Procédure mensuelle du service IVM Managé

Procédure mensuelle du service IVM Managé


Notes


Prérequis :


                Vérifier la liste des clients sous contrat : MGP, CEB, SAYCURIT

                Vérifier les politiques de gestion de vulnérabilités

 

Quote
  • Accès à la console cloud / On Prem R7 IVM
  • Accès VPN chez le client pour accéder à la console R7 IVM On-Prem
  • Accès à la console ZOHO One > Desk > JARVIS VULN
  • Echanger avec l’équipe sur d’éventuelles améliorations et prendre en compte les mises à jour et les ajustements proposées lors des réunions précédentes.


Info

 Sommaire: 

 Vous retrouverez dans ce document : 

  1.      Actions Avant Patch Tuesday 
    1. MGP
      1. Revue des actualités
      2. Life Cycle policy Windows/Linux
      3. Release notes
      4. Capture des indicateurs (Dashboard)
      5. Calculs des % d'évolutions 
      6. Interprétations des résultats
        1. Détails des cartes 
        2. Capture des cartes selon sévérité (Critique, exploitable ect...)
        3.  Capture du tableau de remédiation
      7. Création des projet de remédiation (Filtré sur tout ce qui est EXPLOITABLE)
      8. Conclusion du document de restitution
    2. CEB
      1. Revue des actualités
      2. Clean VDI OBLIGATOIRE AVANT DE PROCEDER A LA SUITE
      3. Life Cycle policy Windows/Linux
      4. Release notes
      5. Capture des indicateurs (Dashboard)
      6. Calculs des % d'évolutions 
      7. Interprétations des résultats
        1. Détails des cartes 
        2. Capture des cartes selon sévérité (Critique, exploitable ect...)
        3.  Capture du tableau de remédiation
      8. Création des projet de remédiation (Filtré sur tout ce qui est CRITIQUE)
      9. Conclusion du document de restitution
      10.  Création des rapports de remédiations 

  1. Actions Après Patch tuesday
    1. CEB :
      1. Envoi des rapports de remédiation selon la liste des groupes (liste Excel)
    2. Document de revue d'actualité a créer et compléter

Liste des mails client pour l'invitation Outlook (mise à jour le 8/11/24, ne contient pas les consultants Saycurit) : 

CEB : "nicolas.bougot@coebank.org" <nicolas.bougot@coebank.org>; "romain.menard@coebank.org" <romain.menard@coebank.org>; "fabrice.latouche@coebank.org" <fabrice.latouche@coebank.org>; "genc.shuteriqi@coebank.org" <genc.shuteriqi@coebank.org>; "erisilda.brati@coebank.org" <erisilda.brati@coebank.org>

MGP : "manuel.domingues@mgp.fr" <manuel.domingues@mgp.fr>; "romain.taddio@mgp.fr" <romain.taddio@mgp.fr>; "nicolas.lebechec@mgp.fr" <nicolas.lebechec@mgp.fr>; "francois-emeric.verstraete@mgp.fr" <francois-emeric.verstraete@mgp.fr>; "stevin.negi@mgp.fr" <stevin.negi@mgp.fr>; "nadia.hmila@mgp.fr" <nadia.hmila@mgp.fr>; "Vincent.LESCHIERA@mgp.fr" <Vincent.LESCHIERA@mgp.fr>; "Lina.SLIMI@mgp.fr" <Lina.SLIMI@mgp.fr>

Warning
Avant patch Tuesday (Lundi et Mardi de la semaine)

MGP (Ne pas tenir compte des titres dans les Diapos, celles-ci sont prise de manière différée d'où les incohérences dans les screens) :

    
  • Recenser la liste de tous les Serveurs windows, Machines Windows, RedHats : 
    • Allez sur le "Default Dashboard" : 


Puis choisissez Default Dashboard : 


Puis rendez vous sur la carte Assets By Operating Systems :


Vous pouvez faire "Expand Card" afin d'agrandir la carte et affiche plus de détails sur les OS : 
Si nous voulons voir toutes les machines sous windows, il suffit de cliquer sur la colonne du graphique en question : 

 
En cliquant sur cette colonne les résultats du graph seront filtrés sur toutes les machines Microsoft : 

 
Vous pouvez également utiliser des query afin de filtrer sur des machines particulières par exemple, filtrer uniquement sur les serveurs Windows en utilisant la query déjà existante : Windows Server 
 
 
On voit ici que seul les serveurs sous Windows sont affichés dans le graph : 


Il est possible d'afficher le nombre d'asset selon les versions des os disponibles en survolant la colonne 


Voici donc une diapo type a afficher dans le PPTX de restitution : 



 
La procédure est la même pour les RedHat, Windows 10, Windows 11 :



Les Release notes sont a ajouter dans les diapos en allant sur le site suivant de Rapid7 : 

Il suffit simplement de cliquer sur chaque carte en reprenant le fil des Mises à jours selon la dernière date qui a été ajoutée dans les slides du mois précédent : 



Voici une diapo Type : 



  • Faire les captures des Dashboard de chaque périmètres
    • Les captures se font sur le dashboard ciblant UNIQUEMENT les vulnérabilités EXPLOITABLES


Sélectionnez "All Dashboards"

 
Sélectionnez le dashboard nommé "Saycurit - Security Exploitable Indicators"


Voici le dashboard concerné : 

 
Afin de filtrer sur le bon périmètre, Faites "Load Dashboard Query" pour requêter le dashboard sur le bon group. La requête se compose des éléments suivants : assets.groups IN Nom_Du_Group.
Il faut bien prendre en compte que les cartes du dashboard sont deja filtrés donc pas besoin de refiltrer le dashboars sur un filtre de criticité. 


Puis choisissez la requête en lien avec le groupe par exemple : 
 

Voici le filtre correctement appliqué sur le dashboard : 



    • Calcule des % d’évolutions par rapport au mois dernier sur les Dashboard (cartes :  Assets, Assets with critical Vulnerabilities, Exploitable Critical Assets, Exploitable Severe Assets)
  • Voici une diapo type :


 
Nous pouvons ensuite cliquer sur les cartes afin d'avoir plus de détails sur la carte en question, par exemple : Avoir plus d'informations sur les vulnérabilités Critiques Exploitables. A vous de prioriser les éléments à présenter au client selon leurs urgences ou priorités.


Et voici le détail de la carte : 

 
Voici une diapo type, si le nombre d'asset est trop élevé il suffit de de prendre les 10 premières lignes: 

 

Vous pouvez maintenant intégrer le screen des remédiations en allant sur le dashboard "Saycurit - Solution indicator 2023"


 
Il vous suffit de filtrer sur le bon groupe comme vu plus haut avec la dashboard Querry qui utilise la query suivante : asset.groups IN Nom-Du-Groupe :

 
Voici la vue liée au groupe que nous avons requêté : 

 
Voici donc la diapo type : 
 



Analyse des indicateurs de vulnérabilités :

    • Identifier les variations par rapport au mois dernier
    • Identifier les éléments prioritaires pour réduire le risque
    • Selon l’analyse faire les screens des différentes vulnérabilités et solutions
    • Faire une analyse des vulnérabilités Couramment exploitées :
      • Sélectionnez le dashboard « CVEs »  


Cliquez sur les différentes cartes afin d'afficher plus de détails . 
Voici une diapo type : 


      • Faire les screens des indicateurs pour avoir une visibilité sur les machines impactées par les failles Couramment exploitées.
  • Ajouter en fin de diapo les screens d’applications R7 Insight AppSec des sites RECETTE et PROD.
  • Sur la console Cloud R7 IVM, créer les Projet de remédiations du mois pour chaque groupe d’asset
    • Avec le filtre "Exploit IS NOT Null" sur tous les périmètres
Finissez par intégrer la "météo" (Conclusion) :
  • Donnez un avis général sur la progression du mois 
    • Ajoutez le graph en filtrant les dates sur un mois ex : dernière présentation le 10 Mai alors filtrer en start date le 05-10-2024 à la date du jour où sont faits les relevés : 
      • Vous pouvez retrouver ce graph sur le dashboard Saycurit - Security Exploitable Indicator 2023 :
                                    


    • Donner le noms des groupes sur lesquels il faut porter une attention
    • Féliciter le client en cas de bonne progression sur des périmètre et les lister.
    • Afficher les taches prioritaires a effectuer par le client (Conseils)



Project remédiations : 


Les projects remédiations permettent au client de voir l'avancée des remédiations appliquées sur les différents périmètres : 
Pour les mettre en place il suffit d'aller sur la console cloud > Remediation Projects : 


Puis Create Project : 


Indiquez le nom du groupe ainsi que la date pour laquelle vous faites ce projet de remédiation : 


Chargez une query avec "Load" afin de filtrer sur le bon groupe et la bonne criticité (MGP demande à traiter toutes les vulnérabilités EXPLOITABLES. Donc nous allons ajouter les filtres en questions)


Donc la query comportera deux éléments : le nom du group et les exploits ne sont pas nuls : 


Faites "Save & Continue" et ajoutez les utilisateurs qui sont assignés a ces projets :


Fixez une date de rendu a un mois a partir de la date de création du projet de remédiation (A la demande du client):


Puis faites Save & Continue (Ne rien toucher):



Vérifiez les informations que vous avez renseigner. La query est elle correcte ?, Les due date sont elles bonnes?, Le projet est il bien assigné ? 
Faites "Save & Complete" afin de créer le projet de remédiation. 

 


CEB :

Warning

Avant de commencer :

  • Sur la Console On Prem : Faire un CLEAN_VDI avant les captures des indicateurs afin de supprimer toutes les machines temporaires qui pourraient fausser les chiffres sur le rapport  


Faites un "Select All Visible" et faites "Delete Assets"


Début du processus :

  • Recenser la liste de tous les Serveurs windows, Machines Windows, RedHats : 
    • Allez sur le "Default Dashboard" : 


Puis choisissez Default Dashboard :



Puis rendez vous sur la carte Assets By Operating Systems :



Vous pouvez faire "Expand Card" afin d'agrandir la carte et affiche plus de détails sur les OS : 
Si nous voulons voir toutes les machines sous Windows, il suffit de cliquer sur la colonne du graphique en question : 



En cliquant sur cette colonne les résultats du graph seront filtrés sur toutes les machines Microsoft : 



Vous pouvez également utiliser des query afin de filtrer sur des machines particulières par exemple, filtrer uniquement sur les serveurs Windows en utilisant la query déjà existante : Windows Server 



On voit ici que seul les serveurs sous Windows sont affichés dans le graph : 


Il est possible d'afficher le nombre d'asset selon les versions des os disponibles en survolant la colonne :


Voici donc une diapo type a afficher dans le PPTX de restitution : 





Ne pas oublier d'exporter la liste des serveurs qui ne sont plus supportés et joindre le fichier zip au mail de restitution de la pres.

La procédure est la même pour les RedHat, Windows 10, Windows 11 :


Les Release notes sont à ajouter dans les diapos en allant sur le site suivant de Rapid7 : 

Il suffit simplement de cliquer sur chaque carte en reprenant le fil des Mises à jours selon la dernière date qui a été ajoutée dans les slides du mois précédent : 



Voici une diapo Type : 



  • Faire les captures des Dashboards de chaque périmètre
    • Calcule des % d’évolution par rapport au mois dernier sur les Dashboard (cartes :  Assets, Assets with critical Vulnerabilities, Exploitable Critical Assets, Exploitable Severe Assets)


Sélectionnez le dashboard nommé "Saycurit - Security Indicators 2023"


Voici le dashboard concerné : 


Afin de filtrer sur le bon périmètre, Faites "Load Dashboard Query" pour requêter le dashboard sur le bon group. La requête se compose des éléments suivants : assets.groups IN Nom_Du_Group.
Il faut bien prendre en compte que les cartes du dashboard sont deja filtrées donc pas besoin de refiltrer le dashboars sur un filtre de criticité. 




Voici le filtre correctement appliqué sur le dashboard : 



    • Calcule des % d’évolutions par rapport au mois dernier sur les Dashboard (cartes :  Assets, Assets with critical Vulnerabilities, Exploitable Critical Assets, Exploitable Severe Assets)
  • Voici une diapo type :


Nous pouvons ensuite cliquer sur les cartes afin d'avoir plus de détails sur la carte en question, par exemple : Avoir plus d'informations sur les vulnérabilités Critiques Exploitables. A vous de prioriser les éléments à présenter au client selon leurs urgences ou priorités.


Voici une diapo type, si le nombre d'assets est trop élevé il suffit de de prendre les 10 premières lignes: 


Vous pouvez maintenant intégrer le screen des remédiations en allant sur le dashboard "Saycurit - Solution indicator 2023"



Il vous suffit de filtrer sur le bon groupe comme vu plus haut avec la dashboard Querry qui utilise la query suivante : asset.groups IN Nom-Du-Groupe :


Voici la vue liée au groupe que nous avons requêté : 



Voici donc la diapo type : 




  • Analyse des indicateurs de vulnérabilités :
    • Identifier les variations par rapport au mois dernier
    • Identifier les éléments prioritaires pour réduire le risque
    • Selon l’analyse faire les screens des différentes vulnérabilités et solutions
    • Faire une analyse des vulnérabilités couramment exploitées:
      • Sélectionnez le dashboard « CVEs »  
      • Faire les screens des indicateurs pour avoir une visibilité sur les machines impactées par les failles couramment exploitées
Cliquez sur les différentes cartes afin d'afficher plus de détails . 
Voici une diapo type : 


  • Sur la console Cloud R7 IVM, créer les Projets de remédiation du mois pour chaque groupe d’asset
    • Avec le filtre " severity in critical " sur tous les périmètres
Finissez par intégrer la "météo" (Conclusion) :
  • Donnez un avis général sur la progression du mois 
    • Ajoutez le graph en filtrant les dates sur un mois ex : dernière présentation le 10 Mai alors filtrer en start date le 05-10-2024 à la date du jour où sont faits les relevés : 
      • Vous pouvez retrouver ce graph sur le dashboard Saycurit - Security Exploitable Indicator 2023 :


  • Donner le nom des groupes sur lesquels il faut porter une attention
  • Féliciter le client en cas de bonne progression sur des périmètre et les lister.
  • Afficher les tâches prioritaires à effectuer par le client (Conseils)



Project remédiations : 


Les projects remediations permettent au client de voir l'avancée des remédiations appliquées sur les différents périmètres : 
Pour les mettre en place il suffit d'aller sur la console cloud > Remediation Projects : 


Puis Create Project : 


Indiquez le nom du group ainsi que la date pour la quelle vous faites ce projet de remédiation : 



Chargez une query avec "Load" afin de filtrer sur le bon groupe et la bonne criticité. La CEB souhaite filtrer sur une sévérité critical.



Donc la query comportera deux éléments : le nom du groupe et les exploits ne sont pas nuls : 


Faites "Save & Continue" et ajoutez les utilisateurs qui sont assignés à ces projets :


Sélectionnez "Never Expire"


Puis faites Save & Continue (Ne rien toucher):


Vérifiez les informations que vous avez renseignées. La query est elle correcte ?, Les due date sont elles bonnes?, Le projet est il bien assigné ? 
Faites "Save & Complete" afin de créer le projet de remédiation. 


  • Appliquer la requête "ASSETS WITHOUT GROUP" sur le qyerry builder et exporter la liste des assets qui n'ont pas de groupes en .CSV afin de les envoyer a Romain MENARD.




InfoSur la console R7 IVM On Prem :
    • Générer les Rapports de top remédiations à envoyer aux assets Owners de chaque application (
      Liste applications.xlsx
      )
      • Dans l’onglet « Reports », Les rapports sont déjà préconfigurés, il faut soit :
        • Les générer manuellement
        • Soit les programmer pour qu’ils apparaissent dans la console Zoho One Desk petit à petit pour ne pas les générer tous à la suite et saturer les processus de la machine hébergeant la console R7 IVM On Prem.
        • Des tickets seront ouverts dans lequel nous trouverons le PDF avec les remédiations à appliquer sur les différents postes.
          • Si des rapports PDF sont vides il faut en regénérer un nouveau en modifiant la sévérité. (Par défaut les rapports ont pour requête de se générer selon la criticité CRITIQUE, donc si vde, modifier la criticité par sévère)
 

Info
 Veille / actus des vulnérabilités (Routine matinale à effectuer pout tous les clients) :

  • Suivre les sites d’actualités généralistes :

          Suivre les actualités spécifiques selon les technologies présentes chez les clients (Portail éditeurs)

                Voir diapo cachée sous chaque PowerPoint nommés « technologies présentes chez le client »

Warning
Après patch Tuesday (Mercredi, Jeudi)

MGP :

  • Veille informatique sur les actualités Cyber afin d'informer le client sur de potentiels risques de vulnérabilités (Générales ou liée à une techno client ex: Forti ou Palo)

CEB :

    • Sur ZOHO One Desk > JARVIS VULN :
      • Pour envoyer les rapports de Tops remédiation
        • Transférer le message et modifiez les informations du ticket
          • Modifier le ticket avec comme responsable du ticket les personnes chargées de la partie R7 IVM (à convenir avec le client)
            • Mettre le titre adéquat « CEB Vulnérabilités - APP – NOM-APP - Actions de remédiations »
          • Utiliser le Template précréer et prendre la capture des vulnérabilités présentes à partir du PDF et collez la directement dans le champ de message.
          • Ajouter en destinataire le mail du responsable R7 IVM ainsi que le mail de l’asset owner.

SAYCURIT :

  • Faire les captures des Dashboard de chaque périmètre
    • Calcule des % d’évolutions par rapport au mois dernier sur les Dashboard (cartes :  Assets, Assets with critical Vulnerabilities, Exploitable Critical Assets, Exploitable Severe Assets)
  • Analyse des indicateurs de vulnérabilités :
    • Identifier les variations par rapport au mois dernier
    • Identifier les éléments prioritaires pour réduire le risque
    • Selon l’analyse faire les screens des différentes vulnérabilités et solutions
    • Faire une analyse des vulnérabilités CISA :
      • Sélectionnez le Dashboard « CVEs »  
      • Faire les screens des indicateurs pour avoir une visibilité sur les machines impactées par les failles CISA
  • Sur la console Cloud R7 IVM, créer les Projet de remédiations du mois pour chaque groupe d’assets
  • Warning
    Créer le ticket sur zoho pour effectuer les actions de remédiation

    • Avec le filtre sur les vulnérabilités critiques

Alert
Faire la revue des actualités afin de l'uploader sur le site saycurit.fr. Lien vers la Procédure :