Réponse aux vulnérabilités États des tâches de résolution

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 8 minutes de lecture

    • Les intégrations tierces importent des données de détection d’éléments vulnérables qui créent de nouveaux éléments de vulnérabilité (VIT) ou mettent à jour des VIT existants. Les états de détection mettent à jour les états VIT dans la mesure où ils sont Ouverts ou Fermés.

    Pour plus d’informations sur la façon dont l’état d’une détection affecte l’état d’un VIT, reportez-vous à la États des détections, des tâches de rattrapage et des éléments vulnérablessection .

    Avec Gestion des changements pour Réponse aux vulnérabilités, il existe une relation synchronisée entre les champs d’état des tâches de rattrapage et les champs d’état des demandes de changement (CHG) dans le produit Vulnerability Response. Au fur et à mesure qu’une demande de changement avance dans son cycle de vie, elle déplace automatiquement l’état de toutes les tâches de rattrapage connexes. Après l’implémentation d’une demande de changement, la tâche de rattrapage est automatiquement résolue. Consultez Synchronisation de l’état entre les demandes de changement et les tâches de rattrapage pour plus d'informations.
    Remarque :
    À partir de la v23.0 de Réponse aux vulnérabilités:
    • Le workflow Approbation de l’état de la tâche de rattrapage est déconseillé et remplacé par l’Approbation de l’état de la tâche de rattrapage du flux dans le Flow Designer.
    • le bouton Fermer a été supprimé pour une tâche de rattrapage et la fermeture d’une tâche de rattrapage est pilotée par le scanner.

    La table suivante répertorie les états des tâches de rattrapage et les actions que vous pouvez effectuer sur une tâche de rattrapage à l’état respectif :

    Tableau 1. États des tâches de résolution
    État Description
    Ouvrir État à la création. À partir de cet état, vous pouvez :
    Afficher les VI en double
    Identifiez les VI en double signalés par plusieurs scanners du système. Vous pouvez marquer le VI en double comme Résolu ou Fermé. Les entrées en double ne sont affichées que lorsque la combinaison des vulnérabilités est créée à l’aide des vulnérabilités et expositions communes (CVE). Pour plus d'informations, consultez Réponse aux vulnérabilités États de la tâche de rattrapage et des éléments vulnérables.
    Démarrer l'examen
    Affectez cette tâche de rattrapage à une personne ou à un groupe pour commencer à enquêter.
    Marquer comme faux positif
    Marquez un élément ou un groupe comme faux positif si le scanner signale qu’une vulnérabilité existe dans le système, mais qu’en réalité il n’y a pas de vulnérabilité.
    Demande d'exception
    Demandez une exception, une date de réouverture (jusqu’à), un motif et, éventuellement, fournissez des informations supplémentaires. Reporter le rattrapage de l’élément ou du groupe jusqu’à la date à laquelle une exception est demandée.
    Résoudre
    Marquez comme Résolu pour faire passer l’élément ou le groupe à l’état Résolu.
    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Diviser la tâche de rattrapage
    Pour une tâche de rattrapage comportant plusieurs éléments vulnérables, utilisez un ensemble de conditions pour filtrer un sous-ensemble d’éléments vulnérables et diviser une tâche de rattrapage. Les éléments que vous sélectionnez sont automatiquement déplacés vers une nouvelle tâche de rattrapage. Pour plus d'informations, consultez Fractionner une tâche de rattrapage dans Espace de travail de remédiation IT.
    Différer
    Sélectionnez l’état Différé, une date de réouverture, un motif et, éventuellement, fournissez des informations supplémentaires. Reporter l’état de la tâche de rattrapage à la date de réouverture.
    Supprimer
    Confirmez la suppression. Supprime le groupe.
    En cours d'examen Déclenché par le bouton Démarrer l’examen . À partir de cet état, vous pouvez :
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Fractionner la tâche
    Pour une tâche de rattrapage comportant plusieurs éléments vulnérables, utilisez un ensemble de conditions pour filtrer un sous-ensemble d’éléments vulnérables et diviser une tâche de rattrapage. Les éléments que vous sélectionnez sont automatiquement déplacés vers une nouvelle tâche de rattrapage. Pour plus d'informations, consultez Diviser une tâche de rattrapage.
    Créer une demande de changement
    Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage.
    En attente d'implémentation
    Passe l’état à En attente d’implémentation. Cet état indique que les tâches de rattrapage ont été référencées en dehors d’un Réponse aux vulnérabilités.
    Différer
    Sélectionnez l’état Différé, une date de réouverture, un motif et, éventuellement, fournissez des informations supplémentaires. Reporter l’état de la tâche de rattrapage à la date de réouverture.
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.
    Différé Déclenché par le bouton Demander une exception . Dans le cadre du workflow d’approbation, l’état Différé est En cours de révision et ne peut pas être fermé tant qu’il n’a pas été approuvé.

    À partir de cet état, vous pouvez :

    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Fractionner la tâche
    Pour une tâche de rattrapage comportant plusieurs éléments vulnérables, utilisez un ensemble de conditions pour filtrer un sous-ensemble d’éléments vulnérables et diviser un groupe de vulnérabilité. Les éléments que vous sélectionnez sont automatiquement déplacés vers un nouveau VG. Consultez Diviser une tâche de rattrapage.
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Rouvrir
    Revenez à un état Ouvert.
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.

    Les informations sur le report s’affichent sous l’onglet Fermer/Différer . À la date de report, le groupe rouvre pour correction.
    En attente d'implémentation Déclenché par le bouton En attente d’implémentation . À partir de cet état, vous pouvez :
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Fractionner la tâche
    Pour une tâche de rattrapage comportant plusieurs éléments vulnérables, utilisez un ensemble de conditions pour filtrer un sous-ensemble d’éléments vulnérables et diviser un groupe de vulnérabilité. Les éléments que vous sélectionnez sont automatiquement déplacés vers une nouvelle tâche de rattrapage. Pour plus d'informations, consultez Diviser une tâche de rattrapage.
    Créer une demande de changement
    Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage.
    Différer
    Sélectionnez l’état Différé, une date de réouverture, un motif et, éventuellement, fournissez des informations supplémentaires. Reporter l’état de la tâche de rattrapage à la date de réouverture.
    Résoudre
    Ajoutez des notes. L’état devient Résolu. Les notes s’affichent sous l’onglet Résolution .
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.
    Résolu Déclenché à partir du bouton Résoudre . À partir de cet état, vous pouvez :
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Créer un changement
    Créez une demande de changement ou associez un groupe de vulnérabilité à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Rouvrir
    Revenez à un état Ouvert.
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.

    Les notes s’affichent sous l’onglet Notes . Les informations sur la résolution s’affichent sous l’onglet Résolution .
    Fermé Déclenché par le scanner. À partir de cet état, vous pouvez :
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Rouvrir
    Revenez à un état Ouvert.
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.

    Les informations sur la fermeture s’affichent sous l’onglet Fermer/Différer .
    • Le propriétaire du rattrapage peut uniquement marquer un élément vulnérable ou une tâche de rattrapage comme étant résolu. En fonction de la confirmation de l’analyseur, cet élément résolu ou cette tâche de rattrapage peut être marqué comme fermé ou rouvert.
    • Le bouton Supprimer est disponible pour l’administrateur lorsque plusieurs éléments vulnérables ont été créés manuellement et qu’ils doivent être fermés ou supprimés.
    • Si vous déterminez que les éléments présentent un risque faible, qu’ils sont en attente d’une fenêtre de changement ou d’un correctif, vous pouvez faire passer leur tâche de rattrapage à l’état Rouge différépour une durée définie. Vous pouvez demander une exception à l’aide de l’option Demande d’exception .
      Remarque :
      Lorsque des tâches de rattrapage sont reportées ou fermées, vous pouvez spécifier des résolutions pour en préciser les motifs.
    • Lorsqu’un VIT est rouvert, manuellement ou automatiquement, les événements suivants se produisent :
      • L’état VIT devient Ouvert. L’état de la tâche de rattrapage d’origine n’est pas mis à jour.
      • Le VIT est réévalué et placé dans une tâche de rattrapage nouvelle ou existante basée sur les règles de tâche de rattrapage actives.

      Cela préserve son historique tout en permettant d’autres corrections.

    • Lorsqu’une tâche de rattrapage est créée (automatiquement ou manuellement) ou divisée, ses champs État, Motif et Jusqu’à ce sont évalués. Dans le cas de l’action de division, ces champs sont évalués à la fois pour l’ancienne et la nouvelle tâche de rattrapage. Lorsqu’un VIT est mis à jour, les champs État, Motif et Jusqu’à de toutes ses tâches de rattrapage associées sont évalués.
      • Si tous les VIT d’une tâche de rattrapage sont différés et ont le même motif, l’état de la tâche de rattrapage devient Différé et le motif des VIT est affecté à la tâche de rattrapage. Si le motif des VIT diffère, le motif de la tâche de rattrapage prend la valeur Aucun.
      • La date de fin la plus proche de tous les VIT est mise à jour dans le champ Jusqu’à de la tâche de rattrapage.
      • Si vous rouvrez un VIT, l’état de la tâche de rattrapage devient Ouvert.

      Cette évaluation est effectuée par la Rollup vulnerability item values to vulnerability and group tâche planifiée, qui s’exécute toutes les 15 minutes.