Réponse aux vulnérabilités Tâches de rattrapage et vue d’ensemble des règles de tâche de rattrapage

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Configurez les tâches de rattrapage (VUL) pour aider les analystes et les spécialistes du rattrapage à organiser les éléments vulnérables (VI) et à les analyser en bloc. Les critères selon lesquels les tâches de rattrapage sont formées sont configurés de sorte que vous n’ayez pas à affecter manuellement des éléments vulnérables aux tâches de rattrapage. Les tâches de rattrapage vous permettent de surveiller la progression et de piloter le processus de rattrapage plus efficacement.

    Suivi des nombres de reports pour les éléments vulnérables et les tâches de rattrapage

    Suivez le nombre de fois où un élément vulnérable, un élément vulnérable d’application, un élément vulnérable de conteneur ou une tâche de rattrapage est différé. Une tâche planifiée, définie sur les nombres de reports, s’exécute quotidiennement pour publier les nombres des enregistrements qui sont différés plus d’une fois dans la colonne Nombre de reports. Les enregistrements s’affichent dans les modules Reports multiples pour VR, AVR et CVR.

    Actualisation automatique des éléments vulnérables

    Remarque :
    L’automatisation de l’actualisation des éléments vulnérables s’applique uniquement aux tâches de rattrapage créées à l’aide du filtre de condition ou du groupe de filtres. L’automatisation ne s’applique pas aux éléments vulnérables qui ont été ajoutés manuellement ou regroupés à l’aide des règles de tâche de rattrapage.

    Lorsque la case à cocher Mettre automatiquement à jour les éléments vulnérables connexes est sélectionnée, les nouveaux éléments vulnérables correspondant aux critères de filtre de la tâche de rattrapage sont automatiquement ajoutés à la tâche. Les éléments vulnérables dans la tâche de rattrapage qui ne correspondent plus aux critères de filtre sont automatiquement supprimés de la tâche.

    Par défaut, lorsque la tâche de rattrapage quitte l’état Ouvert , la case n’est pas cochée. Si vous voulez que les éléments vulnérables continuent d’être ajoutés à la tâche de rattrapage, quel que soit leur état, désactivez la Set auto refresh vulnerable items règle métier.

    Vous pouvez cocher à nouveau la case manuellement à partir de l’état En cours d’examen. La mise à jour automatique des éléments vulnérables connexes n’est pas désactivée lorsque la tâche de rattrapage passe à l’état En attente d’implémentation . Une fois l’état En attente d’implémentation atteint, aucun nouvel élément vulnérable ne peut être ajouté à la tâche existante, et les éléments vulnérables existants ne peuvent pas non plus être supprimés.
    Remarque :
    Lorsqu’une tâche de rattrapage est créée manuellement et que des éléments vulnérables sont ajoutés à l’aide du filtre de condition ou du groupe de filtres, la case n’est pas cochée. Vous avez le choix de cocher la case ou non.

    Actualisation manuelle des éléments vulnérables

    Pour les tâches de rattrapage créées manuellement avec un groupe de filtres ou un filtre de condition , lorsque vous cliquez sur le lien connexe Actualiser les éléments vulnérables associés sur la page de tâche de rattrapage , tous les éléments vulnérables qui correspondent aux critères de filtre sont ajoutés. Les éléments qui ne correspondent plus aux critères sont supprimés. Cette action permet une mise à jour immédiate de la liste des éléments vulnérables et est utilisée que la case Mettre automatiquement à jour les éléments vulnérables connexes soit cochée ou non.

    Les tâches de rattrapage créées manuellement à l’aide des types de filtres Condition ou Groupe de filtres sont actualisées une fois par heure.

    Présentation des règles de tâche de rattrapage

    Les règles de tâche de rattrapage vous permettent de définir la manière dont les éléments vulnérables sont automatiquement regroupés et affectés. Une règle par défaut, Vulnérabilité, est incluse dans le système de base qui rassemble les éléments vulnérables en fonction de leurs vulnérabilités. Toutefois, vous pouvez effectuer un regroupement par n’importe quel autre ensemble de valeurs dans des colonnes accessibles à partir de l’élément vulnérable. Ces valeurs peuvent inclure l’élément de configuration (CI), le groupe de support, la gravité de la vulnérabilité, etc.

    Vous pouvez créer n’importe quel nombre de conditions. Une fois que vous avez défini une sélection Grouper par, une autre ligne apparaît. Vous pouvez avoir jusqu’à six sélections Grouper par . Vous pouvez également automatiser l’affectation de groupe. Voir Créer ou modifier Réponse aux vulnérabilités des règles de tâche de rattrapage et Filtrage au sein de Réponse aux vulnérabilités pour plus d’informations.
    Remarque :
    Pour rendre Rapid7 InsightVM les balises d’actifs disponibles pour une utilisation dans le filtre de condition pour les règles de tâche de rattrapage, vous devez exécuter l’intégration de la Rapid7 InsightVM liste des actifs avant les autres Rapid7 InsightVM intégrations.

    Par exemple, vous pouvez regrouper vos éléments vulnérables par centre de coûts du CI vulnérable ou par vecteur d’attaque de la vulnérabilité. Vous pouvez avoir une règle de tâche pour les vulnérabilités de faible gravité ou les CI à faible risque. Vous pouvez avoir une autre règle de tâche pour les serveurs critiques et les vulnérabilités avec des exploits, c’est-à-dire des éléments vulnérables qui exposent l’entreprise à davantage de risques.

    Un ensemble différent de règles peut être utilisé pour les éléments vulnérables qui exposent la société à davantage de risques. Le nom de la tâche de rattrapage est ajouté à la règle de la tâche de rattrapage Grouper par valeurs pour créer la description brève du nouvel enregistrement. Consultez la rubrique Créer manuellement une tâche de rattrapage dans Réponse aux vulnérabilités pour plus d’informations sur les champs disponibles.

    Figure 1. Exemple de générateur de conditions pour les entrées Grouper par
    Générateur de conditions pour la règle de tâche de rattrapage affichant les entrées Grouper par

    Lorsqu’un nouvel élément vulnérable est créé, importé ou rouvert après avoir été fermé, les règles de vulnérabilité sont évaluées par rapport à celui-ci. Un VI n’est évalué qu’une seule fois, automatiquement, à moins qu’il ne soit rouvert après avoir été fermé ou que les règles ne soient réappliquées manuellement.

    Le processus suivant est utilisé pour chaque VI nouveau ou rouvert :

    • Pour chaque règle de tâche de rattrapage, le VI est comparé au filtre de règle de tâche de rattrapage.
    • Pour chaque règle dans laquelle la condition de la règle de tâche de rattrapage correspond, la règle extrait les données des sélections Grouper par sur le VI. Il crée un nom de groupe et un champ. Dans ce cas, Risque élevé : QID-32342 :Résumé de QID-3242 (Nom : ID de vulnérabilité :résumé de vulnérabilité).
      Remarque :
      Le champ Description courte est limité à 160 caractères. Les résumés de vulnérabilité plus longs sont tronqués.
      La règle vérifie s’il existe une tâche de rattrapage ouverte correspondante affectée au même groupe d’affectation que le VI.
      • Si la tâche est trouvée, le VI est ajouté à la tâche existante à l’état Ouvert .
      • Si aucune tâche à l’état Ouvert n’est trouvée, la règle crée une tâche Risque élevé : QID-32342 , l’affecte au même groupe d’affectation que l’élément vulnérable et place l’élément vulnérable dans la tâche de rattrapage.

    Plusieurs règles de tâche de rattrapage peuvent être définies pour regrouper différents types de vulnérabilités. Étant donné que chaque vulnérabilité est comparée aux conditions des règles de tâche de rattrapage avant de la placer dans une tâche de rattrapage, un trop grand nombre de règles peut avoir un impact sur les performances.

    Par défaut, les règles de tâche de rattrapage utilisent le groupe d’affectation défini par les règles d’affectation sur l’élément vulnérable lors du regroupement des éléments et assignent la tâche de rattrapage pour correspondre aux éléments vulnérables.

    Dans le cadre de la règle de tâche par défaut, l’affectation de ces tâches de rattrapage est contrôlée par les règles du module Règles d’affectation . Pour en savoir plus sur les règles d’affectation, reportez-vous à Réponse aux vulnérabilités Vue d’ensemble des règles d’affectation.

    Lorsqu’une règle de tâche est supprimée de la vue de formulaire ou de liste, vous avez la possibilité de supprimer toutes les tâches ouvertes créées par cette règle. Les tâches qui ne sont pas ouvertes sont exclues.

    Réapplication des règles de tâche de rattrapage

    Lorsque vous souhaitez modifier une règle de tâche de rattrapage, utilisez le bouton Réappliquer sur la page de règle de tâche de rattrapage pour réexécuter la règle modifiée sur toutes les tâches de rattrapage ouvertes actives créées par cette règle. Il supprime et recrée automatiquement les tâches de rattrapage en fonction de la règle modifiée.

    Important :
    En tant qu’administrateur et analyste de vulnérabilité, vous pouvez évaluer les règles de tâche de rattrapage pour les éléments vulnérables sélectionnés dans le Espace de travail du gestionnaire de vulnérabilités. Cette méthode est plus efficace que la réapplication des règles de tâche de rattrapage dans l’interface utilisateur classique, qui est un processus qui prend du temps. Pour plus d'informations, consultez Réévaluer les propriétés de rattrapage des enregistrements dans le Espace de travail du gestionnaire de vulnérabilités.