ont pas été corrigés.

    Les analystes et gestionnaires de vulnérabilité peuvent voir la date cible de rattrapage dans le formulaire d’élément de vulnérabilité et les vues de liste, tant que les éléments vulnérables ne sont pas à l’état Différé, Résolu ou Fermé . Les règles de cible de rattrapage sont exécutées lors de l’importation et réexécutées si un VI est rouvert.

    La date cible de rattrapage est codée par couleur sur la vue de liste VI sous forme de points, comme suit :
    • Les éléments vulnérables qui n’ont pas atteint leur date de notification sont affichés en vert.
    • Les éléments vulnérables approchant de la date cible de rattrapage sont affichés en orange.
    • Les éléments vulnérables au-delà de la date cible de rattrapage sont indiqués en rouge.

    Un e-mail de résumé, par règle de cible de rattrapage, est envoyé lorsqu’un ou plusieurs éléments vulnérables approchent de leur date cible de rattrapage ou que la date cible de rattrapage est dépassée.

    Les règles de cibles de rattrapage peuvent être désactivées ou supprimées

    Lorsqu’une règle est désactivée, les dates cibles de rattrapage actuelles pour les VI auxquels elle a été appliquée sont effacées. Si un VI satisfait à une règle active, cette règle est appliquée, sinon le VI n’a pas de règle ni de date cible, et son état est Pas de cible.

    Lorsque des règles sont supprimées, la date cible de rattrapage et les champs connexes des VI fermés, différés ou résolus sont conservés. La date cible de rattrapage et les champs connexes sur les VI non fermés sont effacés et toutes les règles dépendantes sont réappliquées.

    Scénario de règle de cible de rattrapage

    Lorsque plusieurs règles de cible de rattrapage sont appliquées au même élément vulnérable, la règle la plus restrictive est appliquée.
    Remarque :
    Les cibles de rattrapage sont calculées à partir de la dernière date d’ouverture additionnée au nombre de jours (mesurés par incréments de 24 heures).

    À partir de la version 17.1, les cibles de rattrapage sont calculées à partir de la cible à partir de (date). La valeur par défaut demeure Date de dernière ouverture.

    Par exemple, si un élément vulnérable remplit la condition de deux règles de cible de rattrapage :

    Scénario : l’élément vulnérable a été ouvert pour la dernière fois le 03/01/2018 à 10:00:00.
    • Règle de cible de rattrapage 1 : Dernière ouverture le 03/07/2018 ; la cible de rattrapage est de 15 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 16/03/2018 10:00:00.
    • Règle de cible de rattrapage 2 : Dernière ouverture le 03/10/2018 ; la cible de rattrapage est de 10 jours depuis sa dernière ouverture ; La date cible de rattrapage calculée est le 03/11/2018 10:00:00.
    Dans ce scénario, la règle de cible de rattrapage 2 s’applique à l’élément vulnérable, car il comporte la date la plus restrictive. 10 jours depuis que l’élément vulnérable a été identifié pour la première fois contre 15 jours.
    Remarque :
    Une fois la règle de cible de rattrapage définie, les dates cibles de rattrapage sont calculées par la Evaluate remediation targets tâche planifiée.

    À propos de la tâche planifiée Évaluer les cibles de rattrapage

    Evaluate remediation targets Fonctionne une fois à 4:00:00 tous les jours.

    Il itère à travers toutes les règles de vulnérabilité actives, en commençant par celles dont la date cible de rattrapage est la plus précoce. Il examine tous les éléments vulnérables qui :
    • ne sont pas dans un état Fermé, Différé ou Résolu .
    • N’a pas de date cible de rattrapage.
    • Avoir une date cible de rattrapage qui est postérieure à la date indiquée dans la règle de cible de rattrapage.

    Evaluate remediation targets Ajoute une date cible de rattrapage, s’il n’en existe pas une, ou si une règle entraîne une date antérieure à celle de l’enregistrement, elle met à jour la date cible existante. Enfin, il met à jour les champs Cible de rattrapage et État du rattrapage dans le formulaire d’élément vulnérable.

    Une fois les Evaluate remediation targets exécutions, les notifications disponibles sont envoyées.

    Evaluate remediation targets efface les champs de rattrapage sur le VI et arrête l’envoi de notifications.

    À partir de la Réponse aux vulnérabilités version 19.0, la propriété, lorsqu’elle sn_sec_cmn.evaluate_targetmissed_records est activée, empêche la tâche planifiée d’évaluer les Remediation Target Rules VI manqués. Cette propriété est activée par défaut.

    Réapplication des règles de cibles de rattrapage

    Lorsque vous modifiez une règle de cible de rattrapage, utilisez le bouton Appliquer les changements de la page de liste Règles de cibles de rattrapage pour réexécuter toutes les règles modifiées sur tous les VI ouverts actifs, à l’exception de ceux à l’état Fermé, Différé ou Résolu . Selon le nombre d’éléments vulnérables que vous avez, cela peut prendre du temps.
    Remarque :

    Si la tâche Evaluate remediation targets planifiée est en cours d’exécution, vous ne pouvez pas lancer un processus de nouvelle demande. Toutefois, si un processus de nouvelle demande est déjà en cours d’exécution et que la tâche planifiée qu’il a déclenchée, ils s’exécutent en parallèle.

    Les processus de réapplication dans Réponse aux vulnérabilités et Réponse aux vulnérabilités des applications sont indépendants et peuvent s’exécuter en parallèle.

    Important :
    En tant qu’administrateur et analyste de vulnérabilité, vous pouvez obtenir la dernière date cible de rattrapage pour les éléments vulnérables sélectionnés dans le Espace de travail du gestionnaire de vulnérabilités. Cette méthode est plus efficace que l’exécution des règles de cibles de rattrapage pour tous les éléments vulnérables dans l’interface utilisateur classique, ce qui prend du temps. Pour plus d'informations, consultez Réévaluer les propriétés de rattrapage des enregistrements dans le Espace de travail du gestionnaire de vulnérabilités.