Réponse aux vulnérabilités États des tâches de rattrapage

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 8 minutes de lecture

    • Les intégrations tierces importent des données de détection d’éléments vulnérables qui créent de nouveaux éléments de vulnérabilité (VIT) ou mettent à jour les VIT existants. Les états de détection mettent à jour les états VIT dans la mesure où ils sont ouverts ou fermés.

    Pour plus d’informations sur la façon dont l’état d’une détection affecte l’état d’un VIT, reportez-vous à la Détections, tâches de rattrapage et états des éléments vulnérablessection .

    Avec Change Management pour Réponse aux vulnérabilités, il existe une relation synchronisée entre les champs d’état des tâches de rattrapage et les champs d’état des demandes de changement (CHG) dans le produit Vulnerability Response. Au fur et à mesure qu’une demande de changement progresse dans son cycle de vie, elle modifie automatiquement l’état de toutes les tâches de rattrapage connexes. Une fois qu’une demande de changement est implémentée, la tâche de rattrapage est automatiquement résolue. Consultez Synchronisation de l’état entre les demandes de changement et les tâches de rattrapage pour plus d'informations.
    Remarque :
    À partir de la v23.0 de Réponse aux vulnérabilités:
    • le workflow d’approbation de l’état de la tâche de rattrapage est déconseillé et remplacé par l’approbation de l’état de la tâche de rattrapage de flux dans le concepteur de flux.
    • le bouton Fermer a été supprimé pour une tâche de rattrapage et la fermeture d’une tâche de rattrapage est pilotée par le scanner.

    Le tableau suivant répertorie les états des tâches de rattrapage et les actions que vous pouvez effectuer sur une tâche de rattrapage à l’état respectif :

    Tableau 1. États des tâches de rattrapage
    État Description
    Ouvert État à la création. À partir de cet état, vous pouvez :
    Afficher les VI en double
    Identifiez les VIT en double signalés par plusieurs scanners dans le système. Vous pouvez marquer le VIT en double comme Résolu ou Fermé. Les entrées en double ne s’affichent que lorsque la combinaison de vulnérabilités est créée à l’aide des vulnérabilités et expositions communes (CVE). Pour plus d'informations, consultez Réponse aux vulnérabilités États de la tâche de rattrapage et des éléments vulnérables.
    Démarrer l'examen
    Affectez cette tâche de rattrapage à une personne ou à un groupe pour qu’il commence à enquêter.
    Marquer comme faux positif
    Marquez un élément ou un groupe comme faux positif si le scanner signale qu’une vulnérabilité existe dans le système, mais qu’en réalité il n’y a pas de vulnérabilité.
    Demande d'exception
    Demandez une exception, une date de réouverture (Jusqu’à), un motif et, éventuellement, fournissez des informations supplémentaires. Reporte le rattrapage de l’élément ou du groupe jusqu’à la date à laquelle une exception est demandée.
    Résoudre
    Marquer comme résolu pour déplacer l’élément ou le groupe vers un état résolu.
    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Diviser la tâche de rattrapage
    Pour une tâche de rattrapage comportant plusieurs éléments vulnérables, utilisez un ensemble de conditions pour filtrer un sous-ensemble d’éléments vulnérables et diviser une tâche de rattrapage. Les éléments que vous sélectionnez sont automatiquement déplacés vers une nouvelle tâche de rattrapage. Pour plus d'informations, consultez Fractionner une tâche de rattrapage dans le Espace de travail de remédiation IT.
    Différer
    Sélectionnez l’état Différé, une date de réouverture, un motif et, éventuellement, fournissez des informations supplémentaires. Diffère l’état de la tâche de rattrapage jusqu’à la date de réouverture.
    Supprimer
    Confirmez la suppression. Supprime le groupe.
    En cours d'examen Déclenché par le bouton Démarrer l’examen . À partir de cet état, vous pouvez :
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Fractionner la tâche
    Pour une tâche de rattrapage comportant plusieurs éléments vulnérables, utilisez un ensemble de conditions pour filtrer un sous-ensemble d’éléments vulnérables et diviser une tâche de rattrapage. Les éléments que vous sélectionnez sont automatiquement déplacés vers une nouvelle tâche de rattrapage. Pour plus d'informations, consultez Fractionner une tâche de rattrapage.
    Créer une demande de changement
    Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage.
    En attente d'implémentation
    Modifie l’état en En attente d’implémentation. Cet état indique que les tâches de rattrapage ont été renvoyées en dehors d’un Réponse aux vulnérabilités.
    Différer
    Sélectionnez l’état Différé, une date de réouverture, un motif et, éventuellement, fournissez des informations supplémentaires. Diffère l’état de la tâche de rattrapage jusqu’à la date de réouverture.
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.
    Différé Déclenché par le bouton Demander une exception . Dans le cadre du workflow d’approbation, l’état Différé est En cours de révision et ne peut pas être fermé tant qu’il n’a pas été approuvé.

    À partir de cet état, vous pouvez :

    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Fractionner la tâche
    Pour une tâche de rattrapage comportant plusieurs éléments vulnérables, utilisez un ensemble de conditions pour filtrer un sous-ensemble d’éléments vulnérables et diviser une tâche de rattrapage. Les éléments que vous sélectionnez sont automatiquement déplacés vers un nouveau VG. Consultez Fractionner une tâche de rattrapage.
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Rouvert
    Transition vers un état ouvert.
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.

    Les informations sur le report s’affichent sous l’onglet Fermer/Différer . À la date de report, le groupe rouvre pour correction.
    En attente d'implémentation Déclenché par le bouton En attente d’implémentation . À partir de cet état, vous pouvez :
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Fractionner la tâche
    Pour une tâche de rattrapage comportant plusieurs éléments vulnérables, utilisez un ensemble de conditions pour filtrer un sous-ensemble d’éléments vulnérables et diviser une tâche de rattrapage. Les éléments que vous sélectionnez sont automatiquement déplacés vers une nouvelle tâche de rattrapage. Pour plus d'informations, consultez Fractionner une tâche de rattrapage.
    Créer une demande de changement
    Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage.
    Différer
    Sélectionnez l’état Différé, une date de réouverture, un motif et, éventuellement, fournissez des informations supplémentaires. Diffère l’état de la tâche de rattrapage jusqu’à la date de réouverture.
    Résoudre
    Ajoutez des notes. L’état devient Résolu. Les notes apparaissent sous l’onglet Résolution .
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.
    Résolu Déclenché à partir du bouton Résoudre . À partir de cet état, vous pouvez :
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Créer un changement
    Créez une demande de changement ou associez une tâche de rattrapage à une demande de changement existante. Pour plus d'informations, consultez Créer une demande de changement à partir d’une tâche de rattrapage et Associer une tâche de rattrapage à une demande de changement existante.
    Rouvert
    Transition vers un état ouvert.
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.

    Les notes apparaissent sous l’onglet Notes . Les informations sur la résolution apparaissent sous l’onglet Résolution .
    Fermé Déclenché par le scanner. À partir de cet état, vous pouvez :
    Créer un incident de sécurité
    Pour plus d’informations, consultez Créer un incident de sécurité.
    Rouvert
    Transition vers un état ouvert.
    Supprimer
    Confirmez la suppression. Supprime la tâche de rattrapage.

    Les informations sur la fermeture apparaissent sous l’onglet Fermer/Différer .
    • Le propriétaire du rattrapage peut uniquement marquer un élément vulnérable ou une tâche de rattrapage comme résolu. Selon la confirmation de l’analyseur, cet élément résolu ou cette tâche de rattrapage peut être marqué comme Fermé ou Rouvert.
    • Le bouton Supprimer est disponible pour l’administrateur lorsque plusieurs éléments vulnérables sont créés manuellement et que ceux-ci doivent être fermés ou supprimés.
    • Si vous déterminez que les éléments présentent un risque faible, sont en attente d’une fenêtre de changement ou d’un correctif, vous pouvez modifier leur tâche de rattrapage à l’état Différerle rouge pendant une durée définie. Vous pouvez demander une exception à l’aide de l’option Demande d’exception .
      Remarque :
      Lorsque les tâches de rattrapage sont différées ou fermées, vous pouvez spécifier des résolutions pour affiner les raisons de cette opération.
    • Lorsqu’un VIT est rouvert, manuellement ou automatiquement, il se produit ce qui suit :
      • L’état VIT devient Ouvert. L’état de la tâche de rattrapage d’origine n’est pas mis à jour.
      • La VIT est réévaluée et placée dans une nouvelle tâche de rattrapage ou dans une tâche de rattrapage existante basée sur les règles de tâche de rattrapage actives.

      Cela préserve son historique tout en permettant un rattrapage supplémentaire.

    • Lorsqu’une tâche de rattrapage est créée (automatiquement ou manuellement) ou divisée, ses champs État, Motif etJusqu’à sont évalués. En cas d’action de division, ces champs sont évalués pour les anciennes et les nouvelles tâches de rattrapage. Lorsqu’un VIT est mis à jour, les champs État, Motif et Jusqu’à de toutes ses tâches de rattrapage associées sont évalués.
      • Si tous les VIT d’une tâche de rattrapage sont différés et ont le même motif, alors l’état de la tâche de rattrapage passe à Différé et le motif des VIT est affecté à la tâche de rattrapage. Si les VIT diffèrent en matière de motif, le motif de la tâche de rattrapage devient Aucun.
      • La date de fin la plus proche de tous les VIT est mise à jour dans le champ Jusqu’à de la tâche de rattrapage.
      • Si vous rouvrez un VIT, l’état de la tâche de rattrapage devient Ouvert.

      Cette évaluation est effectuée par la tâche planifiée, qui s’exécute Rollup vulnerability item values to vulnerability and group toutes les 15 minutes.