Vue d’ensemble des faux positifs
Un faux positif est une condition dans laquelle le scanner signale qu’une vulnérabilité existe dans le système, mais en réalité il n’y a pas de vulnérabilité. Il peut y avoir plusieurs raisons, comme une classification incorrecte, une logique ou un algorithme incorrect dans le scanner. Le propriétaire du rattrapage peut marquer les éléments vulnérables (VI) ou les tâches de rattrapage (RT) comme des faux positifs.
Cycle de vie d’un faux positif
- Signification de faux positif
- Le scanner donne parfois un avertissement, alors qu’en réalité il n’y a pas de vulnérabilité. Par exemple, si un élément de configuration a été mis hors service, mais que le scanner soulève toujours un problème connexe, marquez-le comme faux positif.
- Marquage comme faux positif
- Pour plus de détails sur le marquage d’un VI ou d’un RT comme faux positif, reportez-vous à la section Marquer comme faux positif.
- Utiliser le faux positif
- Une fois qu’un VI ou un RT est marqué comme faux positif, l’état est mis à jour sur Fermé et le sous-état passe à Faux positif. Les actions suivantes peuvent être effectuées :
- Rouvert
- Supprimer
- Mettez à jour la date dans le champ Jusqu’à . Cette date est ensuite utilisée comme date d’expiration du faux positif.
Remarque :S’il n’est pas approuvé, le VI ou le RT revient à son état précédent. - Approbation d’un faux positif
- L’approbateur peut approuver le faux positif à partir de son workflow d’approbation.Remarque :
À partir de Vulnerability Response v15.0, si vous déployez l’application VR pour la première fois, le concepteur de flux pour la gestion des exceptions est activé par défaut. Si vous utilisez déjà le workflow, vous pouvez effectuer une mise à jour vers Flow Designer. Dans les deux cas, vous ne pouvez pas revenir au workflow. Pour configurer des règles d’approbation pour la gestion des exceptions et les faux positifs, reportez-vous à la section Configurer les règles d’approbation pour la gestion des exceptions.
- Réouverture d’un faux positif
- Un VI ou RT dans un sous-état de faux positif peut être rouvert à tout moment.
- Suivi d’un faux positif
- Utilisez la section Approbations de changement de l’état pour suivre l’état du faux positif. Une fois approuvé, l’état du VI ou du RT est mis à jour sur Fermé et le motif est Faux positif.
- Expiration d’un faux positif
- Seul l’approbateur du faux positif peut définir une date de fin pour le faux positif, pour l’expiration du VI ou du RT. En outre, seuls les faux positifs pour lesquels l’approbateur a fourni une date de fin peuvent expirer. Cette date peut être fournie une fois le faux positif approuvé.Un faux positif sans date de fin est un faux positif permanent. Après l’expiration du faux positif, l’état du VI ou du VR revient à Ouvert.Remarque :
À partir de la version 21.0 de , vous pouvez configurer les délais d’approbation Réponse aux vulnérabilitésdes faux positifs et des exceptions, ainsi que les notifications par e-mail pour l’approbateur et le demandeur après un nombre de jours défini. Lorsqu’une demande est émise, l’élément vulnérable passe à l’état En cours de révision et un enregistrement de changement d’état est créé. Si l’approbateur ne répond pas dans le délai configuré, l’élément vulnérable ou la tâche de rattrapage revient à l’état Ouvert. L’état précédent est stocké dans le champ backup_state . Pour en savoir plus, consultez Configurer les règles d’approbation pour la gestion des exceptions.
Figure 1. Processus d’approbation des faux positifs antérieur à la version 15.0 Le processus d’approbation est automatique si tous les VI passent l’analyse suivante. Les VI se ferment automatiquement, quel que soit leur état actuel. Les champs des VI ou, le cas échéant, de l’état de RT basculent sur Fermé avec le sous-état Fixe.
Pour plus d'informations, consultez Marquer et approuver un faux positif.