Teilen Sie Tenable-Erkennungen basierend auf der Schwachstelleninstanz auf, um angreifbare Elemente aufzuteilen

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 2 Minuten Lesedauer

    • ServiceNow® Vulnerability Response ermöglicht die Aufteilung von Erkennungen von Tenable-Scannern, wodurch für jede erkannte Schwachstelleninstanz ein eindeutiges angreifbares Element (VIT) erstellt werden kann. Diese Aufteilung ermöglicht die Zuweisung von Vits an verschiedene Korrekturteams, wodurch die Verwaltung und Nachverfolgung von Schwachstellen verbessert wird.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Die Nutzlast des Tenable-Scanners enthält Erkennungsdaten, wobei jeder Pfad innerhalb des Nachweises zum Aufteilen der Erkennungen verwendet wird. Das Ausgabe-Tag in der Nutzlast identifiziert den Standort der Schwachstelle und erleichtert die genaue Identifizierung und Verwaltung von Schwachstellen gemäß ihren spezifischen Pfaden.

    Nachdem der Tabelle [sn_vul_proof_key_vulnerability] ein Plugin hinzugefügt wurde, führen Sie die Integration aus, um vorhandene Vits aufzuteilen. Überprüfen Sie die Vits auf eindeutige Erkennungspfade, um sie zu überprüfen.

    Szenario 1: Erkennung ist vorhanden, bevor das Plugin hinzugefügt wird
    • Vor dem Hinzufügen des Plugins: Erkennung Eines mit 4 Dateipfaden → VIT1
    • Nach dem Hinzufügen von Plugin und Erfassungsausführung: Die vorhandene VIT wird mit einem neuen Nachweis aktualisiert, und drei zusätzliche Vits werden erstellt.
    • Abschlussverhalten: Wenn ein Pfad in Tenable-Daten nicht mehr angezeigt wird, schließt ServiceNow die entsprechende Erkennung und ihre VIT mithilfe eines hash-basierten Vergleichs des Dateipfads.
    Szenario 2: Erkennung erfasst, nachdem das Plugin hinzugefügt wurde
    Erkennungen werden während der Erfassung aufgeteilt.
    Hinweis:
    Die Aufteilung erfolgt automatisch während der Erfassungsausführung nach der Plugin-Konfiguration.

    Prozedur

    1. Legen Sie in der Tabelle „Drittpartei-Integrationen“ [sn_sec_int_Integration] fest Nachweis in VI-Schlüssel einschließen Spaltenwert auf „wahr“ für Tenable.io, Tenable.sc, Und Tenable.cs.
    2. Navigieren zu Alle > Vulnerability Response > Administration > VI-Granularität konfigurierenan.
    3. Für Tenable.cs Produkt, navigieren Sie zu Erkennungsschlüsselkonfiguration Tabelle [sn_vul_Detection_key_config], wählen Sie aus Tenable.cs Aufzeichnen und aktualisieren,
    4. Wahlweise: Wählen Sie im Formular „Port einbeziehen“ die aus Port einschließen Aktivieren Sie das Kontrollkästchen, und aktivieren Sie das Klicken Sie hier Link (gilt nur für Tenable.io und Tenable.sc).
    5. Wählen Sie in der Liste Nachweis zu VI-Schlüsseln hinzufügen die Option aus Neu .
    6. Auf dem Formular „Nachweis zum VI-Schlüssel hinzufügen – neuer Datensatz“ in Schwachstelle Feld die Tenable-ID hinzufügen, für die Sie den Nachweis einschließen möchten.
      Hinweis:
      Sie können die Erkennungen ausschließlich basierend auf Pfadinformationen oder durch Kombination von Pfad- und Versionsdetails aufteilen. Weitere Informationen finden Sie im Abschnitt „Erkennungen von Tenable-Scannern aufteilen“ auf dieser Seite.
    7. In Regulärer Ausdruck zum Teilen von Tenable-Vits Feld:
      • Teilen Sie die Erkennung nur basierend auf dem Pfad auf, indem Sie Pfad eingeben\s+:\s+([A\n]+).
      • Teilen Sie die Erkennung basierend auf Pfad und installierten und festen Versionen auf, indem Sie Pfad eingeben\s+:\s+([A\n]+)\n\s+installed\s+Version\s+:\s+([A\n]+)\n\s+Fixed\s+Version\s+:\s+([A\n]+).
    8. Wählen Sie Absenden.

    Aufteilen von Erkennungen von Tenable-Scannern

    Die folgende Erkennung von einem Tenable-Scanner zeigt einen Nachweis im Ausgabe-Tag an, der sowohl Pfad- als auch Versionsinformationen enthält.

    {
  "results": {
    "asset": {
      "agent_uuid": "92124caabdb9459baa9d053186df48b9",
      "bios_uuid": "ec2cbbfd-dc9e-efbf-acdd-485daZe8c7df",
      "device_type": "aws-ec2-instance",
      "fqdn": "ip-ac0a0004.secops.com",
      "hostname": "ip-ac0a0004",
      "uuid": "486acb3b-674f-477a-bc37-660a7bba37b3",
      "ipv4": "18.220.145.158",
      "last_authenticated_results": "2024-05-17T03:34:04.424Z",
      "mac_address": "0a:3e:8b:ed:63:e6",
      "netbios_name": "IP-AC0A0094",
      "operating_system": [
        "Microsoft Windows Server 2019 Datacenter Build 17763"
      ],
      "network_id": "00000000-0000-0000-0000-000000000008",
      "tracked": true
    },
    "output": "\n  Path: C:\\Program Files (x86)\\Common Files\\Oracle\\Java\\javapath_target_1190440625\\\n Installed version : 1.8.0_361.9\n Fixed version : Upgrade to version 8.0.401 or greater\n  Path : C:\\Program Files\\Java\\jre1.8.0_361\\\n  Installed version : 1.8.0_361.9\n  Fixed version : Upgrade to version 8.0.401 or greater\n  Path : C:\\Program Files\\Java\\jdk1.8.0_351\\\n  Installed version : 1.8.0_351.10\n  Fixed version : Upgrade to version 8.0.401 or greater\n"
    "plugin": {
      "bid": 123456,
      "checks_for_default_account": false,
      "checks_for_malware": false,
      "coe": "cpe:/a:notepad-plus-plus:notepad%5c%2b15ck2b",
      "cvSs3_base_score": 7.8,
      "cvss3_temporal_score": 7.0,
      "cvss3_temporal_vector": {
        "exploitability": "Proof-of-Concept",
        "remediation_level": "Official Fix",
        "report_confidence": "Confirmed",
        "raw": "E:P/RL:0/RC:C"
      }
    }
  }
}