サードパーティ統合からの 脆弱性対応 脆弱性一致アイテム検出

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:8分

    • ServiceNow AI Platform® インスタンスでサードパーティのスキャンによって収集されたすべての情報を表示します。インスタンスで検出レコードと脆弱性一致アイテム (VI) レコードに対する返されたスキャン結果を表示します。これらの結果はスキャナーで表示されます。

    概要

    脆弱性対応 アプリケーションは、エンタープライズ環境から脆弱性一致アイテムのデータを取得するサードパーティの統合をサポートしています。検出に関する詳細データ、つまりサードパーティ統合のスキャナーによって報告された脆弱性の単一の個別の発生がインポートされ、 ServiceNow AI Platform インスタンスの検出レコードと脆弱性一致アイテムレコードの両方に表示されます。

    サードパーティ統合によって脆弱性一致アイテム検出データが取得されます。検出は、スキャナーによって報告される脆弱性の個別の発生です。検出データは脆弱性一致アイテムとペアリングされ、検出のステータスに基づいて VI ステータスが更新されます。VI が見つからない場合は、新しい VI が作成されます。検出は、スキャナーによって直接検出されたデータによってのみオープンまたはクローズされます。

    以前のバージョンの 脆弱性対応 では、脆弱性一致アイテム検出では、環境内の CI (資産) とサードパーティのスキャナーからインポートされた脆弱性との関係により、 ServiceNow AI Platform インスタンスに固有の脆弱性一致アイテムが作成されていました。

    スキャナーによって提供される元のデータの粒度は保持されます。検出では、検出データが脆弱性一致アイテムとペアリングされます。取り込み中に脆弱性一致アイテムが見つからない場合は、新しい VI が作成されます。

    脆弱性対応 v.21.1.2 以降、システムプロパティ sn_vul.show_last_open_detection がベースシステムで提供されます。デフォルトでは、このプロパティの値は false に設定されており、初期検出から VI に値を集計する現在の動作は変更されません。ただし、true に設定されている場合、VI は取り込み後の最後のオープン検出で自動的に更新されます。[IP アドレス]、[SSL]、[ポート]、[プロトコル]、[NetBIOS]、[証明] などのフィールドが VI 検出用に更新されます。必要に応じて DetectionBase スクリプトを変更すると、更新が必要な検出フィールドをカスタマイズできます。

    前回のオープン検出の値を表示するには、VI フォームビューの [最後のオープン検出 (Last Open Detection)] タブに移動します。過去 1 年間にオープンされたすべての VI を最後のオープン検出値で更新するために、スケジュール済みジョブ Update Last Open Detection Value To VITs をオンデマンドで実行できます。このスケジュール済みジョブはベースシステムでも提供されます。

    注:
    検出されたアイテムで構成アイテム (CI) が変更されると、対応する更新も検出に反映されます。その結果、ある VI から別の VI に検出が移動される可能性があります。この変更と sn_vul.show_last_open_detection プロパティの値に基づいて、検出の値がソース VI とターゲット VI にロールアップされます。

    脆弱性対応 のサポートされているバージョン

    脆弱性対応 アプリケーションのインストールまたは更新の詳細については、「脆弱性対応 のインストール」を参照してください。

    サポートされているサードパーティ統合

    脆弱性一致アイテムの検出には、脆弱性対応 アプリケーションとのサードパーティ統合がサポートされている必要があります。脆弱性一致アイテムの検出のために 脆弱性対応 アプリケーションでは、以下のサードパーティ統合がサポートされています。
    • Qualys ホスト検出統合
    • Rapid7 データウェアハウス:
      • 脆弱性一致アイテム統合
      • 脆弱性一致アイテム解決統合
    • Rapid7 脆弱性一致アイテム解決統合 (InsightVM)
      • Insight VM 統合
      • 脆弱性一致アイテム統合 - API
    • Tenable 脆弱性統合
    • Microsoft Defender Vulnerability Management

    これらのサードパーティ統合は、個別のサブスクリプションで ServiceNow Store から入手できます。これらの統合の詳細については、「脆弱性対応 の統合」および「セキュリティオペレーション および ServiceNow Store」でエンタイトルメントの取得の詳細を参照してください。

    サードパーティのスキャナーがインポート用に構成されていることを確認するには、「Install and configure the Rapid7 Integration for Security Operations application (Rapid7 Integration for Security Operations アプリケーションのインストールと構成)」および「Qualys 脆弱性統合 をインストールする」を参照してください。

    脆弱性一致アイテムの検出に関する主要な用語

    脆弱性
    内部および外部のソースからインポートされたソフトウェア、オペレーティングシステム、資産の脆弱性に関するデータ。このデータはインポートされ、CMDB にリストされている既存の資産 (構成アイテム、CI) と比較されます。
    脆弱性一致アイテム
    インポートされた脆弱性が CMDB 内の CI と一致すると、脆弱性一致アイテムが作成または更新されます。
    検出
    ServiceNow AI Platform 環境内の脆弱性一致アイテム検出と呼ばれるスキャナーによって報告される脆弱性の単一の個別の発生。検出には、脆弱性および対応する脆弱性一致アイテムに関する拡張データが含まれます。このデータは、検出レコード (VID#) および脆弱性一致アイテムリストビューに表示され、以下の詳細を含んでいます。
    • 初回検出 (データ)
    • 最終検出日 (日付)
    • DNS 名
    • Net BIOS 名
    • IP アドレス
    • ポート
    • プロトコル
    • 実証
    • SSL
    • 検出回数
    注:
    検出テーブルにビジネスルールを追加すると、取り込みのパフォーマンスに影響します。
    検出キー
    検出を識別して脆弱性一致アイテムに関連付ける方法を提供する、フィールドのハッシュ化された組み合わせ。検出キーは統合ごとに固有です。
    表 : 1. 検出キー構成
    スキャナー 脆弱性 ポート プロトコル 資産 ID 実証 NIC
    Qualys はい はい はい はい いいえ NA
    Tenable はい はい はい はい いいえ NA
    Rapid7 はい はい はい はい あり (大文字と小文字を区別しない) はい
    注:
    • 検出キーが指定されていない場合、または 脆弱性対応 14.0 より前のバージョンの場合、検出キーは脆弱性エントリー、ポート、プロトコル、資産 ID、および実証の組み合わせです。
    • 脆弱性対応 の v19.0 以降では、新しい検出キーの NIC が Rapid7 InsightVM に追加され、デフォルトでアクティブ化されています。NIC のない既存の検出は、Rapid7 からペイロードで最初に受信する NIC で更新されます。検出キーは、NIC を含む検出で再計算され、再入力されます。NIC 値が異なる類似の検出が発生した場合は、新しい検出が作成されます。このデータは、脆弱性一致アイテムテーブルにロールアップされません。NIC 値は、sn_vul_detection_key_config および sn_vul_detection テーブルの新しい列に格納されます。
    重複排除
    データが特定のハードコードされた基準を満たしている場合に個々の検出を単一の VI に折りたたむ、脆弱性対応 アプリケーションによって使用されるプロセス。
    VI 外部 ID
    VI テーブルの [外部 ID] フィールドに格納されている値。 この値は、VI 内のキーの組み合わせで構成されるハッシュで、これによりアプリケーション内で VI が固有になります。CI と脆弱性エントリーで構成されています。

    解決された脆弱性一致アイテムの再オープン

    ServiceNow AI Platform インスタンスで [解決済み] に設定されているが後続の統合実行によって [クローズ済み]/[修正済み] に移行されていない脆弱性一致アイテムは、再スキャン中に検出された場合に再オープンされます。

    サブステートが [修正済み] または [古い] であるクローズ済みの VI は、新しい検出が作成され、VI が新しい脆弱性と一致する場合に再オープンされます。

    スクリプトインクルード、DetectionBase、メソッド _shouldReOpenVI() により、VIT が以前に [クローズ済み] でサブステートが [修正済み][古い]、または [CI 廃止] であった場合は再オープンされ、検出が既存の VIT にマッピングされます。

    たとえば、VIT のクローズ日が検出の last_found 日より後であるとします。この VIT のレコードはクローズされたままであると想定されます。しかし、以前にクローズされた VIT が再オープンされたということは、その VIT が以前の検出によってクローズされ、脆弱性が後のスキャンで再度見つかったことを意味します。新しい検出が見つかり、それが VIT の構成アイテムと同じ脆弱性があるクローズ済み VIT と一致すると、VIT が再オープンされます。

    Rapid7 検出の場合、インスタンスの [Rapid7 構成] ページで、解決済みの VI を経過時間別に再オープンするオプションが利用可能になりました。有効にすると、[解決済み] に設定されていても、後続のスキャンで [クローズ済み]/[修正済み] に移行しなかった VI は、入力した日数後に [オープン] に戻ります。

    Qualys 検出で、[解決済み] に設定された VI が後続のスキャンで [クローズ済み]/[修正済み] に移行されていない場合、最終検出日が解決日より後であると、こうした VI が [オープン] に戻ります。

    検出データの表示

    VI レコードの脆弱性一致アイテム検出からインポートされたデータを表示します。詳細については、「脆弱性対応 脆弱性一致アイテム検出データの表示」と「統合実行 (VINTRUN) レコードの 脆弱性対応 脆弱性一致アイテム検出データの検証」を参照してください。