Noções básicas sobre a integração de vulnerabilidades do Microsoft Threat and Vulnerability Management

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 9 min. de leitura

    • . Resposta a vulnerabilidades A integração com a aplicação Microsoft Threat and Vulnerability Management (MS TVM) usa dados importados do MS TVM para ajudar você a priorizar e corrigir vulnerabilidades de seus ativos. O aplicativo está disponível com uma assinatura separada do ServiceNow Store.

    Você pode usar a integração de Vulnerabilidade do MS TVM para importar dados do scanner de terceiros sobre seus ativos e vulnerabilidades. Em seguida, você pode exibir relatórios sobre vulnerabilidades e itens vulneráveis no Resposta a vulnerabilidades painéis.

    Fluxo de trabalho de integração do MS TVM que exibe a instalação e a configuração da aplicação, exibindo os dados ingeridos em seu ServiceNow AI Platform e priorizar e corrigir vulnerabilidades automaticamente para seus ativos.

    Versões disponíveis

    Versão de lançamento Notas de versão

    Resposta a vulnerabilidades Integração com MS TVM v2.2

    Para obter mais informações sobre as versões lançadas da aplicação Vulnerability Response, compatibilidade e mudanças de esquema, consulte Matriz de compatibilidade de resposta a vulnerabilidades e mudanças no esquema de versão [KB0856498] na Base de conhecimento HI .

    Domain Separation e MS TVM

    Importe dados de integração de vulnerabilidade para um domínio especificado atribuindo um usuário nesse domínio para executar as integrações. Para criar importações separadas por domínio para o MS TVM Vulnerability Integration, consulte Crie importações separadas por domínio para uma integração.

    Termos e principais recursos das integrações

    Itens vulneráveis e vulnerabilidades
    Um item vulnerável é criado em seu ServiceNow AI Platform instância quando:
    • Uma vulnerabilidade importada de um scanner de terceiros corresponde a um ativo existente (item de configuração) em seu CMDB). O produto MS TVM se refere a essas correspondências como vulnerabilidades.
    • Uma vulnerabilidade importada de um scanner de terceiros não corresponde a um ativo existente em seu CMDB. Nesse caso, um item de configuração (IC) incompatível também é criado com um item vulnerável.

      Use o Mecanismo de Identificação e Reconciliação (IRE) para criar ICs em duas novas classes quando um IC existente não puder ser correspondido a um host. Caso contrário, ICs incompatíveis serão criados nas classes de IC incompatíveis. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidades Usando o mecanismo de Identificação e reconciliação.

    Entradas de vulnerabilidades de terceiros
    As entradas de vulnerabilidade de terceiros são importadas de scanners de terceiros, como o MS TVM, e são listadas na tabela Entradas de vulnerabilidade de terceiros em seu ServiceNow AI Platform instância. Entradas do banco de dados de vulnerabilidades nacionais (CVEs) são importadas do MS TVM. As informações de exploração associadas a esses dois tipos de entradas vêm do MS TVM. Essas informações de exploração podem ser usadas para cálculo de risco.
    Nota:
    Uma vulnerabilidade de terceiros é recuperada somente para vulnerabilidades que não tenham um CVE atribuído a eles. O MS TVM pode adicionar um nome temporário para a vulnerabilidade, por exemplo, TVM-XXXX-XXXX . Este nome é atualizado depois que um ID CVE é atribuído.
    IC (Configuration Item, item de configuração)
    ICs são os ativos existentes listados em seu CMDB.
    Item descoberto
    Itens descobertos são os ativos que são ingeridos da importação da máquina MS TVM que correspondem aos ICs existentes em seu CMDB.

    Se uma correspondência não for encontrada, um IC será criado na classe de IC incompatível do CMDB. Habilitar o plug-in Modelos de classe de IC do CMDB, o Mecanismo de identificação e reconciliação (IRE) cria ICs usando novas classes. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidades Usando o mecanismo de Identificação e reconciliação. Se o IC original incompatível for reclassificado, os registros do item descoberto serão atualizados para refletir esse estado. Os itens descobertos fornecem visibilidade de como os ativos são identificados e mapeados para ICs no CMDB.

    Regras de pesquisa de IC
    Quando os dados são importados do MS TVM, Resposta a vulnerabilidades usa automaticamente os dados da máquina (ativo) para pesquisar correspondências no CMDB. As regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de VI quando os VIS são criados.
    Instância
    Uma instância se refere a várias contas do MS TVM. Cada conta pode ser uma instância na aplicação MS TVM.
    Integração
    Uma integração é um trabalho agendado que recupera informações de uma origem de terceiros, como a integração das máquinas MS TVM.
    Implantação
    Quando uma integração oferece suporte a várias origens, uma única existência de integração é chamada de implantação de sua integração. Uma implantação se refere às integrações e produtos em todo o seu ambiente. Por exemplo, você pode ter várias implantações do MS TVM em seu ambiente.

    A integração do MS TVM também inclui os seguintes recursos principais:

    • Você pode identificar os ativos em seu ambiente e atualizar os ICs em seus itens descobertos existentes, itens vulneráveis e registros de detecção para fornecer mais detalhes sobre suas vulnerabilidades.
    • Você pode programar quando deseja que os trabalhos sejam executados para todas as integrações do MS TVM. Você também pode executar trabalhos agendados sob demanda.
    • Você pode agrupar itens vulneráveis.
    • Você pode configurar regras de pesquisa de IC para definir como os dados de ativos de fontes de terceiros são usados para identificar ICs em seu CMDB.

    Funções necessárias de ServiceNow AI Platform

    As tarefas de integração exigem as seguintes funções em seu ServiceNow AI Platform instância.

    Persona e funções granulares estão disponíveis para ajudar você a gerenciar o que usuários e grupos podem ver e fazer no Resposta a vulnerabilidades aplicação. Para obter uma atribuição inicial das funções de persona no Assistente de configuração, consulte Atribua o. Resposta a vulnerabilidades Funções de persona usando o Assistente de configuração. Para obter mais informações sobre como gerenciar funções granulares, consulte Gerencie funções granulares e de persona para Resposta a vulnerabilidades.

    administrador
    O administrador do sistema usa o Assistente de configuração para instalar a aplicação MS TVM. Se não for atribuído, o administrador atribuirá o administrador da vulnerabilidade (sn_vul.vulnerability_admin) e outras funções no Assistente de configuração.
    sn_vul.vulnerability_admin
    Uma vez atribuída, o administrador de vulnerabilidades conclui a configuração das integrações do MS TVM no Assistente de configuração. Esta função tem acesso completo ao Resposta a vulnerabilidades aplicação e seus registros. O administrador de vulnerabilidades configura tudo Resposta a vulnerabilidades aplicações e regras para integrações de terceiros instaladas.
    sn_vul_msft_tvm.configure_integration

    Esta função contém sn_vul_msft_tvm.read_integration função granular. Usuários com esta função podem configurar a Integração de resposta a vulnerabilidades com a aplicação Microsoft Threat and Vulnerability Management.

    sn_vul_msft_tvm.read_integration

    Usuários com esta função só podem exibir a Integração de resposta a vulnerabilidades com os registros da aplicação Microsoft Threat and Vulnerability Management.

    Grupo de Resposta a vulnerabilidades
    Por padrão, o grupo Resposta a vulnerabilidades está disponível no Assistente de configuração. Os usuários atribuídos ao grupo Resposta a vulnerabilidades herdam as funções sn_vul.read_all e sn_vul.remediation_owner automaticamente.

    Integrações do MS TVM

    Várias origens são compatíveis com todas as integrações do MS TVM. Você pode adicionar e implantar várias instâncias das seguintes integrações em seu ambiente do Assistente de configuração em Resposta a vulnerabilidades. Você também instala e configura o. Resposta a vulnerabilidades Integração com a aplicação MS TVM do Assistente de configuração.

    Para exibir as integrações do MS TVM, navegue até Integração de vulnerabilidade Microsoft VTM > Administração > Integrações. Resposta a vulnerabilidades Fornece integrações com endpoints do MS TVM para importar os dados de acordo com os intervalos de tempo programados. As integrações a seguir estão incluídas no sistema de base.

    Tabela 1. Integrações do MS TVM
    Sequência de execução Agendamento Integração Descrição
    1 Diariamente Integração de recomendações do Microsoft TVM Recupera uma lista de todas as recomendações de segurança acionáveis para corrigir as vulnerabilidades.
    2 Diariamente Integração de Vulnerabilidade do Microsoft TVM (CVE) Recupera uma lista das entradas do banco de dados de vulnerabilidades nacionais e entradas de vulnerabilidades de terceiros, bem como suas informações de exploração.
    3 Diariamente Microsoft TVM Machine Integration Recupera todos os dados de ativo (máquina), incluindo marcadores de máquina, do Microsoft TVM e os processa em sua instância.
    4 Semanalmente
    Nota:
    Após a instalação, esta integração é executada automaticamente após a importação das máquinas.
    		 Microsoft TVM Machine Vulnerabilities Integration (importação completa) Recupera todas as vulnerabilidades em aberto em todos os ativos.
    5 Diariamente Microsoft TVM Machine Vulnerabilities Integration (importação delta) Recupera todas as informações que foram alteradas na importação completa de vulnerabilidades da organização, incluindo as vulnerabilidades novas, corrigidas e atualizadas.

    Os itens vulneráveis são agrupados em tarefas de correção de acordo com as regras de grupo que você definiu e são atribuídos para correção com base em suas regras de atribuição. Para obter mais informações, consulte Resposta a vulnerabilidades tarefas de correção e visão geral das regras de tarefa de correção e Resposta a vulnerabilidades visão geral das regras de atribuição.

    Regras de pesquisa de IC

    Quando os dados são importados do MS TVM, Resposta a vulnerabilidades usa automaticamente os dados da máquina (ativo) para pesquisar correspondências no Configuration Management Database (CMDB). As regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de VI quando os VIS são criados. Para obter mais informações sobre como funcionam as regras de pesquisa de IC, consulte Regras de pesquisa de IC para identificar itens de configuração de Resposta a vulnerabilidades integrações de vulnerabilidades de terceiros.
    Nota:
    Depois de remover uma regra, você não poderá recuperá-la. Em vez de remover uma regra existente, você deve desabilitá-la.
    As seguintes regras de pesquisa do MS TVM são enviadas com o sistema de base:
    • MAC_ADDRESS
    • FQDN
    • IP
    Nota:
    Você pode usar vários valores para ip_ADDRESS e MAC_ADDRESS de um ativo. Uma regra de pesquisa de IC considera todos os valores para correspondência.

    Itens descobertos

    Você pode ver os ICs que foram detectados durante uma importação da integração de máquinas MS TVM.
    Nota:
    O filtro padrão para esta lista está definido como Incompatível . Você pode exibir todos os itens descobertos de uma importação removendo o filtro.
    Para obter mais informações, consulte Itens descobertos.

    Marcadores da máquina

    Marcadores de máquina, também conhecidos como marcadores de host, são usados para organizar e rastrear os ativos em sua organização. Você atribui marcadores às suas máquinas.

    Todos os marcadores de máquina são importados como parte da integração de máquinas MS TVM. Marcadores de máquina geralmente são usados para filtragem em Resposta a vulnerabilidades regras de atribuição e regras de tarefa de correção. Os marcadores são exibidos no formulário Item descoberto.
    Nota:
    Execute a integração do MS TVM Machine antes de criar Resposta a vulnerabilidades regras de tarefa de atribuição ou correção no Resposta a vulnerabilidades para que todos os marcadores estejam disponíveis para essas regras antes que os itens vulneráveis sejam importados e agrupados. Observe também os seguintes pontos sobre marcadores:
    • O armazenamento de marcador não diferencia maiúsculas de minúsculas. Se um marcador Paris for criado, um marcador PARIS não poderá ser armazenado na tabela de marcadores Máquina. Paris e. PARIS são considerados a mesma etiqueta da máquina pelo sistema. Qualquer marcador importado primeiro é o marcador que é armazenado e reconhecido.
    • Usar marcadores de máquina como uma chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. Chaves de grupo são colunas na tabela Tarefas de correção, enquanto os marcadores de máquina são destinados ao uso somente no construtor de condições.
    • Os marcadores de máquina são controlados pela propriedade global do sistema sn_vul.import_host_tags. Esta propriedade é definida como verdadeira por padrão. Desabilitar marcadores os desabilita em todos ServiceNow AI Platform® instâncias.

    O que fazer a seguir

    Depois de baixar o. Resposta a vulnerabilidades Integração com o Microsoft Threat and Vulnerability Management do ServiceNow® Store A instalação e a configuração são compatíveis com o Assistente de configuração no Resposta a vulnerabilidades. Para obter mais informações, consulte Instale e configure a Integração de resposta a vulnerabilidades com a aplicação MS TVM usando o Assistente de configuração.