Fermeture des détections obsolètes dans Réponse aux vulnérabilités
Le module Fermer automatiquement les détections périmées vous aide à nettoyer automatiquement les détections vulnérables anciennes et périmées qui n’ont pas été trouvées récemment par vos intégrations tierces. Le déplacement de ces détections vers Fermé réduit le nombre d’éléments vulnérables actifs et de tâches de rattrapage dans votre Now Platform instance et vous aide à rapprocher les actifs dans votre CMDB.
Vue d’ensemble et termes clés
Afin de déployer plus précisément les données de détection sur vos éléments vulnérables, le module Fermer automatiquement les détections d’éléments vulnérables périmées vous aide à nettoyer les détections d’éléments vulnérables anciennes et périmées qui n’ont pas été trouvées récemment par vos intégrations tierces. Pour en savoir plus sur cette fonctionnalité, consultez le cas d’utilisation ci-dessous et l’article Fermer automatiquement les détections de périmage [KB 0958638].
Dans les versions précédentes de , le module Fermer Réponse aux vulnérabilitésautomatiquement les éléments vulnérables faisait automatiquement passer les éléments vulnérables qui n’avaient pas été trouvés récemment ou mis à jour par vos intégrations d’analyseurs tiers à l’état Fermé - Périmé.
Avant d’activer la fonctionnalité Fermer automatiquement les détections périmées, examinez les termes suivants, la manière dont les états se déploient pour les éléments vulnérables et les tâches de rattrapage, ainsi que les prérequis pour vos intégrations tierces qui importent des données de détection.
Pour activer cette fonctionnalité, reportez-vous à la section Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités.
Termes clés
- Détections périmées
- Désigne les détections associées aux éléments vulnérables de votre Now Platform® instance qui sont vieillies et n’ont pas été trouvées, mises à jour ou détectées par des analyses d’intégration tierces depuis une période significative.
- Dernières détections trouvées
- Cette option de recherche utilise une date et une heure fournies par le scanner tiers. Ce terme fait référence à la date et à l’heure les plus récentes ou les plus récentes auxquelles les détections ont été retrouvées par le scanner.
- Derniers actifs numérisés
- Cette option de recherche utilise une date et une heure fournies par le scanner tiers. Ce terme désigne la date et l’heure les plus récentes auxquelles un actif a été analysé pour la dernière fois par un scanner tiers.
Cas d'utilisation
Parfois, les actifs (éléments de configuration) peuvent être mis hors service dans votre environnement ou purgés par des scanners tiers, et leurs détections associées ne sont pas mises à jour par les détections d’éléments vulnérables. Par conséquent, les détections et leurs éléments vulnérables connexes ne sont pas mis à jour dans l’application Réponse aux vulnérabilités et deviennent inactifs (périmés).
Pour fermer ces détections âgées qui ont des données d’élément vulnérable inchangées et ensuite réduire le nombre de VI actifs et de tâches de rattrapage (RT), activez Fermer automatiquement les détections périmées. Cette fonctionnalité ferme automatiquement les détections d’éléments vulnérables qui n’ont pas été trouvées ou mises à jour récemment par vos intégrations d’analyseurs tiers en fonction des critères de recherche et d’un âge en nombre de jours que vous définissez.
Par exemple, supposons qu’un élément de configuration (CI) particulier possède plusieurs ID d’actifs et que l’un de ces ID n’a pas été importé sur une détection à partir d’un scanner tiers au cours des 90 derniers jours. Cette fonctionnalité ferme automatiquement cette détection qui n’a pas de nouvelles données de vulnérabilité afin que le VI associé puisse être fermé.
Étant donné qu’un VI peut être associé à plusieurs détections, cette fonctionnalité ne fait que passer les détections jugées périmées par les paramètres que vous avez définis. Par exemple, si quatre détections sont associées à un VI et que deux détections sont périmées, c’est-à-dire qu’aucune nouvelle donnée de vulnérabilité n’a été importée au cours des 90 derniers jours, cette fonctionnalité ferme uniquement les détections périmées. Pour pouvoir fermer le VI, vous devez d’abord corriger les deux autres détections ouvertes.
Déploiement des états de détection sur les VI
Pour différencier les détections fermées automatiquement des détections fermées par des scanners tiers, une nouvelle valeur pour le champ État, Périmé, a été ajoutée. Les valeurs possibles pour ce champ sont Ouvert, Fermé et Périmé. Périmé indique qu’une détection a été fermée par la fonction de détection de fermeture automatique.
Priorité d’État : Ouvert > Fermé > Périmé.
- Si des détections sont ouvertes, l’état du VI associé reste ouvert.
- Si aucune détection n’est ouverte, certaines sont fermées et d’autres sont périmées, l’état du VI associé passe à l’état Fermé - Corrigé.
- Si toutes les détections sont périmées, l’état du VI associé passe à Fermé - Périmé.
À partir de Réponse aux vulnérabilités la version 20.0, si la détection est périmée et que son VI associé est à l’état Fermé, l’état du VI ne passe pas à l’état Fermé - Périmé. Cela permet d’éviter que le VI ne se rouvre lorsqu’une nouvelle détection est identifiée afin que vous puissiez éviter de passer par l’ensemble du processus de demande et d’approbation de faux positif. Pour inverser ce comportement, décochez la case Ignorer les détections obsolètes pour les VI fermés dans le formulaire Configuration de fermeture automatique. Pour plus d'informations, consultez Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités.
Déploiement des états des VI sur les tâches de remédiation (VUL)
Priorité d’État : Ouvert > Fermé : Corrigé > Fermé : Périmé.
- Si des VI dans une VUL (tâche de rattrapage) sont ouverts, l’état de la VUL n’est pas modifié.
- Si au moins un VI est Fermé - Corrigé et que les autres sont Fermé - Périmé, l’état de la VUL passe à Fermé - Corrigé.
- Si tous les VI d’une VUL sont Fermé - Périmé, l’état de la VUL passe à Fermé - Annulé.
Détection de fermeture automatique et exigences d’intégration tierce
Utilisateurs Microsoft TVM et fermeture automatique des détections obsolètes
| Élément de liste de vérification | Description |
|---|---|
| L’intégration de vulnérabilité Microsoft TVM | Avec Microsoft TVM Vulnerability Integration, si vous sélectionnez les dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’intégration des vulnérabilités de la machine Microsoft TVM (importation complète) au cours des sept derniers jours. Cette intégration a lieu chaque semaine. Si la fermeture automatique des détections périmées est activée et configurée pour les dernières détections trouvées, et que l’intégration des vulnérabilités des ordinateurs Microsoft TVM est désactivée ou qu’une importation de données n’est pas effectuée avec succès au cours des sept derniers jours, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections périmées peuvent ne pas être fermées comme prévu. Si vous sélectionnez Derniers actifs numérisés pour baser votre recherche, l’exécution de l’intégration des vulnérabilités de la machine Microsoft TVM n’est pas requise. Pour activer cette intégration :
|
| (Facultatif) Déployez plusieurs instances des intégrations Microsoft TVM dans votre environnement. | Vous pouvez éventuellement déployer plusieurs instances des intégrations dans votre environnement. La fermeture automatique des détections périmées n’est pas spécifique à l’instance et est activée ou désactivée dans votre environnement. Les détections périmées passent automatiquement à l’état Périmé sur les instances dont l’exécution de l’intégration s’est terminée avec succès. Si la fermeture automatique des détections périmées est activée et que vous désactivez les intégrations qui s’exécutent chaque semaine dans une instance, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections peuvent ne pas passer automatiquement à l’état périmé comme prévu. |
Qualys utilisateurs et Fermer automatiquement les éléments vulnérables périmés
- Toutes les intégrations tierces activées Qualys qui récupèrent des données de détection peuvent s’exécuter avec ce module. Aucune application spécifique Qualys n’est requise.
- Vous pouvez éventuellement déployer plusieurs instances des Qualys intégrations dans votre environnement.
- La fermeture automatique des détections périmées n’est pas spécifique à l’instance et est activée ou désactivée dans votre environnement. Les détections périmées passent automatiquement à l’état Périmé sur toutes les instances.
Rapid7 utilisateurs et fermer automatiquement les détections obsolètes
| Élément de liste de vérification | Description |
|---|---|
| L’intégration Rapid7 de vulnérabilité | Si vous sélectionnez Dernières détections trouvées pour baser votre recherche, cette fonctionnalité nécessite une exécution réussie de l’une Rapid7 des intégrations complètes d’éléments vulnérables au cours des sept derniers jours. Ces intégrations complètes s’exécutent chaque semaine :
Si la fermeture automatique des détections périmées est activée et configurée pour les dernières détections trouvées, et que les intégrations complètes d’éléments Rapid7 vulnérables sont désactivées, ou qu’une importation de données n’est pas effectuée avec succès au cours des sept derniers jours, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections périmées peuvent ne pas être fermées comme prévu. Si vous sélectionnez la dernière numérisation des actifs pour baser votre recherche, aucune exécution d’intégration complète Rapid7 n’est requise. Pour activer ces intégrations :
Remarque : Outre ces intégrations qui s’exécutent chaque semaine et Rapid7 InsightVM qui ont chacune des intégrations de VI qui s’exécutent quotidiennement, Rapid7 Nexpose l’intégration d’éléments vulnérables Rapid7 et l’API d’intégration d’éléments vulnérables Rapid7. Si les intégrations quotidienne et hebdomadaire Rapid7 sont activées, une seule intégration s’exécute à la fois. Si l’une de ces tâches d’intégration est en cours d’exécution, la tâche de l’autre intégration est ignorée jusqu’à la prochaine tâche planifiée. |
| (Facultatif) Déployez plusieurs instances des Rapid7 intégrations dans votre environnement. | Vous pouvez éventuellement déployer plusieurs instances des intégrations complètes dans votre environnement. La fermeture automatique des détections périmées n’est pas spécifique à l’instance et est activée ou désactivée dans votre environnement. Les détections périmées passent automatiquement à l’état Périmé sur les instances dont l’exécution de l’intégration s’est terminée avec succès. Si la fermeture automatique des détections périmées est activée et que vous désactivez les intégrations qui s’exécutent chaque semaine dans une instance, la tâche planifiée de fermeture des détections s’exécute toujours quotidiennement, mais certaines détections peuvent ne pas passer automatiquement à l’état Périmé comme prévu. |
Utilisateurs d’intégration de vulnérabilité Tenable et fermeture automatique des éléments vulnérables périmés
- Toutes les intégrations activées à partir de l’intégration de vulnérabilité Tenable qui récupèrent des données de détection peuvent s’exécuter avec ce module. Aucune intégration de vulnérabilité Tenable spécifique n’est requise.
- Vous pouvez éventuellement déployer plusieurs instances de Tenable Vulnerability Integration dans votre environnement.
- La fermeture automatique des détections périmées n’est pas spécifique à l’instance et est activée ou désactivée dans votre environnement. Les détections périmées passent automatiquement à l’état Périmé sur toutes les instances.
Après avoir vérifié que vos intégrations sont correctement configurées, consultez Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités pour activer la fonctionnalité.
Mettre à niveau les informations de Fermer automatiquement les éléments vulnérables périmés vers Fermer automatiquement les détections obsolètes
- La valeur du nombre de jours que vous avez saisi pour l’option Dernière analyse des actifs à partir de Fermer automatiquement les éléments vulnérables périmés est conservée automatiquement pour la dernière numérisation des actifs dans Fermer automatiquement les détections périmées.
- La valeur du nombre de jours que vous avez saisi pour l’option Derniers éléments vulnérables trouvés à partir de Fermer automatiquement les éléments vulnérables périmés est conservée automatiquement pour les dernières détections trouvées dans Fermer automatiquement les détections périmées.
- Les détections ouvertes existantes avec des éléments vulnérables comme Fermé : périmé passeront à l’état Périmé selon les paramètres de configuration de fermeture automatique lorsque la tâche planifiée s’exécute après la Auto-Close Stale Detections mise à niveau.
Informations sur le déploiement
- Si un élément vulnérable était fermé - périmé avant la mise à niveau et que toutes ses détections sont marquées comme périmées après la mise à niveau, l’état du VI reste fermé - périmé.
- Si un élément vulnérable était fermé : périmé avant la mise à niveau, et que seules certaines de ses détections sont marquées comme périmées après la mise à niveau et que le reste a été fermé par le scanner, l’élément vulnérable passe à l’état Fermé : corrigé selon la logique de déploiement.