Identifier les éléments vulnérables en double avec Now Assist pour Réponse aux vulnérabilités

  • Rversion finale: Zurich
  • Mis à jour 25 août 2025
  • 5 minutes de lecture

    • Créez ou exécutez une tâche pour identifier les éléments vulnérables primaires (premiers trouvés) pour les éléments de configuration ainsi que les éléments vulnérables en double importés par vos scanners de vulnérabilité.

    Avant de commencer

    Consultez la rubrique Utilisation pour le Now Assist pour Réponse aux vulnérabilités rattrapage d’éléments vulnérables pour en savoir plus sur les exigences de cette Now Assist compétence. Consultez la section Configurer et activer une compétence pour Now Assist pour Réponse aux vulnérabilités pour plus d’informations sur la façon de l’activer.

    Rôles requis :
    Remarque :
    Les sn_vul.vulnerability_admin et sn_vul.vulnerability_analyst héritent des rôles suivants lorsque vous installez l’application Now Assist pour Réponse aux vulnérabilités .
    • Afficher le module de déduplication des éléments vulnérables dans l’espace de travail : sn_vul_ai.now_assist_user
    • Créer des configurations de tâche de déduplication : sn_vul_ai.configure_vi_dedup
    • Exécuter les tâches de déduplication : sn_vul_ai.run_vi_dedup_job
    • Examiner les enregistrements de tâches en double : sn_vul_ai.review_duplicate_vi

    Procédure

    1. Accédez à la Tous > Espaces de travail > Espace de travail du gestionnaire de vulnérabilité.
    2. Sélectionnez Now Assist l’icône d’étincelle dans le panneau de navigation.
      Les onglets Toutes les configurations de tâches, Toutes les tâches et Toutes les révisions en double s’affichent sur la Now Assist page. Vous devez créer une tâche de déduplication comme première étape pour la déduplication des éléments vulnérables (VIT).
      Remarque :
      Vous devez disposer du rôle sn_vul_ai.configure_vi_dedup pour créer des tâches.
    3. Pour créer une tâche, sélectionnez Nouveau et renseignez les champs.
      Champ Description
      Titre Nom unique pour vous aider à identifier cette tâche parmi d’autres tâches.
      Notification par e-mail Cochez cette case pour recevoir des notifications par e-mail lorsque cette tâche est terminée. Si cette option est sélectionnée, vous pouvez voir les informations suivantes dans un e-mail :
      • Éléments vulnérables en double trouvés
      • Nombre total d’éléments vulnérables traités
      • Éléments de configuration impactés
      • Sélectionnez le lien Examiner les doublons pour afficher la liste des doublons dans l’espace de travail.

      Vous pouvez également sélectionner l’icône Afficher les notifications (cloche) dans la bannière supérieure pour afficher les messages contenant les éléments vulnérables en double trouvés pour les tâches terminées.
      Définir les conditions
      1. Sélectionnez le lien Définir les conditions pour filtrer les éléments vulnérables que vous souhaitez examiner à la recherche de doublons.

        Un exemple pourrait être : [Élément de configuration] [contient] [VI-serveur-based].

        Le lien Définir les conditions est actualisé et affiche un décompte avec vos résultats correspondants. Vous préférerez peut-être renommer votre tâche en fonction des résultats que vous avez retournés.

        Vous pouvez sélectionner le lien Afficher les résultats correspondants pour afficher les éléments vulnérables qui répondent à vos conditions et plus de détails tels qu’un résumé, des éléments de configuration et des évaluations de risque dans le modal Condition.

      2. Lorsque vous êtes satisfait des résultats, sélectionnez Enregistrer.
    4. Une fois la tâche enregistrée, le bouton Exécuter la tâche s’affiche et est activé sur l’enregistrement.

      Vous êtes prêt à exécuter une tâche.

      Remarque :
      Vous devez disposer du rôle sn_vul_ai.run_vi_dedup_job pour afficher le bouton Exécuter la tâche et lancer des tâches.
      1. Pour exécuter une tâche, accédez à Tous > Espaces de travail > Espace de travail du gestionnaire de vulnérabilité > Now Assist > Toutes les configurations de tâches.
      2. Localisez la tâche souhaitée, sélectionnez l’enregistrement dans la colonne Numéro pour l’ouvrir, puis sélectionnez Exécuter la tâche.
        Un message indiquant que la tâche est en cours d’exécution en arrière-plan s’affiche. Pour plus d’informations sur l’état de votre tâche, sélectionnez le lien Afficher la progression .

        Une fois que vous avez sélectionné la tâche Exécuter, la tâche d’achèvement de la tâche de déduplication Vérifier l’élément vulnérable est lancée et s’exécute en arrière-plan.

        Il existe une autre tâche qui s’exécute toutes les 30 minutes pour vérifier que les tâches actives ont été effectuées.

        Une fois votre tâche terminée, vous pouvez examiner, évaluer et fermer les VIT en double trouvés par votre tâche.
        Remarque :
        Vous devez disposer du rôle sn_vul_ai.review_duplicate_vi pour examiner les VIT en double.
    5. Examinez les VIT en double.
      1. Pour passer en revue les tâches terminées et les listes des éléments vulnérables en double, accédez à Tous > Espaces de travail > Espace de travail du gestionnaire de vulnérabilité > Now Assist > Toutes les tâches.
      2. Ouvrez un enregistrement (JOB#) et sélectionnez la liste connexe Revues des éléments vulnérables en double .
      3. Facultatif : Sélectionnez les liens pour ouvrir les enregistrements d’éléments vulnérables (VIT#) pour examen avant de déterminer si les VIT sur l’enregistrement sont des doublons.
      4. Pour une comparaison côte à côte des enregistrements VIT en double, sélectionnez un enregistrement (DUP#) pour l’ouvrir.
        • Le numéro et l’état de la tâche (Requiert une revue) s’affichent.
        • Les champs Confiance et Motif vous fournissent plus d’informations. La colonne Motif affiche le raisonnement de l’IA générative et du service Now LLM expliquant pourquoi ces VIT sont considérés comme des doublons.
        • Les informations sur le VIT principal et le VIT en double sont côte à côte dans la section Détails de l’élément vulnérable.
        • Date de premier résultat pour le VIT primaire et les doublons. Un VIT principal comporte généralement la date de premier résultat la plus ancienne.
        • Sélectionnez l’icône i minuscule dans les champs Détails de l’élément vulnérable primaire et Doublons si vous souhaitez ouvrir les enregistrements VIT à partir de cette page.
      5. Choisissez-en un.
        Option Description
        Marquer comme non dupliqué

        Il s’agit de deux éléments vulnérables distincts qui représentent au moins deux vulnérabilités uniques. Ces deux éléments vulnérables ne seront pas considérés comme des doublons dans les tâches que vous créerez à l’avenir.

        L’état passe de Requiert une revue àNon dupliqué pour l’enregistrement DUP# .
        Confirmer un doublon

        Votre avis indique que ces deux VIT sont des doublons. L’enregistrement VIT qui s’affiche sur l’enregistrement Dupliqué intitulé Dupliquer passe à Fermé.

        Une note de travail avec des notes de fermeture est ajoutée à l’enregistrement VIT fermé.

        Toutes les détections associées sur le VIT fermé sont déplacées vers l’enregistrement VIT principal. Des notes de travail sont ajoutées au VIT principal pour indiquer qu’un doublon a été fermé et que ses détections ont été liées.

        Remarque :

        La propriété système sn_vul_ai.duplicate_vi_confidence_threshold automatise le workflow de déduplication des éléments vulnérables.

        Cette propriété système est activée par défaut, mais elle n’a pas de valeur de seuil pour un score de confiance. En l’absence de valeur pour le seuil, le workflow automatisé ne ferme aucun doublon.
        Remarque :
        Les scores de confiance de 100 pour les VIT ne sont pas calculés par la Now Assist compétence. Ce score est calculé par correspondance avec une logique déterministe.

        Si vous saisissez une valeur de seuil, tous les doublons dont le score de confiance est supérieur à la valeur que vous spécifiez sont automatiquement fermés et leurs détections sont déployées sur l’élément vulnérable primaire.

        Vous préférez peut-être laisser cette propriété système dans son paramètre par défaut sans valeur de seuil jusqu’à ce que vous soyez familiarisé avec le workflow et que vous ayez le temps d’établir une valeur précise. Dans son paramètre par défaut, vous pouvez garder le contrôle sur les conditions dans lesquelles vos VIT en double sont examinés, marqués et traités.

        Vous devez disposer du rôle sn_vul_ai.configure_vi_dedup ou sn_vul_ai.review_duplicate_vi pour modifier cette propriété système.
      6. Facultatif : Vous pouvez également examiner les éléments en double à partir de l’onglet de liste Toutes les révisions en double à partir d’un enregistrement DUP# .
        Cette liste vous permet d’effectuer une modification en bloc des enregistrements dupliqués et de leurs enregistrements VIT associés.