Lancer une nouvelle analyse pour l’intégration de vulnérabilité Rapid7

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Lancez de nouvelles analyses dans la Rapid7 plateforme pour vérifier que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés.

    Avant de commencer

    Remarque :
    Les nouvelles analyses des éléments vulnérables de Rapid7 l’entrepôt de données ne sont pas prises en charge.

    Vous pouvez lancer de nouvelles analyses à partir des espaces de travail Vulnerability Response. Pour plus d'informations, consultez Analyser de nouveau les enregistrements et les tâches de rattrapage dans Vulnerability Manager Workspace et Analyser à nouveau les éléments vulnérables et les tâches de rattrapage dans Espace de travail de remédiation IT.

    Rôles requis : Rôles requis : sn_vul.write_all ou sn_vul.write_assigned

    Pourquoi et quand exécuter cette tâche

    Pour les nouvelles analyses dans l’environnement classique, consultez les sections suivantes.

    Les nouvelles analyses sont prises en charge. Vous pouvez lancer une nouvelle analyse sur demande pour les éléments vulnérables importés d’intégrations Rapid7 InsightVM depuis votre Now Platform® instance.
    Remarque :
    Le Rapid7 scanner est désactivé par défaut dans l’application Vulnerability Response . Si vous tentez d’effectuer une nouvelle analyse à partir des éléments vulnérables ou des tâches de rattrapage qui ont Rapid7 l’application comme source, le bouton Analyser de nouveau n’est pas disponible.

    Pour aider à réduire les frais généraux et le volume liés aux analyses complètes planifiées, les propriétaires de correction, les spécialistes informatiques, les analystes de vulnérabilités ou les gestionnaires de vulnérabilités peuvent lancer de nouvelles analyses ciblées à la demande pour rechercher des vulnérabilités spécifiques sur les actifs (éléments de configuration) de leurs environnements. Vous pouvez lancer de nouvelles analyses à partir d’éléments vulnérables (VI), de tâches de correction (RT), d’entrées tierces (TPE) ou d’enregistrements d’éléments détectés depuis votre Now Platform® instance.

    Les nouvelles analyses vous permettent de vérifier que vos activités de correction, correctifs et autres actions ont corrigé avec succès des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    Par exemple, l’ensemble de votre environnement est analysé toutes les trois semaines. L’analyse complète la plus récente a été terminée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines la prochaine analyse planifiée pour vérifier qu’elle a été corrigée. Pour vérifier que votre correctif a corrigé avec succès une vulnérabilité critique détectée lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform recherche Rapid7 d’éléments vulnérables. Vous pouvez afficher les résultats mis à jour sur vos éléments vulnérables lors de la prochaine importation planifiée des intégrations de vulnérabilité et d’éléments Rapid7 InsightVM vulnérables.

    Procédure

    1. Accédez à la Tous > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez lancer une nouvelle analyse et ouvrez-le.
      Remarque :
      Lancez de nouvelles analyses pour les VI dont Rapid7 la source est la source. Verify Rapid7 s’affiche dans la colonne Source des vues de listes de VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le créateur de condition pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue de listes VI, dans le coin supérieur gauche de la liste, cliquez sur l’icône d’engrenage et déplacez Source de Disponible à Sélectionné.

      Lorsque vous lancez de nouvelles analyses, évitez de déclencher simultanément des analyses pour un ID source à partir de plusieurs sources. La dernière demande d’analyse génère une erreur.

      Par exemple, si vous lancez une nouvelle analyse pour un VI à partir d’un enregistrement de VI et demandez également une autre nouvelle analyse à partir d’un enregistrement de tâche de rattrapage qui contient ce même VI, il est probable que la deuxième demande échoue.

      Champ source mis en surbrillance sur VI
    3. Vous pouvez également accéder à Réponse aux vulnérabilités > Tâches de remédiation ou Réponse aux vulnérabilités > Bibliothèques > Tiers pour la tâche de rattrapage ou les enregistrements d’entrée de tiers, respectivement, que vous souhaitez utiliser pour la nouvelle analyse.

      Selon votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un seul enregistrement de VI, le VI doit provenir du Rapid7 produit et être dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI que vous sélectionnez dans la vue de liste doivent provenir du Rapid7 produit et être dans un état autre que Fermé.
      • Sur un enregistrement de tâche de rattrapage, la tâche de rattrapage peut être dans n’importe quel état autre que Fermé, et tous les VI associés doivent provenir du Rapid7 produit.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement Rapid7 de VI associé du produit dans un état autre que Fermé.
      • Sur un enregistrement d’élément détecté, l’élément vulnérable doit provenir du Rapid7 produit et être dans un état autre que Fermé.
    4. En haut à droite de l’enregistrement, cliquez sur Analyser à nouveau.
      Pour les vues de listes, sélectionnez les VI dans la liste que vous souhaitez analyser de nouveau et, dans la liste Action sur les lignes sélectionnées , sélectionnez Analyser à nouveau.
    5. Dans la fenêtre contextuelle qui s’affiche, confirmez la nouvelle analyse.
      Un message s’affiche pour indiquer que votre analyse est en cours de traitement (Mis en file d’attente). Dans le message, cliquez sur le lien Afficher les détails pour vérifier l’état de la nouvelle analyse (analyse enfant) et afficher toutes les autres nouvelles analyses lancées à partir de l’enregistrement. L’état de toutes les nouvelles analyses peut être consulté à tout moment sous la liste connexe Analyses au bas du VI, de la tâche de rattrapage, du TPE et des enregistrements d’éléments détectés que vous utilisez pour lancer les nouvelles analyses.

      Lorsque l’analyse est en cours, le champ État passe à Analyse et le champ Message d’état affiche Analyse en cours.

      Remarque :
      Chaque nouvelle analyse prend en charge 500 actifs par analyse. Si votre demande comporte plus de 500 actifs, d’autres analyses enfants sont demandées.

      Votre Now Platform® instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine avec succès ou jusqu’à ce que la période de suivi définie expire, selon la première éventualité.

      Figure 1. Analyser de nouveau en cours

      Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état Now Platform® de votre nouvelle analyse a cessé, et non à la date à laquelle la nouvelle analyse s’est arrêtée. Tous les VI qui sont passés, ou qui passeront à l’état Fermé/Fixe, sont importés avec la prochaine importation planifiée des Rapid7 intégrations.

      Figure 2. Nouvelle analyse terminée
      Informations sur l’analyse terminée mises en évidence

      Vous pouvez également lancer une nouvelle analyse à la demande pour une vulnérabilité spécifique sur un actif spécifique. Vous pouvez afficher les résultats de ces analyses une fois l’analyse terminée sur le VI actualisé, la tâche de rattrapage, le TPE et les enregistrements d’éléments détectés à partir desquels vous avez lancé l’analyse.

      La valeur du champ État des enregistrements d’analyse de vulnérabilité est importée à partir de Rapid7. Lorsque l’analyse est terminée avec succès, l’état est défini sur Terminé. Si l’analyse ne se termine pas avec succès, une valeur d’erreur s’affiche.

      Analyses automatiques et analyses planifiées

      En tant que gestionnaire ou analyste des vulnérabilités, vous pouvez spécifier et planifier le moment où des nouvelles analyses sont lancées pour les éléments vulnérables et les éléments de recherche de vulnérabilité. Vous pouvez également activer les analyses automatiques pour les VI et les tâches de rattrapage définies sur Résoudre.

    6. Pour modifier les paramètres d’intégration sur l’instance d’intégration, accédez à Rapid7 Vulnerability Integration > Administration > Configuration.
    7. Dans l’enregistrement de configuration Rapid7, s’il n’est pas sélectionné, dans la liste Type d’intégration, sélectionnez Rapid7 InsightVM.
    8. À droite du champ Instance d’intégration , cliquez sur l’icône d’information, puis sur Ouvrir l’enregistrement.
    9. Sur l’enregistrement Rapid7 InsightVM de l’instance d’intégration, localisez les paramètres de planification des analyses et modifiez-les si nécessaire.
      Paramètres d’analyse

      scan_on_resolved Indique si l’analyse est lancée lorsqu’une vulnérabilité est résolue. La valeur par défaut est false (désactivée).

      Si ce paramètre est défini sur vrai, chaque fois qu’un VI ou un RT est défini sur Résolu, le workflow permettant de réanalyser le VI respectif et la tâche de rattrapage est déclenché automatiquement.

      scan_start_time
      Définissez l’heure de début de l’analyse au format HH :mm (format 24 heures) dans le fuseau horaire UTC correspondant à l’heure de début de la fenêtre pendant laquelle vous souhaitez que des nouvelles analyses soient disponibles.

      La valeur par défaut est 00 :00.

      scan_end_time
      Définissez l’heure de fin de l’analyse au format HH :mm (format 24 heures) dans le fuseau horaire UTC pour l’heure de fin de la fenêtre d’analyse disponible.

      La valeur par défaut est 23 :59.

      Si une analyse est lancée dans la fenêtre horaire prévue, elle se lance instantanément. Si l’analyse est lancée en dehors de la fenêtre, elle est mise en file d’attente pour la prochaine fenêtre planifiée.

      Par exemple, si vous entrez une heure de début de 00h00 pour le scan_start_time paramètre et scan_end_time une de 10h00 le matin même, les analyses planifiées ou lancées manuellement en dehors de la fenêtre horaire de minuit à 10h sont mises en file d’attente et lancées à l’heure de début de la fenêtre horaire du jour suivant 00h00.

      Dans le même exemple, si vous lancez une nouvelle analyse manuellement à 11h00, celle-ci n’est pas lancée immédiatement, car elle se trouve en dehors des heures d’analyse configurées disponibles. La demande d’analyse reste en file d’attente jusqu’au début de la fenêtre horaire du jour suivant, dans cet exemple 00 :00.