Lancer une nouvelle analyse pour l’intégration de Rapid7 vulnérabilité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Lancez de nouvelles analyses dans la Rapid7 plateforme pour vérifier que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés.

    Avant de commencer

    Remarque :
    Les nouvelles analyses des éléments vulnérables de Rapid7 l’entrepôt de données ne sont pas prises en charge.

    Vous pouvez lancer de nouvelles analyses à partir des espaces de travail Vulnerability Response. Pour plus d'informations, consultez Analyser à nouveau les enregistrements et les tâches de rattrapage dans Vulnerability Manager Workspace et Analyser de nouveau les éléments vulnérables et les tâches de rattrapage dans le Espace de travail de remédiation IT.

    Rôles requis : Rôles requis : sn_vul.write_all ou sn_vul.write_assigned

    Pourquoi et quand exécuter cette tâche

    Pour les nouvelles analyses dans l’environnement classique, reportez-vous aux sections suivantes.

    Les nouvelles analyses sont prises en charge. Vous pouvez lancer une nouvelle analyse sur demande pour les éléments vulnérables importés à partir d’intégrations Rapid7 InsightVM à partir de votre Now Platform® instance.
    Remarque :
    Le Rapid7 scanner est désactivé par défaut dans l’application Réponse aux vulnérabilités . Si vous tentez d’effectuer une nouvelle analyse à partir des éléments vulnérables ou des tâches de rattrapage qui ont Rapid7 une application comme source, le bouton Ré-analyse n’est pas disponible.

    Pour aider à réduire les frais généraux et le volume impliqués par les analyses complètes planifiées, les responsables des rattrapages, les spécialistes informatiques, les analystes de vulnérabilité ou les gestionnaires de vulnérabilités peuvent lancer de nouvelles analyses ciblées sur demande pour des vulnérabilités spécifiques sur des actifs (éléments de configuration) dans leurs environnements. Vous pouvez lancer de nouvelles analyses à partir d’enregistrements d’éléments vulnérables (VI), de tâches de remédiation (RT), d’entrée tierce (TPE) ou d’éléments détectés à partir de votre Now Platform® instance.

    Les nouvelles analyses vous permettent de vérifier que vos activités de rattrapage, vos correctifs et vos autres actions ont corrigé avec succès des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    À titre d’exemple, l’ensemble de votre environnement est analysé une fois toutes les trois semaines. L’analyse complète la plus récente a été effectuée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines la prochaine analyse planifiée pour vérifier qu’elle a été corrigée. Pour vérifier que votre correctif corrige avec succès une vulnérabilité critique détectée lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform recherche Rapid7 d’éléments vulnérables. Vous pouvez afficher les résultats mis à jour sur vos éléments vulnérables lors de la prochaine importation planifiée de vulnérabilité et d’intégrations d’éléments Rapid7 InsightVM vulnérables.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez déclencher une nouvelle analyse et ouvrez-le.
      Remarque :
      Lancer de nouvelles analyses pour les VI avec Rapid7 comme source. Verify Rapid7 s’affiche dans la colonne Source des vues de listes des VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le Créateur de conditions pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue Liste des VI, dans le coin supérieur gauche de la liste, cliquez sur l’icône d’engrenage et déplacez Source de Disponible à Sélectionné.

      Lorsque vous lancez de nouvelles analyses, évitez de déclencher simultanément des analyses pour un ID source à partir de plusieurs sources. La dernière demande d’analyse génère une erreur.

      Par exemple, si vous lancez une nouvelle analyse pour un VI à partir d’un enregistrement de VI et que vous demandez également une autre nouvelle analyse à partir d’un enregistrement de tâche de rattrapage qui contient ce même VI, il est probable que la deuxième demande échoue.

      Champ source mis en surbrillance sur VI
    3. Vous pouvez également accéder à Réponse aux vulnérabilités > Tâches de remédiation ou Réponse aux vulnérabilités > Bibliothèques > tiers pour la tâche de rattrapage ou les enregistrements d’entrées de tiers, respectivement, que vous souhaitez utiliser pour la nouvelle analyse.

      En fonction de votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un enregistrement de VI unique, le VI doit provenir du Rapid7 produit et se trouver dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI que vous sélectionnez dans la vue de liste doivent provenir du produit et se trouver dans un état autre que Fermé Rapid7 .
      • Sur un enregistrement de tâche de rattrapage, la tâche de rattrapage peut être dans n’importe quel état autre que Fermé et tous les éléments vulnérables associés doivent provenir du Rapid7 produit.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement de VI associé du produit dans un Rapid7 état autre que Fermé.
      • Sur un enregistrement d’élément détecté, le VI doit provenir du Rapid7 produit et être dans un état autre que Fermé.
    4. Dans l’angle supérieur droit de l’enregistrement, cliquez sur Analyser à nouveau.
      Pour les vues de listes, sélectionnez les VI que vous souhaitez réanalyser dans la liste et, dans la liste Action sur les lignes sélectionnées , sélectionnez Analyser à nouveau.
    5. Dans la fenêtre contextuelle qui s’affiche, confirmez la nouvelle analyse.
      Un message s’affiche indiquant que votre analyse est en cours de traitement (Mis en file d’attente). Dans le message, cliquez sur le lien Afficher les détails pour vérifier l’état de la nouvelle analyse (analyse enfant) et afficher toutes les autres nouvelles analyses lancées à partir de l’enregistrement. L’état de toutes les nouvelles analyses peut être consulté à tout moment sous la liste connexe Analyses au bas des enregistrements de VI, de tâche de rattrapage, de TPE et d’élément détecté que vous utilisez pour lancer les nouvelles analyses.

      Lorsque l’analyse est en cours, le champ État passe à Analyse et le champ Message d’état affiche Scan is in progress (L’analyse est en cours).

      Remarque :
      Chaque nouvelle analyse prend en charge 500 actifs par analyse. Si votre demande comporte plus de 500 actifs, d’autres analyses enfants sont demandées.

      Votre Now Platform® instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine correctement ou jusqu’à l’expiration de la période de suivi définie, selon la première éventualité.

      Figure 1. Nouvelle analyse en cours
      Champs de message État et État mis en surbrillance

      Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état de votre Now Platform® nouvelle analyse a cessé, et non à la date à laquelle la nouvelle analyse elle-même s’est arrêtée. Tous les VI qui sont passés ou passeront à l’état Fermé/Fixe sont importés avec la prochaine importation planifiée des Rapid7 intégrations.

      Figure 2. Nouvelle analyse terminée
      Informations sur l’analyse terminée en surbrillance

      Vous pouvez également lancer une nouvelle analyse à la demande pour une vulnérabilité spécifique sur un actif spécifique. Vous pouvez afficher les résultats de ces analyses une fois l’analyse terminée sur les enregistrements actualisés de VI, de tâche de rattrapage, de TPE et d’élément détecté à partir desquels vous avez lancé l’analyse.

      La valeur du champ État sur les enregistrements d’analyse de vulnérabilité est importée à partir de Rapid7. Lorsque l’analyse est terminée avec succès, l’état est défini sur Terminé. Si l’analyse ne se termine pas avec succès, une valeur d’erreur s’affiche.

      Analyses automatiques et analyses planifiées

      En tant que gestionnaire ou analyste des vulnérabilités, vous pouvez spécifier et planifier le moment où de nouvelles analyses sont lancées pour les VI et les RT. Vous pouvez également activer les analyses automatiques pour les VI et les tâches de rattrapage définies sur Résoudre.

    6. Pour modifier les paramètres d’intégration sur l’instance d’intégration, accédez à Rapid7 Vulnerability Integration > Administration > Configuration.
    7. Dans l’enregistrement de configuration Rapid7, s’il n’est pas sélectionné, dans la liste Type d’intégration, sélectionnez Rapid7 InsightVM.
    8. À droite du champ Instance d’intégration , cliquez sur l’icône d’informations, puis sur Ouvrir l’enregistrement.
    9. Sur l’enregistrement Rapid7 InsightVM de l’instance d’intégration, localisez les paramètres de planification des analyses et modifiez-les si nécessaire.
      Paramètres d’analyse

      scan_on_resolved Indique si l’analyse est lancée lorsqu’une vulnérabilité est résolue. La valeur par défaut est false (désactivée).

      Si ce paramètre est défini sur vrai, chaque fois qu’un élément vulnérable ou une tâche de rattrapage est défini sur Résolu, le workflow permettant d’analyser à nouveau l’élément vulnérable et la tâche de rattrapage respectifs est déclenché automatiquement.

      scan_start_time
      Définissez l’heure de début de l’analyse au format HH :mm (format 24 heures) dans le fuseau horaire UTC pour l’heure de début de la fenêtre pour laquelle vous souhaitez que de nouvelles analyses soient disponibles.

      La valeur par défaut est 00:00.

      scan_end_time
      Définissez l’heure de fin de l’analyse au format HH :mm (format 24 heures) dans le fuseau horaire UTC pour l’heure de fin de la fenêtre d’analyse disponible.

      La valeur par défaut est 23:59.

      Si une analyse est lancée dans la fenêtre de temps prévue, elle est lancée instantanément. Si l’analyse est lancée en dehors de la fenêtre, elle est mise en file d’attente pour la prochaine fenêtre planifiée.

      Par exemple, si vous entrez une heure de début de 00:00 pour le scan_start_time paramètre et scan_end_time une de 10:00 le matin même, les analyses planifiées ou lancées manuellement en dehors de la fenêtre horaire de minuit à 10 heures sont mises en file d’attente et lancées à l’heure de début de l’intervalle de temps du jour suivant 00:00.

      Dans le même exemple, si vous lancez manuellement une nouvelle analyse à 11h00, la nouvelle analyse n’est pas immédiatement lancée, car elle se trouve en dehors des heures d’analyse configurées disponibles. La demande d’analyse reste en file d’attente jusqu’au début de la fenêtre horaire du jour suivant, dans cet exemple 00:00.