Afficher les Réponse aux vulnérabilités données de détection des éléments vulnérables

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Les données complètes collectées par vos intégrations de scanners Réponse aux vulnérabilités tiers avec sont affichées dans les onglets Détections et Détections initiales des enregistrements d’éléments vulnérables (VIT). Il est également affiché dans les enregistrements de détection de la liste de détection des éléments vulnérables de votre Now Platform® instance.

    Avant de commencer

    Les intégrations tierces récupèrent les données de détection des éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners. Les données de détection sont couplées à des éléments vulnérables et l’état de VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par des données trouvées directement par un scanner.

    Rôle requis :
    • sn_vuln.admin lance les exécutions d’intégration et affiche les données de détection des éléments vulnérables.
    • sn_vul.remediation_owner se voit affecter des éléments vulnérables créés à partir des détections d’éléments vulnérables et affiche les données sur les enregistrements de VI.

    Procédure

    1. Pour afficher les données de détection des éléments vulnérables, accédez à un enregistrement d’élément vulnérable et ouvrez-le.
      L’enregistrement s’affiche avec les onglets Détections initiales et Détections.
      Remarque :
      Les données précédemment affichées dans l’onglet Détails de la configuration s’affichent avec d’autres données de détection dans les onglets Détection initiale et Détections.
      Onglets Détection initiale et Détections en surbrillance sur l’enregistrement de VI.
    2. Cliquez sur l’onglet Détections .

      Lorsqu’un élément vulnérable est créé à partir des résultats d’une analyse tierce, les données de l’analyse sont affichées sur l’enregistrement de détection, comme illustré dans la figure suivante.

      Onglet Détections
      Chaque ligne de la section Détection des éléments vulnérables représente les données d’une détection distincte. Dans la colonne Premier trouvé, la date à laquelle l’élément vulnérable est détecté pour la première fois par le scanner s’affiche. Dans la colonne Dernier trouvé, la date de la détection la plus récente s’affiche. Le champ Source affiche le scanner qui a récupéré les données.
      Remarque :
      Pour Qualys, avec les détections d’éléments vulnérables, les champs suivants sont déconseillés sur l’enregistrement de VI et ne sont plus renseignés :
      • Qualys sévérité
      • Dernière mise à jour par source

      De même, pour Qualys, comme le montre la figure précédente, lorsqu’un VI est créé à partir d’une analyse, la valeur de l’analyse des résultats s’affiche dans la colonne Preuve de l’enregistrement de détection. Toutefois, cette valeur n’est pas affichée dans la partie supérieure de l’enregistrement VI.

      Pour Rapid7, lorsqu’un VI est créé à partir d’une analyse, la valeur Preuve de l’analyse peut être affichée à la fois dans la colonne Preuve de l’enregistrement de détection et dans la partie supérieure de l’enregistrement de VI, mais pas par défaut. Pour afficher cette valeur dans la partie supérieure de l’enregistrement VI, sélectionnez le champ Preuve dans la mise en page du formulaire.

    3. Facultatif : Pour configurer la mise en page de l’onglet Détections sur l’enregistrement, procédez comme suit.
      1. Les colonnes suivantes s’affichent par défaut dans l’onglet Détections.
        • Statut
        • Premier trouvé (données)
        • Dernier trouvé (date)
        • Nom DNS
        • Nom du BIOS net
        • Adresse IP
        • Durées trouvées
        • Port
        • Protocole
        • Preuve
        • SSL
        Remarque :

        Remarque : s’il n’y a pas de valeur dans une colonne, les données de ce champ n’ont pas été détectées par le scanner.

      2. Cliquez sur l’icône Engrenage (icône Engrenage) pour personnaliser votre vue.
      3. Sélectionnez les colonnes de la zone de sélection pour afficher des données spécifiques, puis cliquez sur OK.
    4. Avec l’onglet Détections sélectionné, dans la colonne État, cliquez sur un élément pour ouvrir l’enregistrement de détection et afficher les détails associés à cet élément vulnérable, y compris un résumé de la solution (intégration Rapid7 InsightVM uniquement).
      Figure 1. Qualys Enregistrement de détection
      Enregistrement de détection
      Figure 2. Enregistrement de détection Rapid7
      Enregistrement de détection Rapid7 avec solution
    5. Revenez à l’enregistrement et sélectionnez l’onglet Détection initiale.

      L’onglet Détections initiales affiche les données importées du scanner tiers lors de la première occurrence de la détection. Ces informations de l’onglet de détection initiale ne changent pas au fur et à mesure que les données de détection sont mises à jour.

      Onglet Détections initiales
    6. Facultatif : Naviguez vers Détections d’éléments vulnérables pour afficher la liste de détection des éléments vulnérables.

      La liste de détection des éléments vulnérables s’affiche. Chaque ligne de la liste Détection des éléments vulnérables représente une détection distincte. Les colonnes affichent les mêmes données que l’enregistrement VI.

      Liste des détections

      Les détections ne sont ouvertes ou fermées que par les données trouvées par un scanner, elles ne sont pas déroulantes à partir des VI. Au fur et à mesure que les détections sont importées, elles sont utilisées pour créer des VI et mettre à jour les états des VI. Si toutes les détections sont fermées pour un élément vulnérable, cet élément vulnérable sera fermé. Sur l’enregistrement VI, l’état est Fermé et le Sous-état est Fixe.

      Remarque :
      Les erreurs sont consignées lorsque :
      • Traitement des pièces jointes récupérées à partir de l’analyseur.
      • Création ou mise à jour de détections ou d’éléments vulnérables.
      Pour plus d’informations sur la gestion des erreurs de détection, reportez-vous à la section Gestion des erreurs pour les détections.

      Lorsque tous les VI sont fermés pour une tâche de rattrapage, la tâche de rattrapage est fermée.

      Les VI fermés avec un sous-état Fixe ou Périmé sont rouverts si une nouvelle détection est créée et les VI peuvent être mis en correspondance avec la nouvelle vulnérabilité.

      Les éléments vulnérables définis sur Résolu dans votre instance, mais pas sur Fermé/Résolu par les exécutions d’intégration suivantes, sont rouverts s’ils sont détectés lors des nouvelles analyses.

      Lorsque tous les VI sont fermés pour une tâche de rattrapage, l’enregistrement est fermé.

      Les éléments vulnérables définis sur « Résolu » dans votre instance, mais qui ne sont pas passés à l’état « Fermé/Résolu » par les exécutions d’intégration suivantes, sont rouverts s’ils sont détectés lors des nouvelles analyses.

      Pour Rapid7 les détections, une option est désormais disponible sur la page de configuration Rapid7 de votre instance pour rouvrir les VI résolus par âge. Si cette option est activée, les VI définis sur Résolu , mais qui ne sont pas ensuite transférés à l’état Fermé/Corrigé par les analyses suivantes, reviennent à l’état Ouvert après le nombre de jours que vous entrez.

      Pour Qualys les détections, si le scanner continue de trouver des VI qui ont été définis sur « Résolu » mais qui ne sont pas passés à l’état Fermé/Fixe par les analyses suivantes, ces VI reviennent à l’état Ouvert lorsque la dernière date de recherche est postérieure à la date de résolution.

    Que faire ensuite

    Pour afficher plus de données, notamment le nombre d’éléments et de détections, vous pouvez Vérifier Réponse aux vulnérabilités les données de détection d’éléments vulnérables sur les enregistrements d’exécution de l’intégration (VINTRUN).