Gestion des solutions pour vulnérabilités

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 17 minutes de lecture

    • Corrélez automatiquement les vulnérabilités de votre environnement avec les solutions susceptibles d’y remédier. Identifiez les actions de rattrapage qui s’appliquent à vos vulnérabilités et classez-les par ordre de priorité en fonction de la plus grande réduction du risque de vulnérabilité.

    Gestion des solutions pour vulnérabilités

    Les équipes de sécurité et informatiques consacrent souvent beaucoup de temps à la recherche des résultats de vulnérabilité afin d’identifier les traitements les plus efficaces pour leur environnement. Compte tenu du volume et de la complexité des vulnérabilités dans les grandes organisations, la traduction des résultats de vulnérabilité en tâches de correction est un processus manuel, fastidieux et sujet aux erreurs.

    Avec Gestion des solutions pour vulnérabilités, vous pouvez corréler automatiquement vos résultats de vulnérabilité avec les solutions qui y remédient. Identifiez les correctifs logiciels, les mises à jour de configuration et les autres contrôles qui ont le plus d’impact sur votre organisation sans les frais généraux manuels.

    Configuration requise pour le Gestion des solutions pour vulnérabilités

    Gestion des solutions pour vulnérabilités est une fonctionnalité disponible dans l’application Réponse aux vulnérabilités . Gestion des solutions pour vulnérabilités Nécessite un abonnement distinct.

    Pour plus d’informations sur l’obtention d’autorisations pour les applications à partir de , reportez-vous à .ServiceNow Store Pour en savoir plus sur l’installation de l’application après l’avoir téléchargée sur votre instance, reportez-vous à la rubrique Installer l'application Gestion des solutions pour Réponse aux vulnérabilités .

    Une fois installé, Gestion des solutions pour vulnérabilités il vous permet d’accéder aux données de la Microsoft Security Response Center solution à Red Hat partir Réponse aux vulnérabilitésde .

    Remarque :

    Vous pouvez configurer les deux applications de solution à partir de l’assistant de configuration. Consultez Configurer les intégrations de solutions installées pour Gestion des solutions pour vulnérabilités l’utilisation de l’Assistant de configuration.

    Voir Présentation de Microsoft Security Response Center Solution Integration et Présentation de Intégration de solution Red Hat pour plus d’informations sur les solutions importées.

    Versions disponibles

    Pour la version la plus récente de Gestion des solutions pour vulnérabilités, vérifiez que vous disposez de la version la plus récente de Réponse aux vulnérabilités installée.

    Version de Gestion des solutions pour vulnérabilités Versions compatibles de Réponse aux vulnérabilités Notes de publication

    Gestion des solutions pour vulnérabilités v10.3

    		 Réponse aux vulnérabilités v18.0

    Pour plus d’informations sur la compatibilité, consultez Matrice de compatibilité de KB0856498 Vulnerability Response et Changements de schéma de mise en production

    À propos des solutions et du remplacement

    Une mise à jour remplacée est un remplacement complet d’une ou de plusieurs versions précédentes. Par exemple, une mise à jour de correctif d’urgence peut être remplacée par un Service Pack. Les solutions sont liées aux vulnérabilités. Les solutions peuvent également se rapporter à d’autres solutions d’une chaîne de remplacement. Les solutions corrigent les vulnérabilités des solutions précédentes et elles sont cumulatives. Gestion des solutions pour vulnérabilités Associe automatiquement les vulnérabilités des solutions précédentes aux solutions de remplacement. Si une vulnérabilité plus ancienne est détectée, n’importe quelle solution de remplacement supérieure peut la résoudre, mais la solution de remplacement la plus élevée est préférée, car c’est la plus cumulative.

    Solutions potentielles par rapport aux solutions privilégiées

    Une solution potentielle est une solution qui pourrait remédier à une vulnérabilité. Les vulnérabilités ont souvent de nombreuses solutions potentielles. Une solution privilégiée est la solution unique ciblée pour la remédiation d’une vulnérabilité ou d’un élément vulnérable (VI). Il communique l’intention et permet d’obtenir des mesures de déploiement plus détaillées.

    Solutions privilégiées

    Gestion des solutions pour vulnérabilités définit automatiquement la solution la plus efficace (solution privilégiée) pour la vulnérabilité détectée en fonction de la priorité la plus élevée lorsqu’il n’existe qu’une seule solution de remplacement la plus élevée. S’il existe plus d’un remplacement le plus élevé pour la vulnérabilité, aucune valeur n’est fixée. Dans Réponse aux vulnérabilités, une solution privilégiée correspond à la Microsoft Security Response Center solution ou Red Hat présentant le remplacement le plus élevé dérivé des solutions associées à la vulnérabilité.

    Les valeurs de la solution préférée peuvent être définies sur l’élément vulnérable ou sur la vulnérabilité. Lorsqu’ils sont définis directement sur la vulnérabilité, tous les éléments vulnérables associés à la vulnérabilité héritent de cette solution. Modifiez les valeurs de la solution privilégiée pour plusieurs éléments vulnérables à l’aide de la fonctionnalité de modification en bloc. Lorsqu’il est modifié en bloc, seule la solution privilégiée sur l’élément vulnérable est mise à jour, car définir la solution privilégiée au niveau d’entrée de vulnérabilité définira la solution privilégiée pour tous les nouveaux éléments vulnérables à venir. La modification en bloc s’applique uniquement aux éléments vulnérables actuels.
    Remarque :
    S’il existe plusieurs solutions de remplacement le plus élevé pour une vulnérabilité, les valeurs de solution privilégiée au niveau de la vulnérabilité sont effacées, car cette solution dépend de l’actif affecté. Lorsqu’il existe plusieurs solutions de remplacement le plus élevé pour une vulnérabilité, définissez une solution préférée sur l’élément vulnérable. Vous pouvez définir une solution différente à l’aide de la liste de recherche du formulaire Élément vulnérable .

    Toutes les solutions privilégiées pour les éléments vulnérables dans une tâche de rattrapage se trouvent dans une liste connexe de l’enregistrement de la tâche de rattrapage .

    Toutes les importations de solutions n’entraînent pas une actualisation complète des données. Le processus de remplacement est mis à jour lorsque :
    • Un élément vulnérable est créé.
    • Les données ont changé sur un VI actif.
      Remarque :
      À partir de la version 22.0 de Réponse aux vulnérabilités, les solutions ne sont pas mises en file d’attente dans les deux cas ci-dessus.
    • Un nouveau mappage est créé pour une entrée tierce avec les CVE.
    • De nouvelles données de solution ont été publiées depuis la dernière importation, une solution existante est mise à jour.

    Amélioration de la gestion des solutions et optimisation des performances

    Les solutions proviennent de diverses intégrations, notamment Microsoft et Redhat. Le premier fournit des mises à jour mensuelles et établit une chaîne de dépendances pour suivre la solution préférée pour les vulnérabilités. Cependant, d’autres intégrations ne suivent pas ce format de mise à jour et n’ont pas besoin d’établir une chaîne de dépendances pour elles. Auparavant, une logique de traitement était utilisée qui impliquait la création d’un graphique pour maintenir la priorité et identifier les solutions de remplacement les plus élevées. Ces solutions ont été suggérées comme étant la solution privilégiée pour les vulnérabilités. Cependant, comme la construction du graphique prend du temps, les autres intégrations sont exclues de ce processus. Pour améliorer les performances, à partir de la v22.0 de Réponse aux vulnérabilités, la méthode utility.processNonGraphSolutions() est appelée dans la Process Vulnerability Solutions Metrics Queue tâche planifiée. Cette méthode gère les solutions issues d’intégrations autres que Microsoft.

    Deuxièmement, les solutions sont mises en file d’attente à partir de diverses sources à l’aide de la tâche Process Vulnerability Solutions Metrics Queueplanifiée. Cette tâche planifiée implique le déploiement de solutions à partir d’entrées NVD vers des entrées tierces, le remplissage des solutions préférées sur les vulnérabilités et la mise à jour des mesures d’état de rattrapage sur les solutions. Dans les scénarios suivants, seules les mesures d’état de rattrapage doivent être mises à jour :
    • Lorsque la solution préférée change en fonction des vulnérabilités
    • Lorsque les VIT sont créés ou supprimés
    • Lorsqu’une importation VIT est terminée
    Bien que les solutions soient mises en file d’attente pour mettre à jour uniquement les mesures d’état de rattrapage, elles tentent toujours de déployer des solutions à partir d’entrées NVD vers des entrées tierces et de renseigner les solutions privilégiées. Pour optimiser ce processus, la colonne Statut de mise à jour est introduite dans la table Solution de vulnérabilité. Lorsque les mesures d’état de rattrapage des solutions doivent être mises à jour sans nécessiter le déploiement ou le remplissage des solutions privilégiées, les solutions ne sont plus en file d’attente. Au lieu de cela, la colonne Mettre à jour l’état est directement mise à jour en tant que vrai. Cette approche permet de traiter les tickets où seules les mesures d’état de rattrapage doivent être mises à jour, ce qui permet de réaliser des économies de temps et de ressources. Dans la tâche planifiée, une fois le traitement des solutions en file d’attente terminé, les solutions marquées avec un état de mise à jour défini sur vrai sont identifiées. Ensuite, ces solutions sont itérées, en calculant les nombres et en mettant à jour les mesures d’état de rattrapage en conséquence. Cette étape joue un rôle important dans l’amélioration des performances de la tâche planifiée, car le nombre de solutions à mettre en file d’attente est réduit. Pour afficher les mesures d’état de rattrapage, accédez à la table Solution de vulnérabilité [sn_vul_solution] et sélectionnez une solution de vulnérabilité. Ensuite, sélectionnez l’onglet État du rattrapage . Cet onglet renseigne les champs suivants :
    Tableau 1. Mesures de l’état du rattrapage
    Champ Description
    Cibles de solutions préférées : état de rattrapage des VI pour lesquels il s’agit de la solution préférée
    Éléments vulnérables Nombre d'éléments vulnérables actifs (non fermés) pour lesquels cette solution est préférée pour le rattrapage. Ce nombre exclut les éléments vulnérables différés.
    CI restants Nombre de CI associés à un ou plusieurs éléments vulnérables actifs pour lesquels cette solution est préférée pour le rattrapage. Ce nombre exclut les éléments vulnérables différés.
    VI totaux Nombre d'éléments vulnérables actifs et fermés pour lesquels cette solution est préférée pour le rattrapage. Ce nombre exclut les éléments vulnérables différés.
    CI totaux Nombre de CI associés à un ou plusieurs éléments vulnérables actifs et fermés pour lesquels cette solution est préférée pour le rattrapage. Ce nombre exclut les éléments vulnérables différés.
    % des VI rattrapés Pourcentage complet pour le rattrapage d’éléments vulnérables (VI). S’applique aux éléments vulnérables pour lesquels cette solution est préférée. Ce nombre exclut les éléments vulnérables différés.
    % des CI rattrapés Pourcentage complet pour le rattrapage de CI. S’applique aux éléments vulnérables pour lesquels cette solution est préférée. Ce nombre exclut les éléments vulnérables différés.
    Cibles de solutions privilégiées (inclut les éléments différés) : état de rattrapage des VI, y compris les éléments différés, pour lesquels il s’agit de la solution privilégiée
    Éléments vulnérables Nombre d'éléments vulnérables actifs (non fermés) pour lesquels cette solution est préférée pour le rattrapage.
    CI restants Nombre de CI associés à un ou plusieurs éléments vulnérables actifs pour lesquels cette solution est préférée pour le rattrapage. Ce nombre exclut les éléments vulnérables différés.
    VI totaux Nombre d'éléments vulnérables actifs et fermés pour lesquels cette solution est préférée pour le rattrapage.
    CI totaux Nombre de CI associés à un ou plusieurs éléments vulnérables actifs et fermés pour lesquels cette solution est préférée pour le rattrapage.
    % des VI rattrapés Pourcentage complet pour le rattrapage d’éléments vulnérables (VI). S’applique aux éléments vulnérables pour lesquels cette solution est préférée.
    % des CI rattrapés Pourcentage complet pour le rattrapage de CI. S’applique aux éléments vulnérables pour lesquels cette solution est préférée.
    Cibles potentielles de la solution : état de rattrapage de tous les éléments vulnérables présentant une vulnérabilité liée à cette solution
    Éléments vulnérables Nombre d’éléments vulnérables actifs (non fermés) pour lesquels cette solution est une solution possible pour le rattrapage. Ce nombre exclut les éléments vulnérables différés.
    CI restants Nombre de CI associés à un ou plusieurs éléments vulnérables actifs pour lesquels cette solution est une solution possible pour le rattrapage. Ce nombre exclut les éléments vulnérables différés.
    Cibles potentielles de solutions (y compris les éléments différés) : état de rattrapage pour tous les VI, y compris les éléments différés, avec une vulnérabilité liée à cette solution
    Éléments vulnérables Nombre d'éléments vulnérables actifs (non fermés) pour lesquels cette solution est une solution possible pour le rattrapage.
    CI restants Nombre de CI associés à un ou plusieurs éléments vulnérables actifs pour lesquels cette solution est une solution possible pour le rattrapage.
    Troisièmement, la disponibilité d’une solution privilégiée pour les vulnérabilités et les VIT doit être assurée pour remédier aux vulnérabilités. Toutefois, dans les situations où plusieurs solutions de remplacement supérieures existent pour une vulnérabilité, une solution privilégiée n’est pas renseignée en raison de l’ambiguïté. Pour faire face à ce scénario, une approche est implémentée qui implique d’exécuter la logique de traitement et de renseigner la solution préférée lorsqu’elle est disponible. Dans les cas où il n’existe qu’une seule solution de remplacement supérieure, elle est renseignée comme solution privilégiée. Lorsqu’il existe plusieurs solutions de remplacement supérieures, le champ de solution privilégiée reste vide. Cependant, l’objectif est de renseigner la solution de remplacement la plus élevée, qui est publiée comme la plus récente, en tant que solution privilégiée. Pour ce faire, une propriété sn_vul.latest_solutions système est introduite. Par défaut, cette propriété est définie sur faux. Si vous souhaitez activer la possibilité de renseigner les dernières solutions en tant que solution préférée lorsqu’aucune solution privilégiée n’est disponible, vous pouvez activer cette propriété. Une fois activée, la colonne Type de solution est mise à jour dans la table de vulnérabilité avec les options suivantes :
    • Préféré : lorsque la solution préférée est renseignée
    • Dernière : lorsqu’aucune solution privilégiée n’est disponible, la solution la plus récente de l’ensemble des solutions de remplacement les plus élevées est sélectionnée en fonction de la valeur de la date de publication. Le champ à sélectionner comme dernière solution peut être personnalisé à l’aide de la sn_vul.latest_solutions propriété système. Par défaut, la valeur est définie sur « date de publication », mais elle peut être changée en « dernière modification » pour sélectionner la solution en fonction de la dernière colonne modifiée dans les solutions.
    • Manuel : lorsque le type de solution préféré est mis à jour manuellement. La priorité pour ce type de solution est la plus élevée.

    Dans certains scénarios, la solution préférée sur un élément vulnérable (VIT) peut différer de la solution préférée sur la vulnérabilité correspondante. Cela se produit lorsque la solution privilégiée est mise à jour manuellement sur un VIT et non sur la vulnérabilité. Dans ce cas, le champ Type de solution est masqué dans le VIT.

    Qu’est-ce que Gestion des solutions pour vulnérabilités

    • Associe automatiquement les nouveaux éléments vulnérables (VIT) et les tâches de rattrapage aux solutions pendant Microsoft Security Response Center Solution Integration et Intégration de solution Red Hat l’importation.

      MSRC Les solutions sont associées au dernier bulletin dans lequel la solution apparaît.

    • Associe automatiquement les éléments vulnérables et les tâches de rattrapage à des solutions lorsque les enregistrements de vulnérabilité sont associés manuellement à des solutions.
      Remarque :
      Les éléments vulnérables réaffectés manuellement à une autre solution ne sont pas automatiquement mis à jour avec les changements de solution au niveau de la vulnérabilité.
    • MSRC: crée des chaînes de remplacement pendant l’importation que vous pouvez afficher dans la liste connexe de la solution.
    • Indique si une solution est une solution de remplacement le plus élevé ou non.
    • Répertorie le score de risque de la solution associé à chaque solution afin de vous fournir les plus grandes opportunités de réduction des risques.

    • Gère l’état de rattrapage des solutions sur les entrées de vulnérabilité, les tâches de rattrapage et les enregistrements de solutions de vulnérabilité tiers afin que vous puissiez suivre la progression du rattrapage.

      Il contient :
      • Nombre d’éléments vulnérables par pourcentage rattrapé, pour les VI avec des solutions privilégiées, avec et sans les VI à l’état Différé.
      • Nombres d’éléments de configuration (CI) par pourcentage rattrapés, pour les VI avec des solutions privilégiées, avec et sans les VI à l’état Différé.
      • Nombre d’éléments vulnérables par pourcentage rattrapé, pour les éléments vulnérables avec des solutions potentielles, avec et sans ces éléments vulnérables à l’état Différé.
      • Nombre d’éléments de configuration par pourcentage rattrapé, pour les VI avec des solutions privilégiées, avec et sans les VI à l’état Différé.

    Ce que vous pouvez faire avec Gestion des solutions pour vulnérabilités

    • Créez, mettez à jour, affichez ou supprimez des solutions associées à des vulnérabilités, afin de pouvoir suivre les solutions de vulnérabilité qui ne sont pas couvertes par le contenu de solution tiers. L’intégration de la solution à l’entrepôt de données Rapid7 n’est pas prise en charge.
    • Associez des vulnérabilités tierces et des entrées NVD à un enregistrement de solution.
    • Supprimez et associez à nouveau les éléments vulnérables et les tâches de rattrapage à une solution.
    • Affichez la solution préférée applicable à une vulnérabilité donnée dans les formulaires de vulnérabilité et d’élément vulnérable.
    • Affichez une liste connexe Solutions préférées sur les formulaires de tâche de rattrapage qui répertorie toutes les solutions qui ont été préférées par au moins un VI actif au sein de ce groupe.
    • Affichez les détails de l’état du rattrapage d’une solution qui montrent la réduction du risque associée au déploiement de la solution privilégiée sur la vulnérabilité, l’élément vulnérable, les tâches de rattrapage et les formulaires de solution.
    • Affichez les vulnérabilités applicables à une solution donnée sur le formulaire de solution.
    • MSRC: affichez les solutions de remplacement pour une solution donnée sur une vulnérabilité, afin de trouver la dernière mise à jour à déployer ou une mise à jour antérieure, plus ciblée et plus efficace.
    • Affichez des listes de solutions triées en fonction de leurs différentes caractéristiques.
      • Toutes : solutions triées par date de publication et par nombre.
      • MSRC: Priorité la plus élevée : solutions comportant des éléments vulnérables actifs et non différés. Trié par priorité la plus élevée, date de publication et nombre.
      • Avec éléments vulnérables : solutions avec des éléments vulnérables actifs et non différés. Trié par remplacement le plus élevé ou préféré, score de risque et nombre. En cas de déploiement, les entrées supérieures de la liste offrent la réduction de risque la plus importante pour les actifs de votre environnement.

    Enregistrement de solution Score de risque et cote de risque

    Remarque :
    Le score de risque et la cote de risque de l’enregistrement de la solution sont distincts des champs utilisés pour les vulnérabilités, les éléments vulnérables et les tâches de rattrapage.

    Le score de risque de l’enregistrement de solution est un calcul pondéré basé sur le score de risque de l’élément vulnérable et un nombre d’éléments vulnérables actifs avec cette solution comme solution potentielle. Le score de risque de la solution fournit une estimation de la réduction du risque attendue par la solution.

    Le score de risque de l’enregistrement de solution est calculé comme suit :
    • Il commence par prendre 85 % du score de risque le plus élevé ou le plus élevé d’un élément vulnérable actif avec cette solution potentielle.
    • Le score de risque de l’enregistrement de solution compile ensuite le nombre total d’éléments vulnérables avec cette solution potentielle. Pour chaque plage du nombre d’éléments vulnérables, il ajoute des points et arrive à un total.
      • 0–09 éléments vulnérables n’ajoute aucun point
      • 10–99 objets vulnérables ajoute 5 points
      • 100–999 éléments vulnérables ajoute 10 points
      • 1 000 et au-delà des éléments vulnérables ajoute 15 points

      Par exemple, pour un score de risque d’élément vulnérable de 80, le score de risque de l’enregistrement de solution commencerait à 68. S’il y avait 200 éléments vulnérables actifs au total avec cette solution potentielle, le score de risque final de la solution serait de 78.

    La cote de risque de l’enregistrement de solution sépare le score de risque de l’enregistrement de solution en plages allant de Critique à Aucun. L’évaluation du risque de la solution évalue la réduction du risque pour les éléments vulnérables corrigés par cette solution.

    Jusqu’à VR v16.1, les évaluations des risques séparaient le score de risque de solution obtenu dans les plages suivantes :
    • 1 — Critique ( 90+ score de risque de la solution)
    • 2 — Élevé (70-89 Score de risque de l’enregistrement de la solution)
    • 3 — Moyen (30-69 Score de risque de l’enregistrement de la solution)
    • 4 — Faible (1-29 Enregistrement de solution Score de risque)
    • 5 — Aucun (0 Enregistrement de solution Score de risque)
    À partir de VR v16.1, les évaluations des risques séparent le score de risque de solution obtenu dans les plages suivantes pour la gestion des solutions :
    • 1 — Critique ( 90+ score de risque de la solution)
    • 2 — Élevé (70-89 Score de risque de l’enregistrement de la solution)
    • 3 — Moyen (40-69 Score de risque de l’enregistrement de la solution)
    • 4 — Faible (1-39 Enregistrement de solution Score de risque)
    • 5 — Aucun (0 Enregistrement de solution Score de risque)

    Cas d'utilisation

    Affichez l’état de progression du déploiement d’un cycle de correctif actuel à l’aide du module de priorité la plus élevée, trié par date.

    Affichez les solutions à valeur élevée à l’aide du module Avec éléments vulnérables, triées par score de risque.

    Les listes de solutions communiquent les détails clés des solutions, les scores de risque et les mesures de déploiement. Utilisez le score de risque et le nombre de VI actifs pour établir des priorités. Découvrez quelles solutions du cycle de correctif actuel ne progressent pas, ce qui peut indiquer un prérequis de déploiement manqué.
    Remarque :
    Ajoutez %VI rattrapés(percent_nd_pref_vis_remediated) à partir du menu Personnaliser les colonnes de la liste pour connaître l’avancement du rattrapage sur le formulaire Solutions de vulnérabilité.