Afficher les Vulnerability Response données de détection d’éléments vulnérables

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Les données complètes collectées par vos intégrations de scanners Vulnerability Response tiers sont affichées dans les onglets Détections et Détections initiales des enregistrements d’éléments vulnérables (VIT). Il s’affiche également sur les enregistrements de détection de la liste de détection des éléments vulnérables de votre Now Platform® instance.

    Avant de commencer

    Les intégrations tierces récupèrent les données de détection d’éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners. Les données de détection sont associées à des éléments vulnérables et l’état de la VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par les données trouvées directement par un scanner.

    Rôle requis :

    sn_vuln.admin lance les exécutions d’intégration et affiche les données de détection des éléments vulnérables

    sn_vul.remediation_owner se voit affecter des éléments vulnérables créés à partir des détections d’éléments vulnérables et affiche les données sur les enregistrements de VI

    Procédure

    1. Pour afficher les données de détection d’éléments vulnérables, accédez à un enregistrement d’élément vulnérable et ouvrez-le.
      L’enregistrement s’affiche avec les onglets Détections initiales et Détections.
      Remarque :
      Les données précédemment affichées dans l’onglet Détails de la configuration s’affichent avec d’autres données de détection dans les onglets Détection initiale et Détections.
      Les onglets Détection initiale et Détections sont mis en surbrillance sur l’enregistrement VI.
    2. Cliquez sur l’onglet Détections .

      Lorsqu’un élément vulnérable est créé à partir des résultats d’une analyse tierce, les données de l’analyse sont affichées sur l’enregistrement de détection, comme illustré dans la figure suivante.

      Onglet Détections
      Chaque ligne de la section Détections d’éléments vulnérables représente les données d’une détection distincte. Dans la colonne Premier trouvé, la date à laquelle l’élément vulnérable est détecté pour la première fois par le scanner s’affiche. La colonne Dernier résultat trouvé, la date de la détection la plus récente s’affiche. Le champ Source affiche le scanner qui a récupéré les données.
      Remarque :
      Pour Qualys, avec les détections d’éléments vulnérables, les champs suivants sont déconseillés sur l’enregistrement de VI et ne sont plus renseignés :
      • Qualys Gravité
      • Dernière mise à jour par source

      De même, pour Qualys, comme le montre la figure précédente, lorsqu’un VI est créé à partir d’une analyse, la valeur de l’analyse des résultats s’affiche dans la colonne Preuve de l’enregistrement de détection. Toutefois, cette valeur n’est pas affichée dans la partie supérieure de l’enregistrement VI.

      Pour Rapid7, lorsqu’un VI est créé à partir d’une analyse, la valeur de Preuve de l’analyse peut être affichée à la fois dans la colonne Preuve de l’enregistrement de détection et dans la partie supérieure de l’enregistrement de VI, mais pas par défaut. Pour afficher cette valeur sur la partie supérieure de l’enregistrement VI, sélectionnez le champ Épreuve dans la mise en page du formulaire.

    3. Facultatif : Pour configurer la mise en page de l’onglet Détections sur l’enregistrement, procédez comme suit.
      1. Les colonnes suivantes sont affichées dans l’onglet Détections par défaut.
        • Statut
        • Première occurrence trouvée (données)
        • Dernier trouvé (date)
        • Nom DNS
        • Nom du BIOS net
        • Adresse IP
        • Durées trouvées
        • Port
        • Protocole
        • Preuve
        • SSL
        Remarque :

        Remarque : s’il n’y a pas de valeur dans une colonne, cela signifie que les données de ce champ n’ont pas été détectées par le scanner.

      2. Cliquez sur l’icône d’engrenage ( icône d’engrenage) pour personnaliser votre vue.
      3. Sélectionnez les colonnes de la zone de sélection pour afficher des données spécifiques, puis cliquez sur OK.
    4. Avec l’onglet Détections sélectionné, dans la colonne État, cliquez sur un élément pour ouvrir l’enregistrement de détection et afficher les détails associés à cet élément vulnérable, y compris un résumé de la solution (intégration Rapid7 InsightVM uniquement).
      Figure 1. Qualys Enregistrement de détection
      Enregistrement de détection
      Figure 2. Enregistrement de détection Rapid7
      Enregistrement de détection Rapid7 avec solution
    5. Revenez à l’enregistrement et sélectionnez l’onglet Détection initiale.

      L’onglet Détections initiales affiche les données importées du scanner tiers lors de la première occurrence de la détection. Ces informations de l’onglet de détection initiale ne changent pas lors de la mise à jour des données de détection.

      Onglet Détections initiales
    6. Facultatif : Accédez à Détection d’éléments vulnérables pour afficher la liste de détection d’éléments vulnérables.

      La liste de détection d’éléments vulnérables s’affiche. Chaque ligne de la liste Détection des éléments vulnérables représente une détection distincte. Les colonnes affichent les mêmes données que l’enregistrement VI.

      Liste des détections

      Les détections ne sont ouvertes ou fermées que par les données trouvées par un scanner, elles ne sont pas cumulées à partir des VI. Au fur et à mesure de l’importation des détections, elles sont utilisées pour créer des VI et mettre à jour les états des VI. Si toutes les détections sont fermées pour un élément vulnérable, cet élément vulnérable sera fermé. Sur l’enregistrement VI, l’état est fermé et le sous-état est fixe.

      Remarque :
      Les erreurs sont consignées lorsque :
      • Traitement des pièces jointes récupérées à partir du scanner.
      • Créer ou mettre à jour des détections ou des éléments vulnérables.
      Pour en savoir plus sur la gestion des erreurs de détection, reportez-vous à la section Gestion des erreurs de détection.

      Lorsque tous les VI sont fermés pour une tâche de rattrapage, la tâche de rattrapage est fermée.

      Les éléments vulnérables fermés avec un sous-état fixe ou périmé sont rouverts si une nouvelle détection est créée et les éléments vulnérables peuvent être mis en correspondance avec la nouvelle vulnérabilité.

      Les éléments vulnérables définis sur Résolu dans votre instance, mais non transitionnés vers l’état Fermé/Résolu par les exécutions d’intégration suivantes, sont rouverts s’ils sont détectés lors des nouvelles analyses.

      Lorsque tous les VI sont fermés pour une tâche de rattrapage, l’enregistrement est fermé.

      Les éléments vulnérables définis sur « Résolu » dans votre instance, mais non transférés vers « Fermé/Réparé » par les exécutions d’intégration suivantes, sont rouverts s’ils sont détectés lors des nouvelles analyses.

      Pour Rapid7 les détections, une option est désormais disponible sur la page de configuration Rapid7 de votre instance pour rouvrir les VI résolus par âge. Si cette option est activée, les VI définis sur Résolu , mais non transformés en Fermé/Corrigé par les analyses suivantes, reviennent à Ouvert après le nombre de jours que vous saisissez.

      Pour Qualys les détections, si le scanner continue de trouver des VI qui ont été définis sur « Résolu », mais qui ne sont pas passés à l’état Fermé/Fixe lors des analyses suivantes, ces VI repassent à Ouvert lorsque la dernière date trouvée est ultérieure à la date Résolue.

    Que faire ensuite

    Pour afficher plus de données, notamment le nombre d’éléments et le nombre de détections, vous pouvez Vérifier Vulnerability Response les données de détection d’éléments vulnérables sur les enregistrements d’exécution de l’intégration (VINTRUN).