Vue d’ensemble des faux positifs
Un faux positif est une condition dans laquelle le scanner signale qu’une vulnérabilité existe dans le système, alors qu’en réalité il n’y a pas de vulnérabilité. Il peut y avoir plusieurs raisons telles qu’une classification incorrecte, une logique ou un algorithme incorrect dans le scanner. Le propriétaire de la remédiation peut marquer des éléments vulnérables (VI) ou des tâches de remédiation (RT) comme des faux positifs.
Cycle de vie d’un faux positif
- Signification de faux positif
- Le scanner donne parfois un avertissement, alors qu’en réalité il n’y a pas de vulnérabilité. Par exemple, si un élément de configuration a été mis hors service, mais que le scanner soulève toujours un problème qui lui est lié, marquez-le comme faux positif.
- Marquage comme faux positif
- Pour plus d’informations sur le marquage d’un VI ou d’un RT comme faux positif, reportez-vous à la section Marquer comme faux positif.
- Travailler avec le faux positif
- Une fois qu’une VI ou une RT est marquée comme faux positif, l’état est mis à jour sur Fermé et le sous-état est basculé sur Faux positif. Les actions suivantes peuvent être effectuées :
- Rouvrir
- Supprimer
- Mettez à jour la date dans le champ Jusqu’à . Cette date est ensuite utilisée comme date d’expiration du faux positif.
Remarque :S’il n’est pas approuvé, le VI ou le RT revient à son état précédent. - Approuver un faux positif
- L’approbateur peut approuver le faux positif à partir de son workflow d’approbation.Remarque :
À partir de Vulnerability Response v15.0, si vous déployez l’application VR pour la première fois, le concepteur de flux pour la gestion des exceptions est activé par défaut. Si vous utilisez déjà le workflow, vous pouvez effectuer une mise à jour vers Flow Designer. Dans les deux cas, vous ne pouvez pas le repasser en workflow. Pour configurer des règles d’approbation pour la gestion des exceptions et des faux positifs, reportez-vous à la section Configurer les règles d’approbation pour la gestion des exceptions.
- Réouverture d’un faux positif
- Un VI ou un RT dans un sous-état de faux positif peut être rouvert à tout moment.
- Suivi d’un faux positif
- Utilisez la section Approbations de changement d’état pour suivre l’état du faux positif. Une fois approuvée, l’état de la VI ou de la RT est mis à jour sur Fermé et la raison est Faux positif.
- Expiration d’un faux positif
- Seul l’approbateur de faux positif peut définir une date de fin pour le faux positif, pour que le VI ou le RT expire. En outre, seuls les faux positifs pour lesquels l’approbateur a fourni une date de fin peuvent expirer. Cette date peut être fournie après l’approbation du faux positif.Un faux positif sans date de fin est un faux positif permanent. Après l’expiration du faux positif, l’état du VI ou du VR revient à Ouvert.Remarque :
À partir de la version 21.0 de Réponse aux vulnérabilités, vous pouvez configurer les délais d’approbation des faux positifs et des exceptions, ainsi que des notifications par e-mail pour l’approbateur et le demandeur après un nombre de jours défini. Lorsqu’une demande est émise, l’élément vulnérable passe à l’état En cours de révision et un enregistrement de changement d’état est créé. Si l’approbateur ne répond pas dans le délai configuré, l’élément vulnérable ou la tâche de rattrapage revient à l’état Ouvert. L’état précédent est stocké dans le champ backup_state . Pour en savoir plus, consultez Configurer les règles d’approbation pour la gestion des exceptions.
Figure 1. Processus d’approbation des faux positifs antérieurs à la version 15.0 Le processus d’approbation est automatique si tous les éléments vulnérables réussissent l’analyse suivante. Les VI se ferment automatiquement quel que soit leur état actuel. Les champs VI ou, le cas échéant, État RT basculent sur Fermé avec le sous-état Fixe.
Pour plus d'informations, consultez Marquage et approbation d’un faux positif.