Politiques d’analyse

Les politiques d’analyse permettent de définir les jours et plages horaires pendant lesquels un ou plusieurs actifs peuvent être scannés par Cyberwatch.

Elles permettent également de personnaliser les analyses à exécuter et leur fréquence, ainsi que certains paramètres avancés tels que les paramètres de scan web pour les cibles réseau.

Il est possible de définir une politique comme la politique par défaut. Cette politique sera attribuée à tout nouvel actif.

Créer et gérer les politiques d’analyse

La gestion des politiques d’analyse est disponible dans le menu Réglages > Politiques d’analyses.

Pour créer une politique d’analyse cliquer sur le bouton Ajouter.

Le champ Nom permet d’identifier la politique d’analyse.
Le champ Périodicité permet de définir les jours pendant lesquels les actifs pourront être scannés.
Les champs Début et Fin définissent la plage horaire pendant laquelle les actifs pourront être scannés.
Le champ Planification change l’effet d’une politique d’analyse :
- En mode manuel, les scans ne sont exécutés qu’à la demande de l’utilisateur.
- En mode automatique, la politique autorise Cyberwatch à scanner automatiquement les actifs pendant la période définie.

La section Scripts d’analyses permet d’ajouter des analyses personnalisées et de définir leur fréquence. Les analyses Cyberwatch sont implicitement incluses, mais il est possible de les configurer explicitement afin de leur donner une fréquence propre à la politique, ou encore de désactiver entièrement l’exécution de certains scripts en sélectionnant la fréquence spéciale Jamais.

Assigner une politique d’analyse à des actifs

Il est possible de changer la politique d’analyse d’un actif depuis la page de détails d’un actif en cliquant sur Actions > Éditer l’actif ; ou encore depuis l’onglet Analyses à l’aide du sélecteur de politique d’analyse.

La modification groupée de la politique d’analyse d’un ensemble d’actifs est réalisable depuis l’Inventaire à l’aide du bouton Édition groupée > Modifier la politique d’analyse.

Enfin, pour attribuer de façon automatique une politique d’analyse selon divers critères de recherche, il est possible de créer une règle d’actifs.

Définir les scans exécutés dans le cadre d’une politique d’analyse

Lorsqu’une politique d’analyse est mise en place, l’ensemble des scripts d’analyse natifs à Cyberwatch y sont implicitement inclus, à l’exception des scans optionnels pouvant être gourmands en ressources.

Modifier l'exécution d'un script d'analyse natif à Cyberwatch dans une politique d'analyse

Afin de simplifier l’affichage, les scripts d’analyse natifs à Cyberwatch ne sont pas répertoriés depuis le formulaire d’édition d’une politique d’analyse. Cependant, il est possible de modifier leur récurrence ou de les désactiver en suivant la procédure suivante :

Se rendre sur la page d’édition de la politique d’analyse souhaitée depuis le menu Réglages > Politiques d’analyses ;
Cliquer sur Ajouter une analyse, puis sélectionner le script d’analyse natif de Cyberwatch ciblé ;
Sélectionner une période voulue afin de modifier la période d’exécution du script d’analyse, ou bien spécifier Jamais afin de le désactiver complètement de l’analyse.

Ajouter un script d'analyse optionnel dans une politique d'analyse

Sur Cyberwatch, certains scripts d’analyse effectuant des explorations approfondies du disque sont désactivés par défaut car ils peuvent augmenter le temps d’exécution ainsi que la consommation des ressources I/O, RAM et CPU. Il est possible de les ajouter à une politique d’analyse en suivant la procédure suivante :

Se rendre sur la page d’édition de la politique souhaitée depuis le menu Réglages > Politiques d’analyses ;
Cliquer sur Ajouter une analyse, puis sélectionner le script d’analyse optionnel ciblé ;
Sélectionner une période voulue afin de définir la période d’exécution du script d’analyse.

Ajouter un script d'analyse personnalisé dans une politique d'analyse

Si un script d’analyse personnalisé a été mis en place, il est possible de l’ajouter à une politique d’analyse afin qu’il soit exécuté lors des scans des actifs ayant cette politique d’analyse associée :

Se rendre sur la page d’édition de la politique souhaitée depuis le menu Réglages > Politiques d’analyses ;
Cliquer sur Ajouter une analyse, puis sélectionner le script d’analyse personnalisé ciblé ;
Sélectionner une période voulue afin de définir la période d’exécution du script.

Cas pratique : Utiliser une politique d’analyse

Les politiques d’analyse sont principalement utilisées pour limiter les périodes de scans de certains actifs, et leur ajouter un ou plusieurs scripts d’analyse optionnels.

Dans notre cas, certains actifs hébergent une application Java qui utilise des dépendances .jar prises en charge par Maven. Nous souhaitons superviser ces dépendances à l’aide du Scan des paquets applicatifs Linux, qui permet la remontée et l’analyse des paquets liés à divers gestionnaires de dépendances (npm, yarn, maven, composer..). Ce scan étant un peu plus gourmand en ressources, on décide d’effectuer les scans des actifs seulement en période creuse.

Pour mettre en place une telle politique, la procédure est la suivante :

Se rendre dans le menu Réglages > Politiques d’analyses et cliquer sur Ajouter afin de créer une nouvelle politique d’analyse ;
Dans la partie Plage d’analyse autorisée, spécifier la période ainsi que la plage horaire souhaitée. Dans notre cas, nous souhaitons que l’analyse se fasse quotidiennement, mais que la fenêtre de scan autorisée soit définie entre 00h00 et 06:00 du matin ;
Dans la partie Scripts d’analyse, cliquer sur Ajouter une analyse et sélectionner Scan des paquets applicatifs Linux avec une récurrence de 12 heures. Ce scan sera ainsi exécuté dans le cadre de cette politique d’analyse ;
Enregistrer cette nouvelle politique d’analyse, puis l’associer aux actifs souhaités.

Suite à cela, l’ensemble des actifs étant régis par cette politique d’analyse seront scannés entre minuit et 6h du matin, quotidiennement, et les paquets applicatifs seront remontés sur les actifs Linux.