Noções básicas sobre a integração de vulnerabilidade da Gestão de ameaças e vulnerabilidades da Microsoft

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 9 min. de leitura

    • A integração Resposta a vulnerabilidades com a aplicação Gestão de ameaças e vulnerabilidades da Microsoft (MS TVM) usa dados importados do MS TVM para ajudá-lo a priorizar e corrigir vulnerabilidades de seus ativos. A aplicação está disponível com uma assinatura separada do ServiceNow Store.

    Você pode usar a integração de vulnerabilidade do MS TVM para importar dados de scanner de terceiros sobre seus ativos e vulnerabilidades. Você pode exibir relatórios sobre vulnerabilidades e itens vulneráveis nos painéis Resposta a vulnerabilidades.

    Fluxo de trabalho de integração do MS TVM que exibe a instalação e a configuração da aplicação, a exibição dos dados ingeridos em sua instância da Now Platform e a priorização e correção automáticas de vulnerabilidades para seus ativos.

    Versões disponíveis

    Versão de lançamento Notas de versão

    Resposta a vulnerabilidades Integração com MS TVM v2.2

    Para obter mais informações sobre as versões lançadas da aplicação Resposta a vulnerabilidades, compatibilidade e mudanças de esquema, consulte o artigo Matriz de compatibilidade da Resposta a vulnerabilidades e mudanças de esquema de versão [KB0856498] na Base de conhecimento HI.

    Separação de domínios e MS TVM

    Importe dados de integração de vulnerabilidade para um domínio especificado atribuindo um usuário nesse domínio para executar as integrações. Para criar importações separadas por domínio para a integração de vulnerabilidade do MS TVM, consulte Criar importações separadas por domínio para uma integração.

    Termos e principais recursos das integrações

    Itens vulneráveis e vulnerabilidades
    Um item vulnerável é criado em sua instância Now Platform quando:
    • Uma vulnerabilidade importada de um scanner de terceiros é correspondida com um ativo existente (item de configuração) em seu CMDB). O produto MS TVM se refere a essas correspondências como vulnerabilidades.
    • Uma vulnerabilidade importada de um scanner de terceiros não corresponde a um ativo existente em seu CMDB. Nesse caso, um item de configuração (IC) incompatível também é criado com um item vulnerável.

      Use o Mecanismo de Identificação e Reconciliação (IRE) para criar ICs em duas novas classes quando um IC existente não puder ser correspondido com um host. Caso contrário, ICs incompatíveis serão criados nas classes de IC incompatível. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidades usando o mecanismo de identificação e reconciliação.

    Entradas de vulnerabilidade de terceiros
    As entradas de vulnerabilidade de terceiros são importadas de scanners de terceiros, como o MS TVM, e são listadas na tabela Entradas de vulnerabilidade de terceiros na instância Now Platform. Além disso, as entradas do banco de dados nacional de vulnerabilidades (CVEs) são importadas do MS TVM. As informações de exploração associadas a esses dois tipos de entradas vêm do MS TVM. Essas informações de exploração podem ser usadas para cálculo de risco.
    Nota:
    Uma vulnerabilidade de terceiros é recuperada somente para vulnerabilidades que não têm um CVE atribuído a elas. O MS TVM pode adicionar um nome temporário para a vulnerabilidade, por exemplo, TVM-XXXX-XXXX. Este nome é atualizado depois que um ID de CVE é atribuído.
    IC (Configuration Item, item de configuração)
    ICs são os ativos existentes listados em seu CMDB.
    Item descoberto
    Itens descobertos são os ativos ingeridos da importação da máquina MS TVM que correspondem aos ICs existentes em seu CMDB.

    Se uma correspondência não for encontrada, um IC será criado na classe de IC incompatível do CMDB. Habilite o plug-in Modelos de classe de IC do CMDB para que o Mecanismo de Identificação e Reconciliação (IRE) crie ICs usando novas classes. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidades usando o mecanismo de identificação e reconciliação. Se o IC original incompatível for reclassificado, os registros de itens descobertos serão atualizados para refletir esse estado. Os itens descobertos dão visibilidade sobre como os ativos são identificados e mapeados para ICs no CMDB.

    Regras de pesquisa de IC
    Quando os dados são importados do MS TVM, Resposta a vulnerabilidades usa automaticamente os dados da máquina (ativo) para pesquisar correspondências no CMDB. Regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de VI quando os IVs são criados.
    Instância
    Uma instância se refere a várias contas do MS TVM. Cada conta pode ser uma instância na aplicação MS TVM.
    Integração
    Uma integração é um trabalho agendado que recupera informações de uma fonte de terceiros, como a integração das máquinas MS TVM.
    Implantação
    Quando uma integração oferece suporte a várias origens, uma única existência de integração é chamada de implantação da sua integração. Uma implantação se refere às integrações e produtos em seu ambiente. Por exemplo, você pode ter várias implantações do MS TVM em seu ambiente.

    A integração do MS TVM também inclui os seguintes recursos principais:

    • Você pode identificar os ativos em seu ambiente e atualizar os ICs em seus itens descobertos existentes, itens vulneráveis e registros de detecção para fornecer mais detalhes sobre suas vulnerabilidades.
    • Você pode programar quando deseja que os trabalhos sejam executados para todas as integrações do MS TVM. Você também pode executar trabalhos agendados sob demanda.
    • Você pode agrupar itens vulneráveis.
    • Você pode configurar regras de pesquisa de IC para definir como os dados de ativos de fontes de terceiros são usados para identificar ICs em seu CMDB.

    Funções necessárias de Now Platform

    As tarefas de integração exigem as funções a seguir em sua instância Now Platform.

    Personas e funções granulares estão disponíveis para ajudá-lo a gerenciar o que usuários e grupos podem ver e fazer na aplicação Resposta a vulnerabilidades. Para obter uma atribuição inicial das funções de persona no Assistente de configuração, consulte Atribua as funções de persona Resposta a vulnerabilidades usando o Assistente de configuração. Para obter mais informações sobre como gerenciar funções granulares, consulte Gerenciar persona e funções granulares para Resposta a vulnerabilidades.

    administrador
    O administrador do sistema usa o Assistente de configuração para instalar a aplicação MS TVM. Se não for atribuído, o administrador atribuirá o administrador de vulnerabilidades (sn_vul.vulnerability_admin) e outras funções no Assistente de configuração.
    sn_vul.vulnerability_admin
    Depois de atribuído, o administrador de vulnerabilidade conclui a configuração das integrações do MS TVM no Assistente de configuração. Esta função tem acesso completo à aplicação Resposta a vulnerabilidades e seus registros. O administrador de vulnerabilidades configura todas as Resposta a vulnerabilidades aplicações e regras para integrações de terceiros instaladas.
    sn_vul_msft_tvm.configure_integration

    Esta função contém a função granular sn_vul_msft_tvm.read_integration. Usuários com esta função podem configurar a Integração da Resposta a vulnerabilidades com a aplicação Gestão de ameaças e vulnerabilidades da Microsoft.

    sn_vul_msft_tvm.read_integration

    Usuários com esta função só podem exibir a Integração da Resposta a vulnerabilidades com os registros da aplicação Gestão de ameaças e vulnerabilidades da Microsoft.

    Grupo de Resposta a vulnerabilidades
    Por padrão, o grupo de Resposta a vulnerabilidades está disponível no Assistente de configuração. Os usuários atribuídos ao grupo Resposta a vulnerabilidades herdam as funções sn_vul.read_all e sn_vul.remediation_owner automaticamente.

    Integrações do MS TVM

    Várias origens são compatíveis com todas as integrações do MS TVM. Você pode adicionar e implantar várias instâncias das seguintes integrações em seu ambiente a partir do Assistente de configuração em Resposta a vulnerabilidades. Você também instala e configura a integração Resposta a vulnerabilidades com a aplicação MS TVM no Assistente de configuração.

    Para exibir as integrações do MS TVM, navegue até Integração de vulnerabilidade Microsoft VTM > Administração > Integrações. Resposta a vulnerabilidades fornece integrações com endpoints do MS TVM para importar os dados de acordo com os intervalos de tempo programados. As seguintes integrações estão incluídas no sistema de base.

    Tabela 1. Integrações do MS TVM
    Sequência de execução Programação Integração Descrição
    1 Diariamente Integração de recomendações do Microsoft TVM Recupera uma lista de todas as recomendações de segurança acionáveis para corrigir as vulnerabilidades.
    2 Diariamente Integração de vulnerabilidade do Microsoft TVM (CVE) Recupera uma lista das entradas do banco de dados nacional de vulnerabilidades e entradas de vulnerabilidades de terceiros, bem como suas informações de exploração.
    3 Diariamente Integração de máquinas com Microsoft TVM Recupera todos os dados de ativos (máquina), incluindo marcadores de máquina, do Microsoft TVM e os processa em sua instância.
    4 Semanalmente
    Nota:
    Após a instalação, esta integração é executada automaticamente após a importação das máquinas.
    		 Integração de vulnerabilidades de máquinas com Microsoft TVM (importação completa) Recupera todas as vulnerabilidades em aberto em todos os ativos.
    5 Diariamente Integração de vulnerabilidades de máquinas com Microsoft TVM (importação delta) Recupera todas as informações que mudaram na importação de vulnerabilidade completa da organização, incluindo as vulnerabilidades novas, corrigidas e atualizadas.

    Itens vulneráveis são agrupados em tarefas de correção de acordo com as regras de grupo que você define e são atribuídos para correção com base em suas regras de atribuição. Para obter mais informações, consulte Resposta a vulnerabilidades tarefas de correção e regras de tarefa de correção visão geral e Resposta a vulnerabilidades visão geral das regras de atribuição.

    Regras de pesquisa de IC

    Quando os dados são importados do MS TVM, Resposta a vulnerabilidades usa automaticamente os dados da máquina (ativo) para pesquisar correspondências no Configuration Management Database (CMDB). Regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de VI quando os IVs são criados. Para obter mais informações sobre como as regras de pesquisa de IC funcionam, consulte Regras de pesquisa de IC para identificar itens de configuração de Resposta a vulnerabilidades integrações de vulnerabilidade de terceiros.
    Nota:
    Depois de remover uma regra, você não poderá recuperá-la. Em vez de remover uma regra existente, você deve desativá-la.
    As seguintes regras de pesquisa do MS TVM são enviadas com o sistema base:
    • MAC_ADDRESS
    • FQDN
    • IP
    Nota:
    Você pode usar vários valores para o IP_ADDRESS e o MAC_ADDRESS de um ativo. Uma regra de pesquisa de IC considera todos os valores para correspondência.

    Itens descobertos

    Você pode ver os ICs que foram detectados durante uma importação da integração de máquinas com MS TVM.
    Nota:
    O filtro padrão para esta lista está definido como Incompatível. Você pode exibir todos os itens descobertos de uma importação removendo o filtro.
    Para obter mais informações, consulte Itens Descobertos.

    Marcadores de máquina

    Os marcadores de máquina, também conhecidos como marcadores de host, são usados para organizar e rastrear os ativos em sua organização. Você atribui marcadores às suas máquinas.

    Todos os marcadores de máquina são importados como parte da integração de máquinas com MS TVM. Os marcadores de máquina geralmente são usados para filtrar em Resposta a vulnerabilidades regras de atribuição e regras de grupo de vulnerabilidade. Os marcadores são exibidos no formulário Item descoberto.
    Nota:
    Execute a integração da máquina MS TVM antes de criar Resposta a vulnerabilidades regras de atribuição ou de tarefa de correção na aplicação Resposta a vulnerabilidades para que todos os marcadores estejam disponíveis para essas regras antes que os itens vulneráveis sejam importados e agrupados. Observe também os seguintes pontos sobre marcadores:
    • O armazenamento de marcadores não faz distinção entre maiúsculas e minúsculas. Se um marcador Paris for criado, um marcador PARIS não poderá ser armazenado na tabela de marcadores de máquina. Paris e PARIS são considerados o mesmo marcador de máquina pelo sistema. O marcador que for importado primeiro será o marcador armazenado e reconhecido.
    • Usar marcadores de máquina como uma chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. As chaves de grupo são colunas na tabela de tarefas de correção, enquanto os marcadores de máquina devem ser usados somente no Construtor de condições.
    • Os marcadores de máquina são controlados pela propriedade do sistema global sn_vul.import_host_tags. Esta propriedade é definida como verdadeira por padrão. Desabilitar os marcadores os desabilita em todas as Now Platform® instâncias.

    O que fazer a seguir

    Depois de baixar a integração Resposta a vulnerabilidades com a Gestão de ameaças e vulnerabilidades da Microsoft ServiceNow® Store, a instalação e a configuração são compatíveis com o Assistente de configuração em Resposta a vulnerabilidades. Para obter mais informações, consulte Instalar e configurar a Integração de resposta a vulnerabilidades com a aplicação MS TVM usando o Assistente de configuração.