Fonctionnement des alertes
Les alertes permettent d’être notifié pour de nouveaux éléments correspondant à des critères de recherche personnalisés. Il est possible par exemple de recevoir une alerte pour les nouvelles vulnérabilités présentes sur des actifs.
Les alertes fonctionnent en vérifiant les éléments concernés par la recherche qui lui est associée. Si des éléments sont concernés par la recherche, l’alerte enverra les 500 premiers éléments trouvés.
Les alertes sont basées sur un emplacement correspondant au type de données qu’elles enverront en cas de nouveautés. Les emplacements disponibles sont :
| Emplacement | Variables disponibles dans l’intégration |
|---|---|
| Inventaire | assets |
| Encyclopédie des vulnérabilités | cves |
| Actions correctives | technologies, assets, cves |
| Encyclopédie des défauts de sécurité | security_issues |
| Encyclopédie des règles de conformité | compliance_rules |
| Actifs découverts | hosts |
Pour envoyer les nouveaux éléments concernés, les alertes utilisent les intégrations. Il est à noter que les données choisies dans le corps de requête de l’intégration sont fortement liées à l’emplacement de l’alerte. Par exemple, une alerte sur l’encyclopédie des vulnérabilités ne pourra pas remplir les données pour les actifs dans une intégration. Pour plus d’information sur les intégrations, consulter Intégrations.
Les alertes sont exécutées automatiquement quotidiennement, hebdomadairement ou mensuellement à 7 h (UTC).
Chaque utilisateur peut créer ses propres alertes.
À la création d’un utilisateur, Cyberwatch lui créé automatiquement une alerte standard indiquant les nouvelles vulnérabilités présentes sur les actifs et étant publiées dans les catalogues CISA KEV ou CERT-FR ALE. Cette alerte standard est envoyée via une intégration SMTP.
Créer une alerte
Une alerte peut être créée directement depuis l’inventaire ou une encyclopédie (Vulnérabilités, Actions correctives, Défauts de sécurité, Règles de conformité) en utilisant la recherche actuelle en utilisant le bouton Édition groupée puis Créer une alerte ou depuis le menu Réglages > Alertes planifiées puis en cliquant sur le bouton « Ajouter ».
Les alertes sont exécutées automatiquement en arrière-plan à leur création.
Gérer les alertes
Les planification d’alertes sont consultables et éditables depuis le menu Réglages > Alertes planifiées. Depuis ce menu, il est possible :
- de désactiver une alerte, permet de ne pas avoir à supprimer une alerte dont on n’a pas besoin momentanément ;
- d’exécuter manuellement une alerte, permet de relancer immédiatement l’alerte sans attendre la prochaine exécution automatique ;
- de réinitialiser les résultats précédents d’une alerte, permet de vider les résultats déjà découverts par l’alerte pour pouvoir recevoir à nouveau les résultats ;
- d’éditer une alerte ;
- de supprimer une alerte.