Exclure automatiquement des vulnérabilités

Les exclusions automatiques permettent d’ignorer automatiquement les vulnérabilités liées à une ou plusieurs technologies sur un actif.

Créer et gérer les exclusions automatiques

La gestion des exclusions automatiques est disponible dans le menu « Réglages » via le sous-menu « Exclusions automatiques ».

Ainsi, pour créer une exclusion automatique en fonction d’une technologie précise :

  1. Se rendre sur Réglages > Exclusions automatiques
  2. Cliquer sur le bouton « Ajouter » en haut à droite de « Liste des exclusions automatiques » : ceci aura pour effet d’ouvrir le formulaire de création d’exclusion automatique.

Il est ensuite nécessaire de renseigner :

  • un nom, permettant d’identifier l’exclusion.
  • un ou plusieurs mots-clés. Ces derniers vont permettre d’identifier la technologie dont on souhaite ignorer les vulnérabilités.

Une bonne pratique de définition de mots-clés consiste à aller chercher ceux-ci dans le nom des technologies indiqué dans l’onglet « Gestion des correctifs » associé à un actif. Pour cela :

  1. Se rendre sur la vue « Inventaire ».
  2. Sélectionner un actif disposant d’un correctif portant sur la technologie à laquelle on souhaite associer une exclusion.
  3. Se rendre dans l’onglet « Gestion des correctifs », et piocher le ou les mots-clés dans la colonne « Technologie ».

Il est également possible de procéder par une recherche de type target_package :

  1. Se rendre sur la vue « Inventaire ».
  2. Dans la barre de recherches de la vue, écrire par exemple target_package:chrome puis valider.
  3. Cyberwatch affichera alors l’ensemble des actifs concernés par un correctif pour Chrome.

Une fois l’exclusion créée, il est nécessaire de lui affecter des actifs.

Assigner une exclusion automatique à un actif

Se rendre dans la vue « Inventaire » et cliquer sur le bouton « Edition » pour faire apparaître la colonne exclusion automatique.

Cette colonne est éditable et permet de rattacher une exclusion automatique à un actif. Un actif ne peut avoir qu’une seule exclusion automatique.

Il est possible de rattacher une politique d’exclusion à un grand nombre d’actifs via la vue « Inventaire ».

Pour ce faire :

  1. Sur la vue Inventaire sélectionner les actifs concernés.
  2. Cliquer sur le bouton « Edition groupée ».
  3. Cliquer sur « Modifier l’exclusion automatique » puis sur le nom de l’exclusion souhaitée.

Attention :

  • l’exclusion prendra effet lors de la prochaine analyse - lancée automatiquement après association de l’exclusion aux actifs -, donc après quelques minutes.
  • les vulnérabilités ignorées apparaîtront grisées, en fin de liste.
  • les nouveaux actifs ne sont pas porteurs d’exclusion par défaut. Ainsi, une méthode commode pour gérer ces ajouts est l’utilisation de règles permettant l’application d’une exclusion à tous les actifs respectant un critère.
  • la suppression de l’exclusion n’annule pas les actions effectuées par celle-ci. Il est cependant possible de ne plus ignorer les vulnérabilités que l’on souhaite de nouveau considérer directement depuis la fiche de l’actif ou de la vulnérabilité.

Exemple

Procédure pour ignorer par défaut les vulnérabilités liées à Java et à la KB n°4021558 sur l’ensemble des actifs en charge de la production :

  1. Cliquer sur Réglages > Exclusions automatiques
  2. Créer une exclusion automatique nommée « EXCLU_ENV_PROD » avec deux mots-clés : « Java » et « KB4021558 »
  3. Sur la page Inventaire sélectionner les actifs concernées.
  4. Cliquer sur le bouton « Edition groupée ».
  5. Cliquer sur « Modifier l’exclusion automatique » puis sur le nom de l’exclusion ( ici « EXCLU_ENV_PROD » ).

Retour en haut