Réponse aux vulnérabilités Vue d’ensemble des règles d’affectation

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Définissez les critères selon lesquels les éléments vulnérables (VIT) sont automatiquement affectés à un groupe d’affectation pour le rattrapage.

    Une règle d’affectation par défaut, Affecter au groupe de support CI, est incluse dans l’affectation des éléments vulnérables au groupe de support CI par le système de base. La règle Affecter au groupe de support CI affecte un VIT au groupe de support défini pour l’élément de configuration (CI) associé au VIT.
    Remarque :
    Les règles d’affectation ne réévaluent pas les affectations créées manuellement.

    Le type d’affectation, qu’il soit manuel ou de règle , est disponible dans le formulaire VIT et la vue de liste. Tout VIT qui a été affecté à l’origine par une règle, mais qui a ensuite été réaffecté manuellement, contient une référence à la règle d’origine.

    Utilisez la règle d’affectation et les informations sur le type d’affectation pour identifier les tickets dans lesquels les règles d’affectation n’ont pas trouvé de correspondance correcte pour le destinataire prévu. Vous pouvez également utiliser ces informations pour identifier les règles ayant le plus de réaffectations.

    Les groupes d’affectation définis par les règles d’affectation sont utilisés par les règles de tâche de rattrapage pour affecter les propriétaires aux tâches de rattrapage (VUL).
    Remarque :
    Pour rendre Rapid7 InsightVM les balises d’actifs disponibles pour une utilisation dans le filtre de condition des règles d’affectation, vous devez exécuter l’intégration de la Rapid7 InsightVM liste des actifs avant les autres Rapid7 InsightVM intégrations.

    La sensibilité à la casse du texte de recherche que vous saisissez dans le générateur de conditions n’est pas prise en charge sur cet enregistrement ou ce formulaire.

    Affectation automatique des éléments vulnérables

    Il existe trois façons différentes d’affecter des éléments vulnérables à l’aide de l’option Affecter à l’aide de :
    • Groupe d’utilisateurs : cette option vous permet de sélectionner l’un des groupes d’utilisateurs existantsNow Platform®.
    • Champ Groupe d’utilisateurs : cette option vous permet de choisir n’importe quel champ de groupe d’affectation disponible à l’aide de la table cmdb_ci. Par défaut, les trois champs de groupe suivants s’affichent :
      • Aucun : n’indique aucune valeur par défaut pour ce champ obligatoire
      • Élément de configuration : groupe d’approbation
      • Élément de configuration : Groupe d’affectation
      • Élément de configuration : groupe de support
    • Script : cette option vous permet de définir les conditions à l’aide d’un script. Cette option nécessite un codage ou une expertise avancée ServiceNow . Pour plus d’informations sur l’utilisation de l’éditeur de script pour définir des conditions complexes, consultez l’article de la base de connaissances KB0965240.

    Exécutez d’abord des règles de priorité élevée (éléments nécessitant une gestion spéciale, pour lesquels le risque est critique ou un VIT doit être traité conformément à la conformité réglementaire). Ensuite, exécutez vos règles générales, où aucune manipulation spéciale n’est requise, et vous savez qui doit en être responsable. Enfin, créez une règle par défaut pour affecter les VIT au groupe qui déterminera à quel groupe d’affectation ils doivent appartenir. Ce groupe pourrait ajouter une autre règle pour couvrir ses décisions. Cette règle par défaut s’exécute en dernier.

    Processus d’évaluation des règles d’affectation

    Les règles d’affectation sont utilisées pour évaluer et affecter un VIT lorsqu’un nouveau VIT est ouvert, c’est-à-dire importé, créé manuellement ou rouvert. À moins que vous ne réappliquiez manuellement des règles d’affectation après que le VIT ou son état a changé, un VI est évalué une fois.

    Le processus suivant est utilisé pour chaque VIT nouveau, mis à jour ou rouvert :
    • Pour chaque règle d’affectation de vulnérabilité, le VIT est comparé au filtre d’affectation, en commençant par la règle d’ordre le plus bas.
    • Lorsque la condition est remplie, un groupe d’affectation est affecté au VIT. La recherche s’arrête.
    • Lorsque les conditions ne trouvent pas de correspondance parmi toutes les autres règles, le VIT est affecté au groupe d’affectation par défaut, s’il existe une règle par défaut.
      Une fois que l’élément vulnérable a été affecté, la règle de tâche de rattrapage appropriée utilise l’affectation comme l’un de ses critères pour placer les éléments vulnérables dans une tâche de rattrapage. Voir Réponse aux vulnérabilités Tâches de rattrapage et vue d’ensemble des règles de tâche de rattrapage et Filtrage au sein de Réponse aux vulnérabilités pour plus d’informations.
      Remarque :
      La règle par défaut est celle dont la valeur d’ordre d’exécution est la plus élevée. Une dernière règle à utiliser qui est un bon fourre-tout est active=true. S’il n’y a pas de règle par défaut, le VIT reste non affecté lorsque la règle de tâche de rattrapage effectue l’affectation.

    Réapplication des règles d’affectation

    Lorsque vous modifiez une règle d’affectation, utilisez le bouton Appliquer les changements de la page de liste Règles d’affectation pour réexécuter toutes les règles modifiées sur tous les VIT ouverts actifs, à l’exception de ceux qui ont été affectés manuellement.
    Remarque :

    Si la Reapply all vulnerability assignment rules tâche planifiée n’a pas été exécutée avant la première fois que vous utilisez l’option Appliquer des changements, elle exécute toutes les règles d’affectation sur tous les VIT ouverts, à l’exception des VI qui ont été affectés manuellement. Après cela, toutes les utilisations ultérieures d’Appliquer les modifications réexécutent uniquement les règles modifiées et toutes les règles dépendantes. Les changements apportés à une règle peuvent entraîner la correspondance d’un VIT avec une autre règle non modifiée. La réapplication des règles d’affectation ne regroupe pas les éléments vulnérables.

    La tâche planifiée [Reapply all vulnerability assignment rules] est inactive par défaut. Lorsqu’il est activé, il applique toutes les règles à tous les VIT ouverts, à l’exception de ceux affectés manuellement. Il peut s’exécuter quotidiennement, hebdomadairement, mensuellement, périodiquement, une fois ou sur demande. En fonction du nombre de VI actifs que vous avez dans votre environnement, n’oubliez pas de définir le champ Exécuter de manière appropriée après l’exécution initiale pour éviter tout impact sur les performances.

    Les clients de mise à niveau doivent se référer aux Réponse aux vulnérabilités notes de version pour plus d’informations concernant l’impact de cette fonctionnalité sur les VIT existants.

    Important :
    En tant qu’administrateur et analyste de vulnérabilité, vous pouvez obtenir les dernières affectations des éléments vulnérables sélectionnés dans le Espace de travail du gestionnaire de vulnérabilités. Cette méthode est plus efficace que l’exécution des règles d’affectation pour tous les éléments vulnérables dans l’interface utilisateur classique, qui est un processus qui prend du temps. Pour plus d'informations, consultez Réévaluer les propriétés de rattrapage des enregistrements dans le Espace de travail du gestionnaire de vulnérabilités.

    Lorsqu’un groupe d’affectation sur une règle d’affectation change, les éléments vulnérables peuvent être automatiquement réévalués et regroupés en activant la propriété système sn_vul.rerun_task_rules et la règle métier Lier aux tâches de remédiation.

    Pour activer la propriété système :
    1. Accédez à la Tout > Propriétés système > Toutes les propriétés.
    2. Ouvrez la propriété système sn_vul.rerun_task_rules.
    3. Dans le champ Valeur , définissez la valeur sur vrai.
    Lorsque la propriété système est définie sur vrai et que les règles d’affectation sont réappliquées, les éléments vulnérables sont dissociés des tâches de rattrapage, lorsque la condition ne correspond plus.
    Remarque :
    Par défaut, la propriété système sn_vul.rerun_task_rules est définie sur false.

    Pour automatiser le regroupement des éléments vulnérables, vous devez activer la règle métier Lier les tâches de remédiation.

    Pour activer la règle métier :
    1. Accédez à la Tout > Définition du système > Règles métier.
    2. Ouvrez le lien vers la règle métier des tâches de remédiation.
    3. Cochez la case Actif pour activer la règle métier.
    La règle métier, lorsqu’elle est activée, regroupe les éléments vulnérables en les déplaçant vers le groupe approprié ou en créant un groupe s’ils ne peuvent être regroupés sous aucun groupe existant.
    Remarque :
    • Les éléments vulnérables sont supprimés des groupes sans que ceux-ci ne soient supprimés.
    • Seuls les éléments créés à l’aide des règles de tâche de rattrapage ou de l’effort de rattrapage sont supprimés.
    • Le regroupement s’effectue automatiquement uniquement lorsque le groupe d’affectation change dans le cadre d’une règle d’affectation et non lorsqu’il est modifié manuellement.
    Le regroupement dans les espaces de travail est effectué pour les tâches de rattrapage, qui sont créées à partir d’un effort de rattrapage.