Rapid7 Vulnerability-Integration verstehen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 9 Minuten Lesedauer

    • ServiceNow® Rapid7 Vulnerability-Integration verwendet Daten, die aus dem Data Warehouse [ Rapid7 oder den Rapid7 InsightVM -Produkten importiert werden, um Ihnen zu helfen, die Auswirkung und Priorität potenziell schädlicher Bedrohungen zu ermitteln.

    Rapid7 Nexpose -Sensoren erfassen Daten und senden sie automatisch an das Rapid7 Data Warehouse (lokal) oder Rapid7 InsightVM (cloudbasiert), welche die Informationen kontinuierlich analysieren und korrelieren. Die Integration mit ServiceNow® Vulnerability Response ermöglicht die Zuordnung von Schwachstellen zu CIs und Services. Rapid7 Vulnerability-Integration ergänzt die Schwachstellendaten in Ihrer Instanz.

    Rapid7 -Integrationen sind Einstiegspunkte, die mit dem Data Warehouse oder den Produkten von Rapid7 InsightVMRapid7 interagieren und als geplante Aufgaben aufgerufen werden. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenkorrektur, indem sie die Instanz mit anderen Schwachstellenmanagementsystemen synchronisieren. Die geplanten Aufgaben werden automatisch und in der angegebenen Reihenfolge ausgeführt. Sie können einzelne geplante Aufgaben auch manuell ausführen.
    Hinweis:
    Wenn Sie das Data Warehouse [ Rapid7 und Rapid7 InsightVM als Quellen für Ihre Daten verwenden, laufen Sie Gefahr, dass doppelte Schwachstellen-Datensätze entstehen.
    Hinweis:
    Bei der Migration vom Integrationstyp „ Data Warehouse “ zum Typ „Insight“ können Sie Ihre vorhandenen Data Warehouse-Datensätze deduplizieren. Weitere Informationen finden Sie unter Deduplizieren Sie Data Warehouse-Datensätze Rapid7 Vulnerability-Integration ..
    Wenn Sie über mehrere Bereitstellungen der Schwachstellen-Integration Rapid7 InsightVM verfügen, können Sie für jede Bereitstellung eine Integration hinzufügen. Assets, die von mehreren Drittanbieterbereitstellungen und ihren Schwachstellen identifiziert wurden, werden konsolidiert und mit Ihrer CMDB abgeglichen. Diese Konsolidierung erfolgt auch dann, wenn sich Scan-Prozesse zwischen den mehreren Bereitstellungen überschneiden. Daten, die aus den einzelnen Bereitstellungen stammen, werden identifiziert und sind in einer einzigen Instanz von Vulnerability Responseverfügbar.
    Hinweis:
    Sie können die ursprüngliche Schwachstellenintegration nicht löschen, aber deaktivieren. Aus deaktivierten Vorlagen erstellte Integrationen sind standardmäßig deaktiviert.

    Für jeden Integrationsdatensatz gibt es einen konfigurierten ausführenden Benutzer. Der Standardwert für diesen Anwender ist VR.System. Ändern Sie diesen Wert nicht.

    Verfügbare Versionen

    Release-Version für Xanadu Releasehinweise

    Rapid7 Vulnerability-Integration v13.6, 13.7

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen

    Rollen

    Rapid7 Aufgaben zur Schwachstellenintegration in betreffen die folgenden Rollen.
    • sn_vul_r7.admin: Kann Datensätze lesen, schreiben und löschen.
    • sn_vul_r7.user: Kann Datensätze lesen und schreiben.
    • sn_vul_r7.read: Kann Datensätze lesen.

    Es sind Persona-Rollen und granulare Rollen verfügbar, mit denen Sie verwalten können, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten von granularen Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Rapid7 Vulnerability-Integration-Integrationen

    Um Rapid7 Vulnerability-Integrationanzuzeigen, navigieren Sie zu Rapid7 > Administration > Integrationenan.

    Die folgenden Integrationen sind im Basissystem enthalten.

    Tabelle : 1. Rapid7 Data Warehouse-Integrationen
    Integration Beschreibung
    Rapid7 Vulnerability-Integration Ruft Schwachstellendaten von Rapid7 Nexpose ab und verarbeitet sie in Ihrer Instanz.
    Rapid7 Integration mit Asset-Listen Ruft einmal pro Woche Scan-Daten aus dem Data Warehouse Rapid7 Nexpose ab und speichert sie im Modul „Erkannte Elemente“ in Ihrer Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht gescannt wurden, anhand des Datums des letzten Scans. Zeigen Sie die Zeit des letzten Scans in der Liste „Erkannte Elemente“ in Vulnerability Responsean.
    Rapid7 Kategorieintegration Ruft Kategorieinformationen von Rapid7 Nexposeab. Kategorien bieten allgemeine Klassifizierungen für Schwachstellen.
    Rapid7 Exploit-Integration Ruft Informationen zum Exploit von Rapid7 Nexposeab.
    Rapid7 Integration des Malware-Kits Ruft Informationen zum Malware-Kit von Rapid7 Nexposeab.
    Rapid7 Referenzintegration Ruft Verweise auf externe regulatorische Dokumente wie CVEs oder lieferantenspezifische Schwachstellenreferenzen ab.
    Rapid7 Lösungsintegration Ruft Lösungsdaten von Rapid7 Nexposeab und stellt empfohlene Lösungen für bestimmte Schwachstellen bereit.
    Rapid7 Ersatzlösungsintegration Ruft Informationen darüber ab, welche Lösungen durch andere Lösungen ersetzt werden.
    Rapid7 Erforderliche Lösungsintegration Ruft Informationen zu den Lösungen ab, die Voraussetzungen für andere Lösungen sind. Wenn diese Integration ausgeführt wird, ruft sie die Zuordnung von Lösungen und erforderlichen Lösungen aus dem Data Warehouse Rapid7 ab.
    Hinweis:
    Diese Integration funktioniert nur, wenn das Plugin Vulnerability Solution Management aktiviert ist.
    Rapid7 Integration der Schwachstellenlösungszuordnung Ruft die Zuordnung ab, um Lösungen mit Schwachstellen zu verknüpfen.
    Rapid7 Integration angreifbarer Elemente Ruft Daten zu angreifbaren Elementen von Rapid7 Nexpose ab und verarbeitet sie in Ihrer Instanz.

    Die Ausgaben dieser Integration sind angreifbare Elemente.
    Rapid7 Integration zur Lösung von angreifbaren Elementen

    Ruft Informationen darüber ab, welche angreifbaren Elemente in Rapid7 Nexpose als geschlossen markiert sind, und schließt die entsprechenden angreifbaren Elemente in Vulnerability Response.
    Rapid7 Site Integration Ruft Site-Daten von Rapid7 Nexposeab. Eine Site ist eine Sammlung von Assets, die geprüft werden sollen.
    Rapid7 Integration mit Asset-Listen Ruft Host-Tags und Scan-Daten einmal pro Woche aus dem Data Warehouse Rapid7 ab und speichert sie im Modul „Erkannte Elemente“ in Ihrer Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht gescannt wurden, anhand des Datums des letzten Scans. Zeit des letzten Scans in der Liste „Erkannte Elemente“ in Vulnerability Responseanzeigen
    Rapid7 Comprehensive Vulnerable Item Integration Importiert alle Rapid7-Erkennungen für alle Configuration Items, die seit der letzten erfolgreichen Integrationsausführung gescannt wurden. Basierend auf den aktuellen importierten Daten werden angreifbare Elemente, die bei Scans nicht kürzlich gefunden wurden, automatisch in den Status „Geschlossen“ versetzt, wenn das Modul „Veraltete angreifbare Elemente automatisch schließen“ aktiviert ist.
    Tabelle : 2. Rapid7 InsightVM-Integrationen
    Integration Beschreibung
    Rapid7 Integration angreifbarer Elemente – API Ruft Daten zu angreifbaren Elementen von Rapid7 InsightVM ab und verarbeitet sie in Ihrer -Instanz.
    Rapid7 Vulnerability-Integration — API Ruft Referenz-, Kategorie-, Exploit-, Malware-Kit- und Schwachstellendaten von Rapid7 InsightVM ab und verarbeitet sie in Ihrer -Instanz.
    Rapid7 Asset-Listenintegration – API Ruft Host-Tags und Scan-Daten einmal pro Woche von Rapid7 InsightVM ab und speichert sie im Modul Erkannte Elemente in Ihrer -Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht gescannt wurden, anhand des Datums des letzten Scans. Zeigen Sie die Zeit des letzten Scans in der Liste „Erkannte Elemente“ in Vulnerability Responsean.
    Rapid7 Comprehensive Vulnerable Item Integration – API Importiert alle Rapid7-Erkennungen für alle Configuration Items, die seit der letzten erfolgreichen Integrationsausführung gescannt wurden. Basierend auf den aktuellen importierten Daten werden angreifbare Elemente, die bei Scans nicht kürzlich gefunden wurden, automatisch in den Status „Geschlossen“ versetzt, wenn das Modul „Veraltete angreifbare Elemente automatisch schließen“ aktiviert ist.
    Rapid7 Site Integration Ruft Site-Daten aus dem Produkt Rapid7 InsightVM ab. Diese Integration wird wöchentlich um 00:00:00 Uhr ausgeführt.

    Während des Imports werden noch nicht vorhandene CVE-Datensätze als NVD-Datensätze erstellt und standardmäßig in Einträgen von Drittparteien für Rapid7 referenziert. Die Vorlagenintegration für Rapid7 kann nicht gelöscht werden. Deaktivieren Sie sie stattdessen.

    Der Service Graph Connector für Rapid7

    Ab Version 2.0 ist der Service Graph Connector für Rapid7 über den ServiceNow® Storeverfügbar. Weitere Informationen finden Sie unter Service Graph Connector for Rapid7.

    CI-Suchregeln

    CI-Suchregeln bestimmen, wie das Feld Konfigurationselement in einem Datensatz für ein angreifbares Element ausgefüllt wird.

    Weitere Informationen zur Funktionsweise von CI-Suchregeln finden Sie unter CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Schwachstellenintegrationen von Drittparteien.

    Informationen zum Erstellen oder Bearbeiten von Suchregeln finden Sie unter Erstellt eine Vulnerability Response-CI-Suchregel.
    Hinweis:
    Einmal entfernte Regeln können nicht wiederhergestellt werden. Anstatt vorhandene Regeln zu entfernen, deaktivieren Sie sie beim Erstellen neuer Regeln.

    Erkannte Elemente

    Dieses Modul listet Konfigurationselemente auf, die während des Imports aus Rapid7 Integrationen für angreifbare Elemente (Data Warehouse oder InsightVM-API) und Asset-Listenintegrationen Rapid7 – API erkannt wurden. Die Rapid7 Asset-Listenintegration – API importiert alle Rapid7-Assets, die seit der letzten Integrationsausführung auf Schwachstellen gescannt wurden. Die Rapid7 Data Warehouse-Asset-Listenintegration ist enthalten.
    Hinweis:
    Der Standardfilter für diese Liste ist auf Nicht abgeglichenfestgelegt. Sie können alle erkannten Elemente aus einem Import anzeigen, indem Sie den Filter entfernen.

    Weitere Informationen zum Modul „Erkannte Elemente“ finden Sie unter Erkannte Elemente in Vulnerability Response.

    Host-Tags

    Host-Tags werden als Teil der Rapid7 Asset-Listenintegration – API-Integration für Rapid7 InsightVMimportiert. Sie werden hauptsächlich zum Filtern in Vulnerability Response Regeln für Zuweisungs- und Korrekturaufgaben in Rapid7 InsightVMverwendet. Sie werden im Formular „Erkanntes Element“ angezeigt.

    Host-Tags
    Hinweis:
    Die Rapid7 Asset-Listenintegration – API-Integration muss vor der Erstellung von Regeln für Zuweisungs- oder Korrekturaufgaben in Vulnerability Response ausgeführt werden, damit alle Tags in den Regeln vorhanden sein können und bevor angreifbare Elemente importiert und gruppiert werden.
    • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn ein San Diego -Tag erstellt wird, kann kein SAN DIEGO -Tag in der Host-Tag-Tabelle gespeichert werden. „San Diego“ und „SAN DIEGO“ werden als dasselbe Host-Tag betrachtet. Das zuerst importierte Tag gewinnen.
    • Die Verwendung von Host-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Host-Tags werden von der globalen Systemeigenschaft sn_vul.import_host_tags gesteuert. Diese Eigenschaft ist standardmäßig auf „true“ festgelegt. Durch das Deaktivieren von Tags werden sie für alle Instanzen deaktiviert.

    Sites

    Eine Site ist eine Sammlung von Assets, die gescannt werden sollen. Eine Site besteht aus Ziel-Assets, einer Scan-Vorlage, einer oder mehreren Scan Engines und anderen scanbezogenen Einstellungen wie Zeitplänen oder Warnungen. Sites werden von den Anwendungen Rapid7 verwaltet.

    Rapid7 Vulnerability-Integration Mithilfe der Site-Filterung während der Konfiguration können Sie Assets während des Imports nach Site kategorisieren und anfordern. Weitere Informationen zum Filtern von Importen finden Sie unter Filtern nach Rapid7 Sites.

    Das Data Warehouse Rapid7 InsightVMRapid7 und die Sites-Integrationen [] importieren Sites als wöchentliche geplante Aufgabe.

    Um die importierten Websites in einer Liste anzuzeigen, navigieren Sie zu Rapid7 > Sitesan.

    Öffnen Sie gelöste angreifbare Elemente, die nicht durch Scans geschlossen wurden

    Angreifbare Elemente, die in Ihrer Instanz Now Platform auf „Gelöst“ festgelegt, aber von den nachfolgenden Integrationsausführungen nicht in den Status „Geschlossen/Behoben“ versetzt werden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Für Rapid7 -Erkennungen ist auf der Rapid7-Konfigurationsseite in Ihrer -Instanz jetzt eine Option verfügbar, um gelöste AEs nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden AEs, die auf „Gelöst“ gesetzt werden, aber dann nicht durch nachfolgende Scans in „Geschlossen/Behoben“ geändert werden, nach der von Ihnen eingegebenen Anzahl von Tagen wieder in den Status „Offen“ geändert.

    CIs mit der Engine Identification and Reconciliation (IRE) erstellen

    Sie können die Engine „Identification and Reconciliation“ (Identifizierung und Abgleich) verwenden, um neue CIs zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann, der aus einem Drittanbieterscanner importiert wurde. Aktivieren Sie das Plugin „CMDB CI Class Models“ (CMDB-CI-Klassenmodelle), um CIs mit den neuen Klassen zu erstellen. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter CIs für Vulnerability Response werden mit der Engine „Identification and Reconciliation“ erstellt. Weitere Informationen zum Konfigurieren der Kategorisierung von nicht abgeglichenen Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets aktualisieren.

    Scannen Sie angreifbare Elemente erneut

    Initiieren Sie erneute Scans auf der Plattform Rapid7, um sicherzustellen, dass Ihre angreifbaren Elemente zwischen den geplanten Scan-Zyklen korrigiert wurden. Weitere Informationen finden Sie unter Initiieren Sie den erneuten Scan für die Rapid7 Vulnerability Integration.

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Rapid7 Lösungsmanagement

    Wenn Sie das Plugin Rapid7Vulnerability Solution Management aktiviert haben, werden die Lösungen Rapid7 für das Data Warehouse [] und Rapid7 InsightVM in die Tabelle „Schwachstellenlösungen“ [sn_vul_solution] eingetragen. Wenn Sie jedoch das Plugin Rapid7 Vulnerability-IntegrationVulnerability Solution Management nicht aktiviert haben, funktioniert [] unverändert und importiert die Lösungen in die anwenderdefinierte Tabelle [sn_vul_r7_solution]. Weitere Informationen finden Sie unter Rapid7 Lösungsmanagement.