Vue d’ensemble des règles d’exclusion

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Les règles d’exclusion permettent de filtrer ou d’empêcher que des détections ne soient converties en éléments vulnérables (VIT) au cours du processus d’ingestion dans Réponse aux vulnérabilités.

    Ces règles peuvent être configurées pour gérer divers scénarios tels que :
    • À l’exclusion des vulnérabilités de faible gravité ou à faible risque qui ne nécessitent pas de correction immédiate.
    • Améliorer le processus de rattrapage en hiérarchisant les VIT les plus critiques pour une action.
    • Réduction du temps de traitement pendant l’importation des données en excluant un pourcentage de détections de la conversion VIT.
    Au cours du processus d’ingestion des données, il existe des approches distinctes pour gérer les détections nouvelles et existantes.
    • Pour les nouvelles détections :
      • Si une nouvelle détection ne répond pas aux conditions d’une règle d’exclusion, une détection est créée avec les VIT.
      • Si une nouvelle détection répond aux conditions d’une règle d’exclusion, la règle est associée à la détection, mais VIT n’est pas créée. Renseignez la référence de la règle d’exclusion correspondante sur l’enregistrement de détection. La colonne Règle d’exclusion est renseignée avec la référence à la règle d’exclusion sur l’enregistrement de détection en conséquence.
    • Pour les détections existantes :
      • Si la détection ne répond aux conditions d’aucune règle d’exclusion, elle poursuit le workflow normal.
      • Si une détection existante correspond aux conditions d’une règle d’exclusion, le VIT associé à cette détection reste dans son état actuel, mais la règle est associée à la détection. L’état de la VIT est régi par la valeur définie dans la sn_vul.close_vit_with_excluded_detections propriété. Par défaut, la valeur de cette propriété est définie sur Faux. Si la valeur est définie sur Faux, les détections sous un VIT sont exclues et l’état des VIT reste dans son état actuel. Toutefois, si la valeur est définie sur Vrai, les scénarios suivants peuvent se produire :
        • Si toutes les détections sous un VIT sont exclues, l’état du VIT est mis à jour sur Fermé exclu.
          Remarque :
          À partir de la v22.1.2 d’un Réponse aux vulnérabilités nouveau sous-état appelé Exclu a été ajouté,
        • Si une détection est marquée comme fermée tandis que les autres sont exclues, la VIT est désignée comme fermée fixe.
        • Si le VIT comporte des détections ouvertes, il reste ouvert.