Composants installés avec Vulnerability Response pour conteneurs
Plusieurs types de composants sont installés lors de l'activation de l'application Vulnerability Response pour conteneurs, notamment des tables, des rôles d'utilisateur et des tâches planifiées.
Les données de démonstration sont disponibles pour cette fonctionnalité.
Rôles installés avec Vulnerability Response pour conteneurs
Des rôles sont ajoutés avec l'activation de Vulnerability Response pour conteneurs.
Des rôles granulaires et de profil sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration. Pour plus d’informations sur la gestion des rôles granulaires, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.
Si vous êtes un client de mise à niveau, l’accès des utilisateurs et des groupes que vous avez affectés avec les autorisations sn_vul.vulnerability_read et sn_vul.vulnerability_write avant la version 10.3 n’a pas changé. Ces rôles restent affectés aux utilisateurs et aux groupes jusqu’à ce que vous les changiez. Toutefois, à partir de la version 10.3, vous préférerez peut-être affecter des rôles granulaires pour mieux contrôler ce que les utilisateurs et les groupes peuvent faire et voir dans l’application Vulnerability Response . Pour obtenir une vue d’ensemble et plus d’informations sur la gestion de ces rôles, consultez Vulnerability Response Profils et rôles granulaires et Gérer les profils et les rôles granulaires pour Vulnerability Response.
| Titre du rôle [name] | Description |
|---|---|
| sn_vul_container.ci_manager | Gère la reclassification des éléments de configuration (CI) sans correspondance. |
| sn_vul_container.configure_integrations | Configure les intégrations de conteneurs. |
| sn_vul_container.configure_vi_granularity | Configure la granularité des éléments vulnérables du conteneur. |
| sn_vul_container.create_vi | Peut créer manuellement des éléments vulnérables de conteneur. |
| sn_vul_container.delete_vi | Peut supprimer les éléments vulnérables de conteneur créés manuellement. |
| sn_vul_container.exception_approver | Approuve les exceptions, les reports et les fermetures des éléments vulnérables du conteneur. À partir de la version 2.3, le rôle granulaire sn_vul_container.read_all a été supprimé pour ce rôle afin que vous puissiez accéder aux éléments vulnérables du conteneur et aux tâches de rattrapage qui vous sont affectés, à vous et à votre groupe, au lieu de tous les éléments vulnérables et tâches de rattrapage du conteneur. |
| sn_vul_container.false_positive_approver | Approuve ou rejette la fermeture des éléments vulnérables du conteneur en tant que faux positif. |
| sn_vul_container.règles_de_gestion_d’affectation | Définit et met à jour les règles d’affectation des éléments vulnérables de conteneur. |
| sn_vul_container.manage_auto_close_stale_vi | Configurer la fermeture automatique des éléments vulnérables du conteneur périmé |
| sn_vul_container.manage_auto_exception_rule | Gérer (créer/lire/mettre à jour/supprimer) les règles d’exception |
| sn_vul_container.manage_normalized_severity | Peut mettre à jour le mappage pour normaliser la gravité. |
| sn_vul_container.manage_permissions | Peut affecter des rôles de conteneur Vulnerability Response aux utilisateurs. |
| sn_vul_container.manage_remediation_targ... | Définit et met à jour les règles de cible de rattrapage des conteneurs. |
| sn_vul_container.manage_risk_score_confi... | Définit et met à jour les calculateurs de score de risque, les règles de risque et les calculateurs de déploiement de vulnérabilité pour les éléments vulnérables du conteneur. |
| sn_vul_container.read_all | Peut afficher tous les éléments vulnérables du conteneur et les informations connexes. |
| sn_vul_container.read_assigned | Peut afficher les éléments vulnérables de conteneurs qui me sont affectés ou qui sont affectés à mes groupes. |
| sn_vul_container.read_assignment_rules | Peut afficher les règles d’affectation des éléments vulnérables du conteneur. |
| sn_vul_container.read_auto_exception_rule | Lire les règles d’exception |
| sn_vul_container.read_discovered_image | Peut afficher les éléments détectés. |
| sn_vul_container.read_integrations | Peut afficher les résultats des exécutions d’intégration. |
| sn_vul_container.read_normalized_severity | Peut afficher le mappage de gravité normalisée. |
| sn_vul_container.read_remediation_target... | Peut afficher les règles de cible de rattrapage. |
| sn_vul_container.read_risk_score_configu... | Peut afficher les calculateurs de score de risque, les règles de risque et les calculateurs de déploiement de vulnérabilité pour les éléments vulnérables du conteneur. |
| sn_vul_container.propriétaire_de_remédiation | Lit et écrit les éléments vulnérables du conteneur qui leur sont affectés. Les enregistrements de vulnérabilité sont également lisibles par un utilisateur disposant de ce rôle. |
| sn_vul_container.update_assigned_to | Peut mettre à jour l’affectation des éléments vulnérables du conteneur. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.update_assignment_group | Peut mettre à jour le groupe d’affectation pour les éléments vulnérables du conteneur. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.update_state | Peut mettre à jour les états des éléments vulnérables. Nécessite sn_vul_container.write_all ou sn_vul_container.write_assigned. |
| sn_vul_container.vulnerability_admin | Configure toutes les règles, intégrations, etc. pour le Vulnerability Response pour conteneurs produit. |
| sn_vul_container.vulnerability_analyst | Surveille le rattrapage de tous les éléments vulnérables du conteneur. |
| sn_vul_container.write_all | Peut mettre à jour tous les éléments vulnérables et les tâches de rattrapage du conteneur. |
| sn_vul_container.write_assigné | Peut mettre à jour des éléments vulnérables de conteneurs ou des tâches de rattrapage qui me sont affectées ou qui sont affectées à mes groupes. |
| sn_vul_container.read_watch_topic | Peut lire les rubriques de surveillance pour les vulnérabilités du conteneur. |
| sn_vul_container.create_watch_topic | Peut créer des rubriques de surveillance pour les vulnérabilités du conteneur. |
| sn_vul_container.modifier_la_rubrique de surveillance | Peut modifier les rubriques de surveillance pour les vulnérabilités du conteneur. |
| sn_vul_container.manage_exception_configuration | Peut gérer les configurations de gestion des exceptions. |
Tables installées avec Vulnerability Response pour conteneurs
Les tables sont ajoutées avec l’activation de Vulnerability Response pour conteneurs (CVR).
| Table | Description |
|---|---|
| Résultat de l’image du conteneur sn_vul_container_image_findings |
Stocke des informations sur les vulnérabilités associées, la couche d’image, l’image Docker, le référentiel d’images et l’image détectée. |
| Couche d'image du conteneur sn_vul_container_image_layer |
Contient les informations de chaque couche d’image. Une image est un fichier statique contenant du code exécutable qui permet de créer un conteneur sur un système informatique. |
| Package d'images du conteneur sn_vul_container_image_package |
Fournit des informations sur les packages dans lesquels les vulnérabilités existent. Les détails du package binaire sont également fournis sous forme de valeurs séparées par des virgules. |
| Élément vulnérable de conteneur sn_vul_container_image_vulnerable_item |
Contient les détails de chaque résultat et de la vulnérabilité correspondante. |
| Image du conteneur détectée sn_vul_container_image |
Fournit des informations sur l’ID d’image, l’image Docker et le référentiel d’images. Il stocke également les informations de couche et les associe à l’image détectée. |
| Recherche de mappages sn_vul_container_finding_m2m_vul_item |
Relation M2M des résultats de l’image du conteneur et des éléments vulnérables du conteneur. |
| Éléments vulnérables à fermeture automatique sn_vul_container_image_auto_close_config |
Contient les informations sur la façon de fermer les résultats d’image du conteneur périmés et de déployer l’état dans les CVIT. |
| Clés de vulnérabilité de l’image du conteneur sn_vul_container_image_vulnerability_keys |
Contient la configuration de granularité pour la création de CVIT à partir des résultats de l’image du conteneur. |
| Services associés au Doker sn_vul_container_m2m_ci_services |
Contient tous les services aux entreprises associés à une image de conteneur. |
| Nombres de conteneurs VR sn_vul_container_vr_container_counts |
Contient la moyenne mobile des instances de conteneur dérivées d’une image de conteneur au cours des 90 derniers jours. |
| Élément de tâche de rattrapage de conteneur sn_vul_container_m2m_vul_group_item |
Table M2M entre les tâches de remédiation CVIT et conteneur. |
| Tâche de rattrapage de conteneur sn_vul_container_vulnerability |
Contient les tâches de rattrapage de conteneur. |
| Manifeste de tâche de rattrapage de conteneur sn_vul_container_rt_manifest |
Toutes les mises à jour de la tâche de rattrapage seront effectuées à l’aide de cette table de manifestes par les travaux planifiés. |
Tâches planifiées installées avec Vulnerability Response pour conteneurs
Des tâches planifiées sont ajoutées à l'activation d'Vulnerability Response pour conteneurs.
| Tâche planifiée | Description |
|---|---|
| Associer des VI de conteneurs existants à la règle d’exception automatique | Associe automatiquement la règle d’exception automatique aux éléments vulnérables du conteneur (CVIT) existants. |
| Vérifier l’expiration du report de l’élément vulnérable du conteneur | Envoie des notifications si des éléments vulnérables de conteneurs ou des vulnérabilités de conteneurs ont expiré (et s’ils expirent dans une semaine). |
| Nombre de conteneurs Vulnerability Response (Application : Vulnerability Response et Configuration Compliance pour les conteneurs) | S’exécute quotidiennement pour remplir la table sn_vul_container_vr_container_counts qui calcule la moyenne mobile de 90 jours pour les conteneurs. |
| Fermer automatiquement les CVIT | Ferme automatiquement les éléments de vulnérabilité de conteneur qui correspondent à la condition définie dans la configuration de fermeture automatique. Leur état est changé en « fixe ». |
| Calculer la criticité opérationnelle pour la CVIT | Traite tous les CVIT actifs et met à jour le champ Criticité opérationnelle, en fonction des services affectés de l’image Docker du CVIT. |
| Fermer les CVIT d’annulation qui n’ont pas d’image Docker associée | Expire automatiquement les CVIT qui n’ont pas de CI associé. Leur état est défini sur Fermé et le sous-état sur Annulé. |
| Calculer les nombres de VI connexes pour la tâche de rattrapage de conteneur | Calcule les nombres sur les enregistrements de tâches de rattrapage de conteneurs. |
| Déployer les valeurs des éléments vulnérables du conteneur vers la vulnérabilité et le groupe | Calcule les vulnérabilités et les déploiements de groupes pour les éléments vulnérables du conteneur. |