Accueil
Administration
Apprenez à administrer le produit.
Préparation aux tests de sécurité
Découvrez comment vous préparer aux tests de sécurité dans AppScan Enterprise.
Création et importation de stratégies de test de sécurité
Apprenez à créer et à importer des stratégies de test de sécurité dans AppScan Enterprise.
Importation d'une stratégie de test de sécurité avancée depuis AppScan® Standard
Les stratégies de test de sécurité avancées permettent de tester jusqu'au niveau de variante d'une vulnérabilité, ce qui permet de maîtriser complètement le test envoyé pendant un examen. Vous pouvez importer des stratégies de test de sécurité avancées à partir d'AppScan® Standard Edition 7.5 (ou version ultérieure) et les affecter à des groupes de serveurs.

Administration
Apprenez à administrer le produit.
- Gestion des utilisateurs, des groupes et des droits d'accès
  Découvrez comment gérer les groupes d'utilisateurs et les droits d'accès.
- Connexion unique SAML dans AppScan Enterprise
- Configuration et téléchargement des fichiers journaux pour Enterprise Console et AppScan Server
  Les administrateurs peuvent configurer les paramètres des fichiers journaux d'Enterprise Console et d'AppScan Server et les télécharger lorsqu'ils doivent traiter les incidents. Grâce à cette fonction, il n'est plus nécessaire d'effectuer une recherche sur le système de fichiers de l'ordinateur sur lequel Enterprise Console ou AppScan Server est installé.
- Réinitialisation du mot de passe du compte de service dans AppScan Enterprise via l'outil AdminUtil ASE
  L'outil AdminUtil aide les utilisateurs à éviter de réexécuter l'assistant de configuration sur le serveur AppScan Enterprise et le ou les scanners DAST pour réinitialiser le mot de passe. Vous pouvez exécuter l'utilitaire dans deux modes : le mode interactif et le mode silencieux. Pour plus d'informations sur la réinitialisation du mot de passe du compte de service en mode interactif, voir Réinitialisation du mot de passe du compte de service en AppScan Enterprise via l'outil AdminUtil ASE en mode silencieux.
- Réinitialisation du mot de passe du compte de service dans AppScan Enterprise via l'outil AdminUtil ASE en mode silencieux
  L'outil AdminUtil AppScan Enterprise (ASE) aide les utilisateurs à éviter de réexécuter l'assistant de configuration sur le serveur AppScan Enterprise, le service de communication IAST, les scanners DAST, le service de base de données et les services d'alerte pour réinitialiser le mot de passe du compte de service. Vous pouvez y parvenir en exécutant l'utilitaire dans deux modes : le mode interactif et le mode silencieux. Pour plus d'informations sur la réinitialisation du mot de passe du compte de service en mode interactif, voir Réinitialisation du mot de passe du compte de service en AppScan Enterprise via l'outil AdminUtil ASE.
- Surveillance de l'utilisation d'AppScan Enterprise
  Créez un rapport Journal d'activité pour déterminer quels sont les utilisateurs d'AppScan Enterprise et l'usage qu'ils en font. Il indique les utilisateurs qui ont effectué les modifications, ainsi que la date et l'heure de ces dernières. Dans la mesure où ce journal enregistre l'activité en continu, il vous suffit de générer le rapport. Seuls les administrateurs peuvent créer le rapport Journal d'activité ; cependant, tout utilisateur peut être autorisé à y accéder dans les propriétés du groupe de rapports. Si vous ne voulez pas que d'autres utilisateurs puissent consulter le rapport Journal d'activité, donnez à "Tous les autres utilisateurs" la valeur No Access dans la page Utilisateurs et groupes du groupe de rapports.
- Gestion d'un serveur
  Les administrateurs du produit sont responsables de la gestion des serveurs pour garantir des performances optimales.
- Gestion de la file d'attente des examens
  Consultez le statut des travaux d'examen en cours d'exécution ou en attente d'exécution afin de déterminer l'ordre dans lequel vos travaux d'examen principaux doivent s'exécuter. Par exemple, des travaux d'examen peuvent faire partie d'un livrable temporel, comme une période de soldes spéciale pour un jour férié. Vous pouvez les déplacer au début de la file d'attente pour qu'ils apparaissent en premier dans le planning.
- Mise à jour des règles de sécurité
  Les règles de sécurité sont mises à jour dans le cadre de vos éditions AppScan® Enterprise. Vous pouvez vérifier la version et la date d'édition des règles de sécurité en cliquant sur le lien A propos de dans le menu principal d'AppScan Enterprise.
- Importation de tests définis par l'utilisateur à partir d'AppScan Standard
  AppScan Standard offre une base de données composée de milliers de tests. Cependant, si votre application Web comporte des problèmes qui lui sont spécifiques, ou si vous souhaitez écrire vos propres conseils pour corriger les problèmes, vous pouvez créer vos propres tests. Ces tests sont sauvegardés et inclus dans votre base de données de tests AppScan. Vous pouvez également les exporter en tant que fichier *.udt pour une importation dans AppScan Enterprise.
- Gestion de votre base de données SQL Server
  La maintenance de la base de données SQL Serveur comprend la mise à niveau des serveurs SQL, la sauvegarde de la base de données SQL, la configuration des fichiers journaux et l'utilisation de la base de données.
- Préparation aux tests de sécurité
  Découvrez comment vous préparer aux tests de sécurité dans AppScan Enterprise.
  - Création d'un groupe de serveurs
    Un groupe de serveurs est un groupe d'éléments qui peuvent être testés en tant qu'unité ; les mêmes tests de sécurité sont appliqués à tous les serveurs du groupe. Un groupe de serveurs peut être une combinaison de domaines et d'adresses IP.
  - Activation et désactivation des adresses IP à examiner
    Pour activer ou désactiver vos plages d'adresses (ce qui affectera l'ensemble de l'installation), vous pouvez procéder ainsi. Vous pouvez être amené à désactiver une plage d'adresses si des serveurs sont en cours de sauvegarde. Dans ce cas, pour empêcher quiconque d'examiner les serveurs, désactivez la plage d'adresses IP des serveurs. Vous pouvez également restreindre le test des adresses IP au niveau utilisateur via l'application des groupes de serveurs.
  - Création et importation de stratégies de test de sécurité
    Apprenez à créer et à importer des stratégies de test de sécurité dans AppScan Enterprise.
    - Stratégies de test de sécurité
      Une stratégie de test de sécurité est un ensemble de tests de sécurité prédéfini. Un groupe de serveurs et une stratégie de test doivent être affectés aux utilisateurs avant que ces derniers ne puissent effectuer des examens de sécurité.
    - Création d'une stratégie de test de sécurité simple
      La stratégie de test de sécurité simple est la stratégie de test par défaut. Elle définit les tests à un haut niveau. Vous pouvez créer et éditer des stratégies de test simples et leur affecter des groupes de serveurs. Vous pouvez ensuite affecter des combinaisons de groupes de serveurs/stratégies de test, à utiliser pendant les examens de sécurité, à des utilisateurs.
    - Importation d'une stratégie de test de sécurité avancée depuis AppScan® Standard
      Les stratégies de test de sécurité avancées permettent de tester jusqu'au niveau de variante d'une vulnérabilité, ce qui permet de maîtriser complètement le test envoyé pendant un examen. Vous pouvez importer des stratégies de test de sécurité avancées à partir d'AppScan® Standard Edition 7.5 (ou version ultérieure) et les affecter à des groupes de serveurs.
    - Réimportation de stratégies de test de sécurité avancées
      Lorsque vous devez réimporter un fichier de stratégies de test de sécurité à partir d'AppScan® Standard Edition, vous pouvez réimporter ce fichier sans affecter votre flux de travaux.
    - Définition des serveurs à tester et des tests de sécurité à effectuer
      Un administrateur du produit affecte des stratégies de test de sécurité et des groupes de serveurs aux administrateurs de travaux. Les stratégies de test de sécurité définissent les tests qui peuvent être effectués ; les groupes de serveurs définissent les applications/serveurs sur lesquels ces tests peuvent être exécutés.
    - Association de stratégies de test de sécurité et de groupes de serveurs à des utilisateurs
      Après avoir créé vos groupes de serveurs (ce que vous voulez tester) et vos stratégies de test de sécurité (ce que vous voulez effectuer comme tests), vous devez les affecter à des utilisateurs. Les utilisateurs ne peuvent exécuter des tests de sécurité que sur les groupes de serveurs qui leur ont été associés. Si aucune stratégie de test ne leur a été affectée, ils ne peuvent pas effectuer d'examens de sécurité.
- Création de modèles d'examen
  Apprenez à créer des modèles d'examen dans AppScan Enterprise.

Importation d'une stratégie de test de sécurité avancée depuis AppScan® Standard

Les stratégies de test de sécurité avancées permettent de tester jusqu'au niveau de variante d'une vulnérabilité, ce qui permet de maîtriser complètement le test envoyé pendant un examen. Vous pouvez importer des stratégies de test de sécurité avancées à partir d'AppScan® Standard Edition 7.5 (ou version ultérieure) et les affecter à des groupes de serveurs.

Pourquoi et quand exécuter cette tâche

Ces stratégies de test sont exportées à partir d'AppScan® 7.5 (ou version ultérieure) et sont accessibles en lecture seule. Toutes les modifications à apporter à la stratégie de test doivent être effectuées dans AppScan® et réimportées.

Procédure

Accédez à la vue Administration.
Dans la page Stratégies de test de sécurité, cliquez sur Importer une stratégie de test de sécurité avancée.
Dans la page Importer la stratégie de test de sécurité avancée, donnez un nom à la stratégie.
Indiquez l'emplacement du fichier .policy, puis cliquez sur Importer.
Remarque : Si vous ne connaissez pas l'emplacement du fichier .policy, cliquez sur Parcourir pour le rechercher sur votre système de fichiers, puis cliquez sur Importer. La page Edition d'une stratégie de test s'ouvre. Elle vous permet de visualiser en lecture seule les tests que contient la stratégie de test.
Dans la page Edition d'une stratégie de test de sécurité avancée, éditez le nom et la description de la stratégie de test si nécessaire et cliquez sur Sauvegarder.
Vérifiez que vous avez importé la stratégie de test désirée en affichant ses détails.

Que faire ensuite

Affectez la stratégie de test de sécurité à un ou plusieurs utilisateurs.