Présentation de Intégration des vulnérabilités Rapid7

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 11 minutes de lecture

    • Le utilise ServiceNow® Intégration des vulnérabilités Rapid7 des données importées de l’entrepôt Rapid7 de données ou Rapid7 InsightVM des produits pour vous aider à déterminer l’impact et la priorité des menaces potentiellement malveillantes.

    Rapid7 NexposeLes capteurs collectent les données et les envoient automatiquement à l’entrepôt de données (sur site) ou Rapid7 InsightVM aux produits (basés sur le cloud), qui analysent et corrèlent Rapid7 les informations en permanence. Il s’intègre ServiceNow® Réponse aux vulnérabilités facilement pour mapper les vulnérabilités aux CI et aux services. Enrichit les données de vulnérabilité sur Intégration des vulnérabilités Rapid7 votre instance.

    Rapid7 Les intégrations sont des points d’entrée qui interagissent avec l’entrepôt de données ou Rapid7 InsightVM les Rapid7 produits, appelés en tant que travaux planifiés. Les travaux planifiés simplifient le cycle de vie du rattrapage des vulnérabilités en gardant l’instance synchronisée avec d’autres systèmes de gestion des vulnérabilités. Les travaux planifiés sont exécutés automatiquement et dans l’ordre spécifié. Vous pouvez également exécuter manuellement des travaux planifiés individuels.
    Remarque :
    Si vous utilisez à la fois Rapid7 un entrepôt de données et Rapid7 InsightVM comme sources pour vos données, vous courez le risque d’avoir des enregistrements de vulnérabilité en double.
    Remarque :
    Lors de la migration du type d’intégration Entrepôt de données vers le type InsightVM , vous pouvez dédupliquer vos enregistrements d’entrepôt de données existants. Consultez Dédupliquer les enregistrements d’entrepôt de Intégration des vulnérabilités Rapid7 données pour plus d'informations.
    Si vous avez plusieurs déploiements de l’intégration Rapid7 InsightVM de vulnérabilité, vous pouvez ajouter une intégration pour chaque déploiement. Les actifs, identifiés par plusieurs déploiements tiers et leurs vulnérabilités, sont consolidés et rapprochés avec votre CMDB. Cette consolidation se produit même lorsque les processus d’analyse se chevauchent entre les différents déploiements. Les données provenant de chaque déploiement sont identifiées et disponibles dans une instance unique de Réponse aux vulnérabilités.
    Remarque :
    Vous ne pouvez pas supprimer l’intégration de vulnérabilité d’origine, mais vous pouvez la désactiver. Les intégrations créées à partir de modèles désactivés sont désactivées par défaut.

    Il existe un utilisateur d’exécution en tant que configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne modifiez en aucun cas cette valeur.

    Versions disponibles

    Version de mise en production pour Xanadu Notes de publication

    Intégration des vulnérabilités Rapid7 v13.6 et 13.7

    Pour plus d’informations sur la compatibilité, consultez Matrice de compatibilité de KB0856498 Vulnerability Response et Changements de schéma de mise en production

    Rôles

    Rapid7 Les tâches d’intégration de vulnérabilité impliquent les rôles suivants.
    • sn_vul_r7.admin : peut lire, écrire et supprimer des enregistrements.
    • sn_vul_r7.user : peut lire et écrire des enregistrements.
    • sn_vul_r7.read : peut lire des enregistrements.

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    Intégrations de Intégration des vulnérabilités Rapid7

    Pour afficher le Intégration des vulnérabilités Rapid7, accédez à Rapid7 > Administration > Intégrations.

    Les intégrations suivantes sont incluses dans le système de base.

    Tableau 1. Rapid7 Intégrations d’entrepôts de données
    Intégration Description
    Intégration des vulnérabilités Rapid7 Récupère les données de Rapid7 Nexpose vulnérabilité et les traite dans votre instance.
    Rapid7 Intégration de la liste des actifs Récupère les données d’analyse une fois par semaine à partir de l’entrepôt de Rapid7 Nexpose données et les stocke dans le module Éléments détectés de votre instance. Permet d’identifier les actifs qui n’ont pas été analysés récemment à l’aide de la date de la dernière analyse . Affichez l’heure de la dernière analyse dans la liste des éléments détectés dans Réponse aux vulnérabilités.
    Rapid7 Intégration de catégorie Récupère les informations de catégorie à partir de Rapid7 Nexpose. Les catégories fournissent une classification de haut niveau pour les vulnérabilités.
    Rapid7 Intégration d’exploit Récupère les informations sur l’exploitation à partir du Rapid7 Nexposefichier .
    Rapid7 Intégration de Malware Kit Récupère les informations sur le kit malware à partir du Rapid7 Nexposefichier .
    Rapid7 Intégration de référence Récupère les références à des documents de référence externes tels que les CVE ou les références de vulnérabilité spécifiques au fournisseur.
    Rapid7 Intégration de solution Récupère les données de solution à partir de Rapid7 Nexpose, qui fournit des solutions recommandées pour des vulnérabilités spécifiques.
    Rapid7 Intégration de solution de remplacement Récupère des informations sur les solutions qui sont remplacées par d’autres solutions.
    Rapid7 Intégration de solution prérequise Récupère des informations sur les solutions qui sont des prérequis pour d’autres solutions. Lorsque cette intégration s’exécute, elle récupère le mappage des solutions et des solutions prérequises à partir de l’entrepôt Rapid7 de données.
    Remarque :
    Cette intégration fonctionne uniquement si le module d’extension Gestion des solutions pour vulnérabilités est activé.
    Rapid7 Intégration de la carte de solution de vulnérabilité Récupère le mappage pour associer des solutions à des vulnérabilités.
    Rapid7 Intégration d’éléments vulnérables Récupère les données d’éléments Rapid7 Nexpose vulnérables et les traite dans votre instance.

    Les sorties de cette intégration sont des éléments vulnérables.
    Rapid7 Intégration de résolution des éléments vulnérables

    Récupère des informations sur les éléments vulnérables marqués comme fermés et Rapid7 Nexpose ferme les éléments vulnérables correspondants dans Réponse aux vulnérabilités.
    Rapid7 Intégration de site Récupère les données du site à partir du Rapid7 Nexposefichier . Un site est une collection d’actifs ciblés pour une analyse.
    Rapid7 Intégration de la liste des actifs Récupère les balises d’hôte et les données d’analyse une fois par semaine à partir de l’entrepôt Rapid7 de données et les stocke dans le module Éléments détectés de votre instance. Permet d’identifier les actifs qui n’ont pas été analysés récemment à l’aide de la date de la dernière analyse . Afficher l’heure de la dernière analyse dans la liste des éléments détectés dans Réponse aux vulnérabilités
    Rapid7 Intégration complète des éléments vulnérables Importe toutes les détections Rapid7 pour tous les éléments de configuration analysés depuis la dernière exécution réussie de l’intégration. En fonction des données importées les plus récentes, les éléments vulnérables qui n’ont pas été trouvés récemment lors des analyses passent automatiquement à l’état « Fermé » lorsque le module Fermer automatiquement les éléments vulnérables périmés est activé.
    Tableau 2. Intégrations de Rapid7 InsightVM
    Intégration Description
    Rapid7 Intégration d’éléments vulnérables : API Récupère les données d’éléments vulnérables à partir d’InsightVM Rapid7 et les traite dans votre instance.
    Intégration des vulnérabilités Rapid7 — L’API Récupère les données de référence, de catégorie, d’exploitation, de kit de logiciels malveillants et de vulnérabilité d’InsightVM Rapid7 et les traite dans votre instance.
    Rapid7 Intégration de la liste des actifs : API Récupère les balises d’hôte et les données d’analyse Rapid7 InsightVM une fois par semaine et les stocke dans le module Éléments détectés de votre instance. Permet d’identifier les actifs qui n’ont pas été analysés récemment à l’aide de la date de la dernière analyse . Affichez l’heure de la dernière analyse dans la liste des éléments détectés dans Réponse aux vulnérabilités.
    Rapid7 Intégration complète des éléments vulnérables : API Importe toutes les détections Rapid7 pour tous les éléments de configuration analysés depuis la dernière exécution réussie de l’intégration. En fonction des données importées les plus récentes, les éléments vulnérables qui n’ont pas été trouvés récemment lors des analyses passent automatiquement à l’état « Fermé » lorsque le module Fermer automatiquement les éléments vulnérables périmés est activé.
    Rapid7 Intégration de site Récupère les données du site à partir du Rapid7 InsightVM produit. Cette intégration est définie pour s’exécuter chaque semaine à 00:00:00.

    Au cours de l’importation, les enregistrements CVE qui ne sont pas déjà présents sont créés en tant qu’enregistrements NVD et référencés dans des entrées tierces par Rapid7 défaut. L’intégration du modèle ne Rapid7 peut pas être supprimée. Désactivez-le plutôt.

    Connecteur du graphe de services pour Rapid7

    À partir de la version 2.0, Connecteur du graphe de services pour Rapid7 est disponible à partir du ServiceNow® Store. Consultez Service Graph Connector for Rapid7 pour plus d'informations.

    Règles de recherche de CI

    Les règles de recherche de CI déterminent comment renseigner le champ Élément de configuration dans un enregistrement d’élément vulnérable.

    Pour plus d’informations sur le fonctionnement des règles de recherche de CI, reportez-vous à Règles de recherche de CI pour identifier les éléments de configuration à partir d’intégrations de Réponse aux vulnérabilités vulnérabilité tierces.

    Pour créer ou modifier des règles de recherche, reportez-vous Créer une règle de recherche de CI de Vulnerability Responseà .
    Remarque :
    Les règles, une fois supprimées, ne peuvent pas être récupérées. Plutôt que de supprimer les règles existantes, désactivez-les lorsque vous en créez de nouvelles.

    Éléments détectés

    Ce module répertorie les éléments de configuration détectés lors de l’importation à partir des intégrations d’éléments Rapid7 vulnérables (entrepôt de données ou API InsightVM) et de l’intégration de liste Rapid7 des actifs - API. L’API Rapid7 d’intégration de liste des actifs importe tous les actifs Rapid7 analysés pour détecter les vulnérabilités depuis la dernière exécution de l’intégration. L’intégration de la liste des actifs de l’entrepôt Rapid7 de données est incluse.
    Remarque :
    Le filtre par défaut de cette liste est défini sur Sans correspondance. Vous pouvez afficher tous les éléments détectés à partir d’une importation en supprimant le filtre.

    Pour plus d’informations sur le module Éléments détectés, reportez-vous à Réponse aux vulnérabilités la section Éléments détectés In.

    Balises d'hôtes

    Les balises d’hôte sont importées dans le cadre de l’intégration de la liste des actifs - intégration de l’API Rapid7 pour Rapid7 InsightVM. Elles sont principalement utilisées pour le filtrage dans Réponse aux vulnérabilités les règles de tâches d’affectation et de rattrapage de .Rapid7 InsightVM Ils sont affichés dans le formulaire Élément détecté.

    Balises d'hôtes
    Remarque :
    L’intégration Rapid7 de la liste des actifs : l’intégration de l’API doit être exécutée avant de créer des règles Réponse aux vulnérabilités de tâche d’affectation ou de rattrapage afin que toutes les balises puissent être présentes dans les règles et avant que les éléments vulnérables ne soient importés et regroupés.
    • Le stockage des balises n’est pas sensible à la casse. Si une balise San Diego est créée, une balise SAN DIEGO ne peut pas être stockée dans la table de balises Host. « San Diego » et « SAN DIEGO » sont considérés comme étant la même balise d’hôte. La balise qui a été importée en premier gagne.
    • L’utilisation de balises d’hôte en tant que clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les balises hôtes sont destinées à être utilisées uniquement dans le générateur de conditions.
    • Les balises hôtes sont contrôlées par la propriété système globale sn_vul.import_host_tags. Cette propriété est définie sur vrai par défaut. La désactivation des balises les désactive dans toutes les instances.

    Sites

    Un site est une collection d’actifs ciblés pour une analyse. Un site se compose d’actifs cibles, d’un modèle d’analyse, d’un ou de plusieurs moteurs d’analyse et d’autres paramètres liés à l’analyse tels que les calendriers ou les alertes. Les sites sont gérés par Rapid7 les applications.

    Intégration des vulnérabilités Rapid7 Le filtrage de site pendant la configuration vous permet de classer et de demander des actifs par site pendant l’importation. Pour plus d’informations sur le filtrage des importations, consultez la section Filtrage par Rapid7 sites

    L’entrepôt Rapid7 de données et Rapid7 InsightVM les intégrations de sites importent des sites sous la forme d’une tâche planifiée hebdomadaire.

    Pour afficher les sites importés dans une liste, accédez à Rapid7 > Sites.

    Rouvrir les éléments vulnérables résolus non fermés par les analyses

    Les éléments vulnérables définis sur « Résolu » dans votre Now Platform instance, mais qui ne sont pas passés à l’état « Fermé/Résolu » par les exécutions d’intégration suivantes, sont rouverts s’ils sont détectés lors des nouvelles analyses.

    Pour Rapid7 les détections, une option est désormais disponible sur la page de configuration Rapid7 de votre instance pour rouvrir les VI résolus par âge. Si cette option est activée, les VI définis sur « Résolu », mais qui ne sont pas ensuite transférés vers « Fermé/Fixe » par les analyses suivantes, reviennent à l’état « Ouvert » après le nombre de jours que vous entrez.

    Créer des CI à l’aide du moteur Identification et rapprochement (IRE)

    Vous pouvez utiliser le moteur Identification et rapprochement pour créer de nouveaux CI lorsqu’un CI existant ne peut pas être mis en correspondance avec un hôte importé à partir d’un scanner tiers. Activez le module d’extension Modèles de classe CI CMDB pour créer des CI à l’aide des nouvelles classes, sinon des CI sans correspondance sont créés dans les classes CI sans correspondance. Pour plus d'informations, consultez Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et rapprochement. Pour en savoir plus sur la configuration de la catégorisation des ressources cloud inégalées dans votre classe CI préférée, reportez-vous à la section Mise à jour de la classe CI pour les actifs cloud sans correspondance.

    Analyser à nouveau les éléments vulnérables

    Lancez de nouvelles analyses dans la Rapid7 plateforme pour vérifier que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés. Consultez Lancer une nouvelle analyse pour l’intégration de Rapid7 vulnérabilité.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    Rapid7 Gestion des solutions

    Si vous avez activé le module d’extension Gestion des solutions pour vulnérabilités , les solutions pour l’entrepôt Rapid7Rapid7 de données et Rapid7 InsightVM la table Solutions en matière de vulnérabilité [sn_vul_solution]. Toutefois, si vous n’avez pas activé le module d’extension Gestion des solutions pour vulnérabilités , alors Intégration des vulnérabilités Rapid7 fonctionne tel quel et importe les solutions dans la table personnalisée [sn_vul_r7_solution]. Pour plus d'informations, consultez Rapid7 Gestion des solutions.