Resposta a vulnerabilidades detecções de item vulnerável de integrações de terceiros

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 7 min. de leitura

    • Exiba todas as informações coletadas por verificações de terceiros em ServiceNow AI Platform® instância. Exiba os resultados retornados das verificações nos registros de detecção e item vulnerável (VI) em sua instância, pois esses resultados são exibidos nos scanners.

    Visão geral

    . Resposta a vulnerabilidades A aplicação oferece suporte a integrações de terceiros que recuperam dados de itens vulneráveis do seu ambiente empresarial. Dados detalhados sobre detecções, ou seja, ocorrências únicas e distintas de vulnerabilidades, conforme relatadas pelos scanners de suas integrações de terceiros, são importados e exibidos nos registros de detecção e de item vulnerável em seu ServiceNow AI Platform instância.

    Integrações de terceiros recuperam dados de detecção de item vulnerável. As detecções são ocorrências distintas de vulnerabilidades conforme relatadas pelos scanners. Os dados de detecção são emparelhados com itens vulneráveis e o estado de VI é atualizado com base no estado das detecções. Se uma IV não for encontrada, uma nova IV será criada. As detecções são abertas ou fechadas somente por dados encontrados diretamente por um scanner.

    Em versões anteriores de Resposta a vulnerabilidades Detecções de item vulnerável, o relacionamento entre um IC (ativo) em seu ambiente e uma vulnerabilidade importada de um scanner de terceiros, criaram um item vulnerável exclusivo em seu ServiceNow AI Platform instância.

    A granularidade dos dados originais fornecidos pelo scanner é preservada. Com detecções, os dados de detecção são emparelhados com itens vulneráveis. Durante uma ingestão, se um item vulnerável não for encontrado, uma nova IV será criada.

    A partir da versão 21.1.2 de Resposta a vulnerabilidades, uma propriedade do sistema sn_vul.show_last_open_detectioné fornecido no sistema de base. Por padrão, o valor desta propriedade é definido como falso, e o comportamento atual de agregar os valores da detecção inicial à VI permanece inalterado. No entanto, se estiver definido como verdadeiro, um IV será atualizado automaticamente com a última detecção aberta após uma ingestão. Os campos como endereço IP, SSL, Porta, Protocolo, NetBIOS, e as provas são atualizadas para as detecções de VI. Se necessário, você pode personalizar os campos de detecção que devem ser atualizados modificando o. Base de detecção script.

    Para exibir os valores da última detecção aberta, navegue até Última detecção em aberto Na exibição do formulário de VI. Para atualizar todos os IVs abertos no ano passado com os últimos valores de detecção em aberto, você pode executar o trabalho agendado Update Last Open Detection Value To VITssob demanda. Este trabalho agendado também é fornecido no sistema de base.

    Nota:
    Quando um item de configuração (IC) muda em um item descoberto, as atualizações correspondentes também são refletidas nas detecções. Como resultado, as detecções podem ser movidas de um VI para outro VI Com base nesta mudança e no valor de sn_vul.show_last_open_detection, os valores das detecções são acumulados para os IVs de origem e de destino.

    Versões compatíveis de Resposta a vulnerabilidades

    Para obter mais informações sobre como instalar ou atualizar o. Resposta a vulnerabilidades aplicação, consulte Instalar Resposta a vulnerabilidades.

    Integrações de terceiros compatíveis

    Uma integração de terceiros compatível com seu Resposta a vulnerabilidades a aplicação é necessária para detecções de item vulnerável. As seguintes integrações de terceiros são compatíveis com Resposta a vulnerabilidades aplicação para detecções de item vulnerável:
    • Integração de detecção de host da Qualys
    • Armazenamento de dados Rapid7:
      • Integração de item vulnerável
      • Integração de resolução de item vulnerável
    •  Integração de resolução de item vulnerável do Rapid7 (InsightVM)
      • Integração da VM do InSight
      • Integração de item vulnerável - API
    • Tenable Vulnerability Integration
    • Gestão de vulnerabilidades do Microsoft Defender

    Essas integrações de terceiros estão disponíveis com uma assinatura separada do ServiceNow Store. Para obter mais informações sobre essas integrações, consulte Integrações do Resposta a vulnerabilidades e. Operações de segurança e o ServiceNow Store para obter mais informações sobre como obter direito.

    Para verificar se o scanner de terceiros está configurado para importação, consulte Instale e configure a aplicação Integração Rapid7 para Operações de segurança e. Instalar o Qualys Vulnerability Integration.

    Termos-chave para detecções de item vulnerável

    Vulnerabilidade
    Dados sobre pontos fracos em software, sistemas operacionais e ativos importados de fontes internas e externas. Esses dados são importados e comparados com ativos existentes (itens de configuração, ICs) listados no CMDB.
    Item vulnerável
    Um item vulnerável é criado ou atualizado quando uma vulnerabilidade importada corresponde a um IC no CMDB.
    Detecção
    Uma ocorrência única e distinta de uma vulnerabilidade, conforme relatada por um scanner conhecido como Detecção de item vulnerável no ServiceNow AI Platform ambiente. Uma detecção inclui dados aprimorados sobre uma vulnerabilidade e todos os itens vulneráveis correspondentes. Esses dados são exibidos no registro de detecção (número de VID) e na exibição da lista de itens vulneráveis que inclui os seguintes detalhes:
    • Primeiro encontrado (dados)
    • Encontrado pela última vez (data)
    • Nome DNS
    • Nome de origem líquida
    • Endereço IP
    • Porta
    • Protocolo
    • Prova
    • SSL
    • Horas encontradas
    Nota:
    A adição de uma regra de negócio na tabela de detecção afetará o desempenho da ingestão.
    Chave de detecção
    Uma combinação com hash de campos que forneceu uma maneira de identificar e vincular uma detecção a um item vulnerável. As chaves de detecção são específicas da integração.
    Tabela 1. Configurações de chave de detecção
    Scanner Vulnerabilidade Porta Protocolo ID do ativo Prova NIC
    Qualys Sim Sim Sim Sim Não N/D
    Tenable Sim Sim Sim Sim Não N/D
    Rapid7 Sim Sim Sim Sim Sim (não diferencia maiúsculas de minúsculas) Sim
    Nota:
    • Se a chave de detecção não for especificada, ou para versões anteriores a Resposta a vulnerabilidades14,0, a chave de detecção é uma combinação de entrada de vulnerabilidade, porta, protocolo, ID de ativo e prova.
    • A partir de v19.0 de Resposta a vulnerabilidades, Uma nova NIC de chave de detecção foi adicionada para Rapid7 InsightVM, que está ativado por padrão. As detecções existentes sem NIC são atualizadas com a primeira NIC de entrada na carga de Rapid7. A chave de detecção é recalculada e preenchida novamente na detecção, incluindo NIC. Novas detecções serão criadas se detecções semelhantes forem vistas com valores de NIC diferentes. Esses dados não são acumulados na tabela de Itens vulneráveis. O valor da NIC é armazenado em uma nova coluna na tabela sn_vul_detection_key_config e sn_vul_detection.
    Desduplicação
    O processo usado pelo Resposta a vulnerabilidades Aplicação de recolhimento de detecções individuais em uma única VI quando os dados atendem a determinados critérios codificados.
    ID externo do VI
    O valor armazenado no campo ID externo da tabela VI. Este valor é um hash composto pela combinação de chaves em uma VI que representa o que o torna exclusivo na aplicação. Ele é composto por um IC e uma entrada vulnerável.

    Reabrir itens vulneráveis resolvidos

    Itens vulneráveis definidos como Resolvido em seu ServiceNow AI Platform instância, mas não fez a transição para Encerrado/corrigido as execuções de integração subsequentes são reabertas se forem detectadas durante novas verificações.

    IVs encerrados com um subestado de corrigido ou obsoleto São reabertos se uma nova detecção for criada e os IVs puderem ser correspondidos à nova vulnerabilidade.

    De acordo com a inclusão de script, DetectionBase, método _shouldReOpenVI(), Se o vit foi anterior Encerrado com subestado Corrigido , Obsoleto , ou IC desativado , Ele é reaberto e a detecção é mapeada para a VIT existente.

    Por exemplo, digamos que a data de encerramento de uma VIT seja posterior à data last_found de uma detecção. Esses registros de VIT permanecerão encerrados. No entanto, se você vir uma VIT fechada anteriormente reaberta, isso significa que a VIT foi fechada por uma detecção anterior e a vulnerabilidade foi encontrada novamente em uma verificação posterior. Quando uma nova detecção corresponde à VIT encerrada que tem a mesma vulnerabilidade no item de configuração da VIT é encontrada, a VIT é reaberta.

    Para Rapid7 Detecções, uma opção agora está disponível na página de configuração do Rapid7 em sua instância para reabrir IVs resolvidos por idade. Se habilitado, o IVs definido como Resolvido mas, em seguida, não fez a transição para Encerrado/corrigido por verificações subsequentes, retorne para Aberto após o número de dias inserido.

    Para Qualys Detecções, se o scanner continuar a encontrar IVs que foram definidos como Resolvido mas, em seguida, não fez a transição para Encerrado/corrigido Nas verificações subsequentes, esses IVs voltam para Aberto Quando a data da última descoberta for posterior à data de resolução.

    Exibir dados de detecção

    Você exibe os dados importados de detecções de item vulnerável no registro de VI. Para obter mais informações, consulte Exibição Resposta a vulnerabilidades dados de detecção de item vulnerável e Verificar Resposta a vulnerabilidades Dados de detecção de item vulnerável nos registros de execução de integração (VINTRUN).