Composants installés avec Réponse aux vulnérabilités pour conteneurs
Plusieurs types de composants sont installés lors de l'activation de l'application Réponse aux vulnérabilités pour conteneurs, notamment des tables, des rôles d'utilisateur et des tâches planifiées.
Les données de démonstration sont disponibles pour cette fonctionnalité.
À partir de la version 2.11 de Réponse aux vulnérabilités pour conteneurs, les propriétés système les plus fréquemment utilisées sont désormais accessibles au sein de l’application Réponse aux vulnérabilités pour conteneurs . Pour afficher ces propriétés système, accédez à Réponse aux vulnérabilités pour conteneurs.
Rôles installés avec Réponse aux vulnérabilités pour conteneurs
Des rôles sont ajoutés avec l'activation de Réponse aux vulnérabilités pour conteneurs.
Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une première affectation des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de personnage à l’aide de l’assistant Réponse aux vulnérabilités de configuration. Pour plus d’informations sur la gestion des rôles granulaires, reportez-vous à la section Gérer le profil et les rôles granulaires pour Réponse aux vulnérabilités.
Si vous êtes un client de mise à niveau, l’accès des utilisateurs et des groupes auxquels vous avez affecté les autorisations sn_vul.vulnerability_read et sn_vul.vulnerability_write avant la version 10.3 n’a pas changé. Les utilisateurs et les groupes conservent ces rôles jusqu’à ce que vous les modifiiez. Toutefois, à partir de la version 10.3, vous préférerez peut-être attribuer des rôles granulaires pour plus de contrôle sur ce que les utilisateurs et les groupes peuvent faire et voir dans l’application Réponse aux vulnérabilités . Pour obtenir une vue d’ensemble et plus d’informations sur la gestion de ces rôles, consultez Réponse aux vulnérabilités Profils et rôles granulaires et Gérer le profil et les rôles granulaires pour Réponse aux vulnérabilités.
| Titre du rôle [name] | Description |
|---|---|
| V2.10 : sn_vul_container.supprimer | Supprime les enregistrements sources. Contient les rôles sn_vul_cmn.delete et sn_vul_container.delete_vi. |
| sn_vul_container.ci_manager | Gère la reclassification des éléments de configuration (CI) sans correspondance |
| sn_vul_container.configure_integrations | Configure les intégrations de conteneurs. |
| sn_vul_container.configure_vi_granularity | Configure la granularité des éléments vulnérables des conteneurs. |
| sn_vul_container.create_vi | Peut créer manuellement des éléments vulnérables de conteneur. |
| sn_vul_container.delete_vi | Peut supprimer les éléments vulnérables de conteneur créés manuellement. |
| sn_vul_container.exception_approver | Approuve les exceptions, les reports et les fermetures des éléments vulnérables du conteneur. Contient le rôle sn_vul.view_manager_workspace. À partir de la version 2.3, le rôle granulaire, sn_vul_container.read_all, a été supprimé pour ce rôle afin que vous puissiez accéder aux éléments vulnérables et aux tâches de rattrapage de conteneurs affectés à vous et à votre groupe, au lieu de tous les éléments vulnérables et tâches de rattrapage de conteneurs. |
| sn_vul_container.approbateur_faux_positif | Approuve ou rejette la fermeture des éléments vulnérables du conteneur comme un faux positif. Contient le rôle sn_vul.view_manager_workspace. |
| sn_vul_container.manage_assignment_rules | Définit et met à jour les règles d’affectation des éléments vulnérables de conteneur. |
| sn_vul_container.manage_auto_close_stale_vi | Configurer les éléments vulnérables des conteneurs périmés à fermeture automatique |
| sn_vul_container.manage_auto_exception_rule | Gérer (créer/lire/mettre à jour/supprimer) les règles d’exception |
| sn_vul_container.manage_normalized_severity | Peut mettre à jour le mappage pour normaliser la gravité. |
| sn_vul_container.manage_permissions | Peut affecter des rôles de réponse aux vulnérabilités des conteneurs aux utilisateurs. |
| sn_vul_container.manage_remediation_targ... | Définit et met à jour les règles de cibles de rattrapage de conteneurs. |
| sn_vul_container.manage_risk_score_confi... | Définit et met à jour les calculateurs de score de risque, les règles de risque et les calculateurs de déploiement de vulnérabilité pour les éléments vulnérables de conteneur. |
| sn_vul_container.read_all | Peut afficher tous les éléments vulnérables du conteneur et les informations connexes. Contient le rôle sn_vul.view_manager_workspace |
| sn_vul_container.read_assigned | Peut afficher les éléments vulnérables de conteneurs qui vous sont affectés ou qui sont affectés à vos groupes dans l’interface utilisateur classique ou Espace de travail de remédiation ITdans . Contient le rôle sn_vul.view_rem_workspace. Important : À partir de la version 24.0 de Réponse aux vulnérabilités, le rôle sn_vul_container.read_assigned a le privilège d’accéder Espace de travail de remédiation ITau . |
| sn_vul_container.read_assignment_rules | Peut afficher les éléments vulnérables du conteneur Règles d’affectation. |
| sn_vul_container.read_auto_exception_rule | Règles d’exception en lecture |
| sn_vul_container.lire_image_découverte_ | Peut afficher les éléments détectés. |
| sn_vul_container.read_integrations | Peut afficher les résultats des exécutions d’intégration. |
| sn_vul_container.read_normalized_severity | Peut afficher le mappage de gravité normalisé. |
| sn_vul_container.read_remediation_target... | Peut afficher les règles de cibles de rattrapage. |
| sn_vul_container.read_risk_score_configu... | Peut afficher les calculateurs de score de risque, les règles de risque et les calculateurs de déploiement de vulnérabilité pour les éléments vulnérables du conteneur. |
| sn_vul_container.remediation_owner | Lit et écrit les éléments vulnérables de conteneur qui leur sont affectés. Les enregistrements de vulnérabilité sont également lisibles par un utilisateur disposant de ce rôle. |
| sn_vul_container.update_assigned_to | Peut mettre à jour l’affectation des éléments vulnérables du conteneur. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.update_assignment_group | Peut mettre à jour le groupe d’affectation pour les éléments vulnérables du conteneur. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.update_state | Peut mettre à jour les états des éléments vulnérables. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.vulnerability_admin | Configure toutes les règles, intégrations, etc., pour le Réponse aux vulnérabilités pour conteneurs produit. |
| sn_vul_container.analyste_vulnérabilité | Surveille le rattrapage de tous les éléments vulnérables de conteneur. |
| sn_vul_container.écrire_tout | Peut mettre à jour tous les éléments vulnérables et les tâches de rattrapage des conteneurs. |
| sn_vul_container.write_assigned | Peut mettre à jour les éléments vulnérables du conteneur ou les tâches de rattrapage qui me sont affectées ou qui sont affectées à mes groupes. |
| sn_vul_container.read_watch_topic | Autorisation de lecture des rubriques de surveillance pour connaître les vulnérabilités des conteneurs. |
| sn_vul_container.create_watch_topic | Peut créer des rubriques de surveillance pour les vulnérabilités des conteneurs. |
| sn_vul_container.edit_watch_topic | Peut modifier les rubriques de surveillance pour détecter les vulnérabilités des conteneurs. |
| sn_vul_container.manage_exception_configuration | Peut gérer les configurations de gestion des exceptions. |
Tables installées avec Réponse aux vulnérabilités pour conteneurs
Les tables sont ajoutées avec l’activation de Réponse aux vulnérabilités pour conteneurs (CVR).
| Table | Description |
|---|---|
| Résultat d’image de conteneur sn_vul_container_image_findings |
Stocke des informations sur les vulnérabilités associées, la couche d’image, l’image de Docker, le référentiel d’images et l’image détectée. À partir de la version 2.11.3 de , vous pouvez également afficher le chemin d’accès Réponse aux vulnérabilités pour conteneursoù le résultat est affiché. |
| Couche d'image du conteneur sn_vul_container_image_layer |
Contient les informations de chaque couche d’image. Une image est un fichier statique avec du code exécutable qui peut créer un conteneur sur un système informatique. |
| Package d'images du conteneur sn_vul_container_image_package |
Fournit des informations sur les packages où se trouvent les vulnérabilités. Les détails du package binaire sont également fournis sous forme de valeurs séparées par des virgules. À partir de la version 2.11.3 de Réponse aux vulnérabilités pour conteneurs, vous pouvez également afficher l’URL du package (PURL). |
| Élément vulnérable de conteneur sn_vul_container_image_vulnerable_item |
Contient les détails de chaque résultat et de la vulnérabilité correspondante. À partir de la version 2.11.3 de Réponse aux vulnérabilités pour conteneurs, vous pouvez également afficher des informations sur la date de la dernière analyse d’une image exécutée en tant que conteneur. |
| Entrée de vulnérabilité (v2.11.3) sn_vul_entry |
Fournit des informations sur la gravité d’une CVE et toute information supplémentaire envoyée par Prisma. |
| Image du conteneur détecté sn_vul_container_image |
Fournit des informations sur l’ID de l’image, l’image Docker et le référentiel d’images. Il stocke également les informations de la couche et les associe à l’image découverte. À partir de la version 2.11.3 de Réponse aux vulnérabilités pour conteneurs, il fournit également des informations sur la synthèse d’image d’une image Docker et la date de la dernière analyse d’une image s’exécutant en tant que conteneur et registre. |
| Recherche de correspondances sn_vul_container_finding_m2m_vul_item |
Relation M2M entre les résultats d’image de conteneur et les éléments vulnérables de conteneur (CVIT). |
| Éléments vulnérables à fermeture automatique sn_vul_container_image_auto_close_config |
Contient des informations sur la façon de fermer les résultats d’image de conteneur périmés et de déployer l’état sur les CVIT. |
| Clés de vulnérabilité de l’image du conteneur sn_vul_container_image_vulnerability_keys |
Contient la configuration de granularité pour la création de CVIT à partir des résultats de l’image du conteneur. |
| Services associés au Doker sn_vul_container_m2m_ci_services |
Contient tous les services aux entreprises associés à une image de conteneur. |
| Nombres de conteneurs VR sn_vul_container_vr_container_counts |
Contient la moyenne mobile des instances de conteneur créées à partir d’une image de conteneur au cours des 90 derniers jours. |
| Élément de tâche de rattrapage de conteneur sn_vul_container_m2m_vul_group_item |
Table M2M entre le CVIT et les tâches de rattrapage de conteneur. |
| Tâche de rattrapage de conteneur sn_vul_container_vulnerability |
Contient des tâches de rattrapage de conteneurs. |
| Manifeste de tâche de rattrapage de conteneur sn_vul_container_rt_manifest |
Toutes les mises à jour de la tâche de rattrapage seront effectuées à l’aide de cette table de manifestes par les travaux planifiés. |
Tâches planifiées installées avec Réponse aux vulnérabilités pour conteneurs
Des tâches planifiées sont ajoutées à l'activation d'Réponse aux vulnérabilités pour conteneurs.
Les données de démonstration sont disponibles pour cette fonctionnalité.
| Tâche planifiée | Description |
|---|---|
| Associer les VI de conteneurs existants à la règle d’exception automatique | Associe automatiquement la règle d’exception automatique aux éléments vulnérables de conteneur existants (CVIT). |
| Vérifier l’expiration du report de l’élément vulnérable de conteneur | Envoie des notifications si les éléments vulnérables du conteneur ou les vulnérabilités du conteneur ont expiré (et s’ils expirent dans une semaine). |
| Nombre de conteneurs de Vulnerability Response (Application : Vulnerability Response et Configuration Compliance pour conteneurs) | S’exécute quotidiennement pour remplir la table sn_vul_container_vr_container_counts qui calcule la moyenne mobile de 90 jours pour les conteneurs. |
| CVIT à fermeture automatique | Ferme automatiquement les éléments de vulnérabilité de conteneur qui correspondent à la condition définie dans la configuration de fermeture automatique. Leur état est changé en « corrigé ». |
| Calculer la criticité opérationnelle pour CVIT | Traite tous les CVIT actifs et met à jour le champ Criticité opérationnelle, en fonction des services affectés de l’image Docker de la CVIT. |
| Fermer annuler les CVIT qui n’ont pas d’image Docker associée | Expire automatiquement les CVIT auxquels aucun CI n’est associé. Leur état est défini sur Fermé et leur sous-état sur Annulé. |
| Calculer le nombre de VI associés pour la tâche de rattrapage de conteneur | Calcule les nombres sur les enregistrements de tâche de rattrapage de conteneur. |
| Déployer les valeurs d’éléments vulnérables du conteneur sur la vulnérabilité et le groupe | Calcule les vulnérabilités et les déploiements de groupes pour les éléments vulnérables des conteneurs. Remarque : À partir de la version 2.10 de Réponse aux vulnérabilités pour conteneurs, la tâche planifiée est améliorée pour créer des tâches en arrière-plan avec des options multithreading. Cette mise à niveau implique de segmenter la tâche en plusieurs tâches enfants plus petites, qui sont exécutées en parallèle ou simultanément. Cette modification permet de traiter plusieurs enregistrements simultanément, ce qui accélère considérablement la tâche globale. |