Importar modificações para a integração de vulnerabilidade da Tenable

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Configure modificações opcionais e simplifique alguns dos dados especificamente para a integração de importação de vulnerabilidades da Tenable na ServiceNow® Integração de vulnerabilidade da Tenable.

    Antes de Iniciar

    Função necessária: sn_vul.vulnerability_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Este conjunto de tarefas requer codificação e conhecimento avançado sobre o Now Platform.

    Siga estas etapas para criar importações separadas por domínio para as integrações de vulnerabilidades da Tenable. O exemplo a seguir é para a integração Tenable.io Open Vulnerabilities, mas este conteúdo é aplicável a outras integrações da Tenable.

    Procedimento

    1. Crie um domínio.
    2. Para cada domínio criado, crie um usuário e atribua o usuário a esse domínio.

      Pense neste usuário como um espaço reservado run_as para o domínio no Tenable.io.

    3. Integração de vulnerabilidades abertas.
      O usuário é o equivalente ao usuário VR.System no domínio global e deve ter as seguintes funções: sn_vul.tenable_configure_integration, import_admin e sn_vul.vulnerability_write. Este usuário requer acesso a fontes de dados, mapas de transformação e dados de vulnerabilidade.
      Nota:
      Considere este usuário como específico para esta função. O usuário não deve ter outra finalidade
    4. Em cada domínio, crie um trabalho agendado copiando o Processador da Fonte de Dados de Vulnerabilidade Programada encontrado em Definição do Sistema > Trabalhos agendados.
    5. Anexe o domínio ao nome para identificar o trabalho agendado.
    6. Altere o usuário run_as para o usuário que você criou na etapa anterior.
      Nota:
      Edite a ação de IU a seguir para que a integração seja executada no domínio do usuário run_as.
      Editar a ação de IU
    7. Edite a ação de IU Executar agora na integração de vulnerabilidades abertas do Tenable.io para adicionar este bloco de código à parte superior do arquivo.
      //sys id below is of Tenable.io integration if(current.sys_id == "4df3f18d53730010d7f1ddeeff7b12a9"){ current.run_as = gs.getUserID (); }
      Nota:
      Edite as inclusões de script a seguir para que a integração seja executada no domínio do usuário run_as.
    8. Edite o método de inclusão de script VulnerabilityIntegrationUtils addIntegrationRun para adicionar o código realçado.
      Adicionar o código realçado
    9. Edite o método de inclusão de script VulnerabilityIntegrationUtils addProcessRun para adicionar o código realçado.
      Adicionar o código realçado
    10. Edite o método de inclusão de script DataSourceVulnReportRefreshProcessor _processFromDataSourceGroups para alterar este código original: código _processFromDataSourcesGroups original para código _processFromDataSourcesGroups editado.
    11. Edite o método de inclusão de script VulnerabilityDSAttachmentManager, queueItem para adicionar os seguintes blocos de código realçados queueItem, _getNext, _processQueueEntry.

      Você está pronto para importações de detecção de host separadas por domínio.

      Desabilitar calculadoras antes da importação

      Siga estas etapas para desabilitar a calculadora padrão se não for usada. Se você não usar calculadoras de vulnerabilidade, é melhor desabilitar as calculadoras padrão, além de quaisquer outras que você tenha definido. As calculadoras de vulnerabilidade são executadas sempre que um registro de item vulnerável é acessado e pode afetar o desempenho da instância.

      Função necessária: sn_vul.vulnerability_admin.

    12. Navegar até Todos > Vulnerabilidade > Administração > Calculadoras de vulnerabilidade.
    13. Abra o grupo Impacto de vulnerabilidade.
    14. Abra a calculadora de impacto baseado em pontuação e serviço.
    15. Desmarque o campo Ativo para desativar a calculadora.
    16. Clique em Atualizar.

      Você desativou a calculadora padrão.

      Desabilitar regras de negócio baseadas em notificação antes da importação inicial

      Siga estas etapas para desabilitar Regras de negócio relacionadas a notificações antes da importação do registro inicial. Durante a importação inicial de registros, determinadas regras de negócio relacionadas à notificação podem gerar muitas notificações, afetando o desempenho. Essas regras de negócio devem ser modificadas para desativá-las durante a importação.

      A função necessária é sn_vul.vulnerability_admin.

    17. Navegar até Todos > Definição do Sistema > Regras de negócio.
    18. Pesquise notificações de ICs afetados.
    19. Abra a regra de negócio e insira a seguinte condição: current.sys_class_name != “sn_vul_vulnerable_item".
    20. Clique em Atualizar.
    21. Repita este procedimento para as seguintes regras de negócio:
      • Notificações do centro de custos afetado
      • Notificações do grupo afetado
      • Notificações de locais afetados
      Nota:
      Após a conclusão da importação do registro inicial, você tem a opção de habilitar novamente essas regras de negócio. No entanto, considere deixá-los desabilitados. Eles podem gerar um grande número de notificações e afetar o desempenho da sua instância.
      Modificar uma data de início inicial

      Siga estas etapas para modificar uma data de início inicial. Durante a instalação usando o Assistente de configuração, você define uma data de início inicial para as integrações da Tenable. Você pode redefinir essa data de início no Assistente de configuração ou na integração primária, conforme mostrado nas etapas a seguir.

    22. Navegar até Todos > Integração de vulnerabilidade Tenable > Administração > Integrações.
    23. Clique em qualquer integração.
    24. Clique em Detalhes da integração.
    25. Defina o campo Hora de início com um valor no passado, para que todas as vulnerabilidades verificadas e detectadas desde essa hora sejam detectadas.

      Se você configurou a Tenable usando o Assistente de configuração, o campo Hora de início será preenchido previamente, inicialmente até três meses antes da data de hoje e, posteriormente, até a data de hoje. Observação: considere definir o valor para no máximo um mês no passado. Isso evita que uma grande quantidade de dados exceda as limitações de taxa da API da Tenable, bem como o acionamento de tempos limites de execução.

    26. Clique em Enviar ou Atualizar.
    27. Opcional: Clique em Executar agora para executar imediatamente.