Konfigurieren Sie die Eigenschaften Fortify Vulnerability Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Bevor Sie die Integration in Ihrer Instanz von ausführen, müssen die Installations- und Konfigurationsschritte abgeschlossen werden, damit das Produkt Fortify ordnungsgemäß in die Funktion Application Vulnerability Response von Vulnerability Responseintegriert wird. Diese Anwendung ist als separates Abonnement verfügbar.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager

    Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setupaufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.

    Hinweis:
    Dieser Prozess gilt nur für Anwendungen, die in Produktionsinstanzen heruntergeladen werden. Wenn Sie Anwendungen in Nicht-Produktions- oder Entwicklungsinstanzen herunterladen, müssen keine Berechtigungen erworben werden. Fahren Sie mit fort.
    Setupaufgaben Beschreibung
    Stellen Sie sicher, dass die Anwendung Vulnerability Response installiert und aktiviert ist.

    Um sicherzustellen, dass diese Anwendung aktiviert ist, navigieren Sie zu Abonnement-Management > Abonnements in Ihrer Instanz zur Verfügung. In der Liste werden die Abonnements angezeigt, die Ihr Unternehmen erworben hat.

    Wenn die Anwendung nicht installiert und aktiviert ist, lesen Sie Vulnerability Response installieren.
    Stellen Sie sicher, dass die Anwendung Vulnerability Response Integration with Fortify installiert und aktiviert ist.

    Um sicherzustellen, dass diese Anwendung aktiviert ist, navigieren Sie zu Abonnement-Management > Abonnements in Ihrer Instanz zur Verfügung. In der Liste werden die Abonnements angezeigt, die Ihr Unternehmen erworben hat.

    Wenn die Anwendung nicht installiert und aktiviert ist, lesen Sie ServiceNow Vulnerability Response Integration mit Fortifyinstallieren.
    Vergewissern Sie sich, dass Sie über die erforderlichen Rollen ServiceNow für Ihre Instanz von verfügen. Die folgenden Rollen sind für die Installation, Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Wenn sie noch nicht zugewiesen sind, installiert der Systemadministrator [admin] die App und weist der App-Sec-Manager-Gruppe Benutzer zu.
    • Der App-Sec-Manager überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.

    Halten Sie für Fortify Vulnerability IntegrationIhre API-ID und Ihren API-Schlüssel bereit.

    Wenden Sie sich an Fortify, um die API-ID und den API-Schlüsselzu erhalten.

    Prozedur

    1. Melden Sie sich bei der Instanz an, auf der Sie die Anwendungsschwachstellen-Integrationen Fortify installieren möchten.
    2. Navigieren Sie zum ServiceNow Store.
    3. Suchen Sie in [ ServiceNow Storenach der Anwendung Vulnerability Response integration with Fortify.
    4. Klicken Sie auf die Anwendungskachel.
      Über die Anwendung, die Sie installieren, werden detaillierte Informationen angezeigt.
      Hinweis:
      Lesen Sie gegebenenfalls auch die Abschnitte Weitere Anforderungen und Abhängigkeiten.
    5. Klicken Sie auf App anfordern und geben Sie Ihre Now Support-Anmeldeinformationen ein.
    6. Klicken Sie auf Abrufen.
    7. Geben Sie Instanzname und den Reason for the Instance (Grund für die Instanz) ein und klicken Sie auf Validate Instance (Instanz validieren).
    8. Klicken Sie auf Anforderung.
      Sie erhalten eine E-Mail mit detaillierten Installationsanweisungen.
    9. Navigieren zu Systemanwendungen > Anwendungenan.
    10. Suchen Sie nach der Anwendung, wählen Sie sie aus und klicken Sie auf Installieren.
      Die Anwendung wird automatisch in Ihrer Instanz von installiert.
    11. Navigieren Sie nach Abschluss der Installation zu Fortify-Schwachstellenintegration > FoD-Konfigurationan.
    12. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Fortify on Demand-Konfigurationsformular
      Feld Beschreibung
      API-Stamm-URL Fortify-Instanz-URL des Anwenders.
      API Key Eindeutiger Bezeichner, der an die Fortify -API gesendet wird.
      Geheimer API-Schlüssel Von Fortifybereitgestellter geheimer Clientschlüssel.
      DAST einbeziehen Option zum Einbeziehen von Schwachstellen aus DAST-Scans. DAST-Scans identifizieren Schwachstellen im Verhalten der gesamten Anwendung.
      SAST einbeziehen Option zum Einbeziehen von Schwachstellen aus SAST-Scans. SAST-Scans identifizieren Schwachstellen im Code.
      Selektierung von Ausnahmen und falsch positiven Meldungen in ServiceNow (ab v20.0 von Vulnerability Response) Wählen Sie Optionen aus, um die Workflows „Ausnahmeverwaltung“ und „Falsch positiv“ für AVIs mit ServiceNow beim Import automatisch zu verwalten. Diese Optionen sind standardmäßig aktiviert. Ein Beispiel für einen Anwendungsfall finden Sie unter Verwalten der Statuszuordnung für Zurückstellungen und falsch positive Meldungen in Application Vulnerability Response.
      Verwalten Sie Ausnahmen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs, die für den Status „Zurückgestellt“ markiert sind, selektieren möchten.

      AVIs mit Quellstatus, die in Ihrer Instanz normalerweise einem Status „Zurückgestellt“ zugeordnet sind, werden stattdessen „ Offen“ zugeordnet.

      Sie fordern eine Ausnahme aus dem AVI-Datensatz an.

      Verwalten Sie falsch positive Meldungen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs mit Quellstatus, die als Falsch positiv oder Potenziell falsch positivmarkiert sind, selektieren möchten.

      AVIs mit diesen Quellstatus, die in Ihrer Instanz normalerweise einem Status „ Geschlossen “ zugeordnet sind, werden Offenzugeordnet.

      Sie fordern ein Falsch positives Ergebnis aus dem AVI-Datensatz an.
      • Deaktivieren Sie eines oder beide Kontrollkästchen, wenn Sie die von Ihrem Scanner importierten Quellstatus beibehalten möchten.
      • Diese AVIs werden beim Import den Zielstatus und Zielgrundstatus zugeordnet, werden jedoch nicht von den Ausnahme- und falsch positiven Workflows selektiert. Die Aktionen „ Ausnahme anfordern “ und „ Falsch positiv “ sind in AVIs nicht sichtbar.
      Selektierung in ServiceNow (vor v20.0 von Vulnerability Response) Verwalten Sie die Selektierung von Anwendungsschwachstellen in Instanz ServiceNow :
      • Aktivieren Sie das Kontrollkästchen, um die AVIs in ServiceNowzu selektieren. Wenn diese Option ausgewählt ist, werden AVIs im Status „Offen“ importiert. Sie können dann eine Ausnahme anfordern oder die AVI als falsch positiv markieren.
      • Um den Quellstatus beizubehalten, also den vom Scanner importierten Status, stellen Sie sicher, dass das Kontrollkästchen nicht aktiviert ist.
      Hinweis:
      Die Optionen „ Als falsch positiv markieren“ und „ Ausnahme anfordern “ sind nur für AVIs verfügbar, die innerhalb von ServiceNowselektiert werden.
    13. Wählen Sie Anmeldeinformationen speichern und testen aus.

    Nächste Maßnahme

    Wenn Ihre Umgebung domänengetrennte Importe erfordert, lesen Sie unter Erstellen Sie domänengetrennte Importe für eine Integrationnach.

    Weitere Anweisungen zur Erstinstallation finden Sie unter Application Vulnerability Response konfigurieren.

    Änderungen nach der Erstinstallation finden Sie unter Fortify Vulnerability Integration Änderung und Aktivitäten.