Évaluez votre exposition aux logiciels vulnérables

Rversion finale: Zurich

Mis à jour 31 juil. 2025

6 minutes de lecture

Vous pouvez fournir des informations sur l’éditeur et le produit dans le module d’évaluation de l’exposition pour évaluer votre exposition zero-day (jour actuel) de vos actifs à des logiciels vulnérables à l’aide de l’application Gestion des actifs logiciels ITSM (SAM) Foundation.

Important :

Vous pouvez effectuer l’évaluation de l’exposition par logiciel et par CVE (Common Vulnerabilities and Exposures) pour tirer parti des options supplémentaires de l’espace de travail d’évaluation de la vulnérabilité. Pour plus d'informations, consultez Explorer l’espace de travail de l’évaluation de la vulnérabilité.

Avant de commencer

Rôle requis : administrateur de vulnérabilité (sn_vulnerability_write)

Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une première affectation des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de personnage à l’aide de l’assistant Réponse aux vulnérabilités de configuration. Pour plus d’informations sur la gestion des rôles granulaires, reportez-vous à la section Gérer le profil et les rôles granulaires pour Réponse aux vulnérabilités.

Mettez à disposition les informations suivantes sur le logiciel vulnérable que vous souhaitez évaluer :

Éditeur
Version
Produit
Édition

Pourquoi et quand exécuter cette tâche

Pour plus d’informations sur la configuration requise, reportez-vous à Configurer l’évaluation de l’exposition à la vulnérabilité.

Affichez le module d’évaluation de l’exposition logicielle et créez et modifiez des enregistrements d’évaluation de l’exposition à la demande pour les logiciels vulnérables dans votre ServiceNow AI Platform® instance.

Vous gérez les activités de réponse aux vulnérabilités pour une grande opération responsable de nombreux actifs. Le centre des opérations de sécurité (SOC) de votre opération vous contacte au sujet d’une version du logiciel qu’il a appris être vulnérable. Vous découvrez qu’une analyse de vos actifs a récemment été effectuée et que cette vulnérabilité n’a pas été trouvée. L’équipe SOC a été informée de cette vulnérabilité par une source fiable en dehors de la base de données de vulnérabilité nationale (NVD), de Common Weakness Enumeration (CWE) ou des autres bibliothèques tierces de votre instance, et vous craignez que votre scanner de vulnérabilité n’ait pas encore ajouté le module d’extension correspondant.

Vous êtes convaincu que les données de cette vulnérabilité seront bientôt mises à jour dans le NVD et importées afin que votre scanner puisse détecter cette vulnérabilité lors de la prochaine analyse, mais comme vous êtes préoccupé par l’étendue de votre exposition potentielle, vous souhaitez déterminer aujourd’hui si vous avez des actifs dans votre réseau sur lesquels ce logiciel est installé.

À partir de la version 23.0 de , si vous avez l’abonnement Pro ou Enterprise, vous êtes redirigé vers la page Évaluation de l’exposition dans les espaces de travail en fonction de votre rôle lors de Réponse aux vulnérabilités la sélection du lien Évaluation de l’exposition dans le menu Tout. Pour plus d'informations, consultez Configurer l’évaluation de l’exposition à la vulnérabilité.

Procédure

Pour créer une nouvelle évaluation de l’exposition, accédez à Tous > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Évaluation de l'exposition.
La liste des évaluations de l’exposition s’affiche.
Sélectionnez Nouveau.
Le formulaire d’évaluation de l’exposition s’affiche.

Remplissez le formulaire.


Champ	Description
Éditeur	Nom de l’éditeur du logiciel.
(Facultatif) Version	Entrez le numéro de version pour vous aider à affiner la recherche sur vos actifs.
Produit	Nom du produit logiciel.
(Facultatif) Édition	Entrez l’édition pour vous aider à affiner la recherche sur vos actifs.
Filtre de CI	Utilisez les listes de choix du filtre d’élément de configuration (CI) pour limiter votre recherche aux éléments de configuration spécifiques (ressources). Par exemple, vous pouvez soumettre une requête uniquement pour les actifs actifs sur lesquels ce logiciel est installé : `L’état opérationnel est Opérationnel`

Sélectionnez Afficher l’exposition.
L’enregistrement de l’évaluation de l’exposition avec votre modèle de détection et le nombre d’installations de logiciels sur vos actifs à la date spécifique s’affiche.

Choisissez-en un pour continuer.

Option	Description
Afficher l'exposition	Ajoutez des conditions de filtre de CI supplémentaires et sélectionnez Afficher l’exposition pour affiner davantage les résultats de votre recherche.
Créer des éléments vulnérables	Créez des éléments vulnérables pour les éléments de configuration à partir de vos résultats de recherche. Si les éléments vulnérables sont créés avec succès, une tâche de rattrapage est créée pour tous les éléments vulnérables et affichée dans l’enregistrement d’évaluation de l’exposition.
Supprimer	Supprimez cet enregistrement et retournez à la liste des évaluations de l’exposition. Une boîte de dialogue de confirmation s’affiche.

Facultatif : Créez un élément vulnérable pour votre résultat de recherche.

Remarque :
Une fois que vous avez créé des éléments vulnérables, vous ne pouvez plus modifier les critères de recherche de cet enregistrement d’exposition.
Vous pouvez également réviser vos conditions de filtre et affiner davantage vos résultats de recherche.

Pour créer des éléments vulnérables, procédez comme suit :

Sélectionnez Créer des éléments vulnérables.
La boîte de dialogue Créer des éléments vulnérables s’affiche.

Renseignez les champs.


Champ	Description
Utilisant	Formez la liste de choix, choisissez-en un pour continuer. Vulnérabilité existante. À droite du champ Vulnérabilité, cliquez sur l’icône de recherche. Dans la liste qui s’affiche, sélectionnez le CVE-ID ou saisissez des critères de recherche pour localiser le CVE-ID existant, par exemple, CVE 2018-9120. Remarque : Il peut s’agir d’un CVE-ID provenant d’une base de données de vulnérabilité autre que le NVD. Nouvelle vulnérabilité. Entrez le CVE-ID de votre nouvelle vulnérabilité au format xxxx-xxxx, xxxx-xxxxx ou xxxx-xxxxxxx.
Résumé de la vulnérabilité (pour la nouvelle vulnérabilité uniquement)	Saisissez un résumé pour la nouvelle vulnérabilité, par exemple, `Un attaquant peut exécuter un script sur le navigateur d’un utilisateur peu méfiant`.

Les images suivantes montrent des exemples du formulaire rempli pour une vulnérabilité existante et une nouvelle vulnérabilité.

Formulaire rempli pour une nouvelle vulnérabilité. — Figure 2. Nouvelle vulnérabilité

Sélectionnez Créer des éléments vulnérables.
L’enregistrement de l’évaluation de l’exposition s’affiche avec un message d’état qui indique que des éléments vulnérables sont en cours de création.
Après quelques secondes, en haut du formulaire, cliquez avec le bouton droit dans la bannière grise pour recharger la page.
Les nouveaux éléments vulnérables s’affichent comme illustré dans la figure suivante sous l’onglet Éléments vulnérables évalués (531). La nouvelle tâche de rattrapage créée pour ces éléments vulnérables s’affiche dans l’onglet Tâche de rattrapage (1).
Remarque :
Pour cet exemple, une tâche de rattrapage est créée en fonction des règles de groupe et des conditions de la règle de tâche de rattrapage appelée Vulnérabilité. Cette règle de groupe est la règle de tâche de rattrapage par défaut installée avec le produit Vulnerability Response dans votre ServiceNow AI Platform® instance. Dans cet exemple, les conditions de cette règle de groupe plaçaient tous les éléments vulnérables dans une seule tâche de rattrapage. Si vous préférez créer plusieurs tâches de rattrapage pour les éléments vulnérables qui correspondent aux résultats de recherche de votre évaluation de l’exposition, vous pouvez configurer des règles de tâche de rattrapage supplémentaires. La création de tâches de rattrapage supplémentaires peut vous aider à éviter la création de tâches de rattrapage avec un grand nombre d’éléments vulnérables. Pour en savoir plus sur les règles de tâche de rattrapage, reportez-vous aux sections Réponse aux vulnérabilités Vue d’ensemble des tâches de rattrapage et des règles de tâche de rattrapage et Créer ou modifier des Réponse aux vulnérabilités règles de tâche de rattrapage.

Choisissez-en un pour continuer.


Option	Description
Tâches de rattrapage	Une fois l’onglet Tâches de rattrapage sélectionné, dans la colonne Numéro, cliquez pour ouvrir l’enregistrement et examiner et affecter la tâche pour rattrapage. Pour plus d’informations sur les groupes d’affectation, reportez-vous à la section Creating groups.
Éléments de vulnérabilité évalués	Une fois l’onglet Éléments vulnérables évalués sélectionné, dans la colonne Élément vulnérable, cliquez pour ouvrir les enregistrements et examiner et affecter des éléments vulnérables individuels.
Supprimer	Supprimez l’enregistrement de l’évaluation de l’exposition. Une boîte de dialogue de confirmation s’affiche. Remarque : Si vous supprimez l’enregistrement d’exposition après avoir créé des éléments vulnérables, tous les éléments vulnérables que vous créez pour cet enregistrement et qui ne sont pas associés à un autre enregistrement d’exposition sont automatiquement déplacés vers l’état `Fermé` . La raison de la fermeture est `Annulé`.

Que faire ensuite

Répondre à toutes les menaces zero-day (jour actuel) en fonction de votre évaluation de l’exposition. Pour plus d’informations sur les tâches de rattrapage et la gestion des changements pour , reportez-vous Réponse aux vulnérabilités Vue d’ensemble des tâches de rattrapage et des règles de tâche de rattrapage à Réponse aux vulnérabilités et Change Management pour Réponse aux vulnérabilités.