Noções básicas sobre as integrações de NVD

  • Versão de lançamento: Zurich
  • Atualizado 2 de set. de 2025
  • 6 min. de leitura

    • As integrações de NVD usam dados importados do produto National Vulnerability Database (NIST) do National Vulnerability Database (NVD) para ajudar você a determinar o impacto e a prioridade das falhas em seu código. Execute esta integração como parte da configuração inicial de Resposta a vulnerabilidades e antes de importar dados de vulnerabilidade para sua instância com um produto de scanner de terceiros.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    O NIST NVD coleta dados CVE (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) e CPE (Common Platform Enumeration, enumeração de plataforma comum) e disponibiliza esses dados para o. ServiceNow AI Platform®. Ele se integra facilmente ao Resposta a vulnerabilidades Mapear vulnerabilidades CVE e CPE enriquecendo os dados em sua instância.
    Importante:
    Há um usuário de execução configurado para cada registro de integração. O valor padrão para este usuário é VR.System . Não mude este valor.
    Após a instalação, a integração NIST National Vulnerability Database Integration-API (CVE somente) é invocada automaticamente como um trabalho agendado e é executada diariamente. Você também pode executar trabalhos agendados individuais manualmente. Os trabalhos agendados simplificam o ciclo de vida da correção de vulnerabilidades, mantendo a instância sincronizada com outros sistemas de gestão de vulnerabilidades.
    Dica:
    A ativação desse plug-in em instâncias de produção pode exigir uma licença separada.

    Versões disponíveis

    Versão de lançamento Notas da versão

    Resposta a vulnerabilidades Integração com NVD v1.2

    Importação inicial de dados de vulnerabilidade com as integrações NVD e CWE

    1. Execute uma importação inicial de dados do CWE com a Integração abrangente do CWE 2000.

      Consulte Configure e execute o trabalho agendado para atualizar registros CWE. Você executa atualizações de CWE Sob demanda no registro de integração por padrão, e, você deve configurá-lo.

      Nota:
      Programe a atualização do CWE para ser executada antes da atualização do banco de dados NVD. O dia padrão para a atualização do NVD é Semanalmente ativado Segunda-feira .
    2. Verifique Resposta a vulnerabilidades A integração com a aplicação NVD está instalada e uma importação de dados inicial da API de integração do banco de dados de vulnerabilidades do NIST - (somente CVE) ou da API de integração do banco de dados de vulnerabilidades do NIST - API (CVE e CPE) é bem-sucedida.

      Para CPEs, verifique se uma importação de dados inicial da NIST National Vulnerability Database Integration - API (somente CPE) foi bem-sucedida.

      A ativação desse plug-in em instâncias de produção pode exigir uma licença separada. Depois que o plug-in é instalado, a NIST National Vulnerability Database Integration - API (CVE somente) é ativada por padrão. Ele é executado diariamente. Para obter mais informações, consulte Instale o. Resposta a vulnerabilidades Integração com o NIST National Vulnerability Database.

    3. Bibliotecas de terceiros são atualizadas como trabalhos agendados. Consulte a documentação de integração em Integrações do Resposta a vulnerabilidades para obter mais informações sobre integrações de terceiros.

    Noções básicas sobre dados de vulnerabilidade importados e itens vulneráveis

    Em seu ServiceNow AI Platform cada vulnerabilidade importada é representada por uma entrada de vulnerabilidade nas bibliotecas de origem de produtos de scanner de terceiros, como Qualys, por exemplo. Itens vulneráveis (VI) importados e atualizados em sua instância são referências a bibliotecas de terceiros, como Qualys biblioteca. Uma biblioteca de terceiros pode, por sua vez, fazer referência ao NVD.

    Por exemplo, quando você ingere dados de vulnerabilidade de terceiros de um produto como Qualys, Você está ingerindo VIS que fazem referência a um QID ( Qualys Identificador). No caso de Qualys Esse QID, por sua vez, faz referência a um CVE da biblioteca NVD. Ao clicar nesse QID em uma tarefa de correção ou registro de item vulnerável no Resposta a vulnerabilidades E você executou as integrações NVD e CWE para ingerir dados, você está exibindo dados de vulnerabilidade atuais e aprimorados que permitem ver os relacionamentos existentes entre seus VIS e CVEs, CVEs e CPEs.

    Antes de executar um produto de scanner de terceiros, como Qualys Que tenha sua própria biblioteca, primeiro você deve instalar e executar, no mínimo, a integração NIST National Vulnerability Database Integration- API (CVE somente) (também inclui detalhes relacionados à CISA) e Integração do CWE para ingerir dados de vulnerabilidade. Essas importações de dados de NVD e CWE enriquecem seu Resposta a vulnerabilidades ou Resposta a vulnerabilidades de aplicações dados antes de importar dados com um produto de terceiros.

    Para obter mais informações sobre como gerenciar NVD, CWE e bibliotecas de terceiros e exibi-las, consulte Importação de dados com as integrações NVD e CWE e gerenciamento de bibliotecas de terceiros e. Exibir Resposta a vulnerabilidades bibliotecas de vulnerabilidades.

    Depois de verificar a importação bem-sucedida de NVD, para enriquecer ainda mais seus dados de vulnerabilidade, Configure e execute o trabalho agendado para atualizar registros CWE.

    Execute as importações de NVD e CWE antes de importar dados de vulnerabilidade com um produto de terceiros. Bibliotecas de terceiros são atualizadas como trabalhos agendados. Consulte a documentação de integração em Integrações do Resposta a vulnerabilidades para obter mais informações sobre integrações de terceiros.

    Localizando as integrações de NVD

    Para exibir as integrações de NVD, navegue até Resposta a vulnerabilidades ou Resposta a vulnerabilidades da aplicação > Administração > Integrações.

    As integrações a seguir estão incluídas no sistema de base.
    Nota:
    Integração do banco de dados de vulnerabilidades nacional do NIST - API (somente CVE) a integração está ativa, por padrão.
    Tabela 1. Integrações de NVD
    Integração Descrição
    NIST National Vulnerability Database Integration - API (somente CVE) Recupera somente dados de vulnerabilidade do NIST NIST NVD (CVE). Por padrão, esta integração é definida automaticamente para ser executada diariamente.
    Integração do banco de dados de vulnerabilidades nacional do NIST - API (CPE somente) Recupera dados de CPE do NIST NIST NVD. Esta integração está inativa por padrão.

    Ative esta integração se quiser capturar dados de CPE que incluem um formato de nome formal, um método para verificar nomes em um sistema e um formato de descrição para vincular texto e testes a um nome. Essas informações são armazenadas em Software vulnerável.

    Esta integração está definida para ser executada diariamente e está inativa por padrão. Para ativar esta integração, consulte .
    Integração do banco de dados de vulnerabilidades nacional do NIST - API (CPE não mapeado) Recupera dados de CPE associados ao CVE obtido do NIST NIST NVD. Esta integração está inativa por padrão.

    Ative esta integração se quiser capturar dados de CPE que incluem um formato de nome formal, um método para verificar nomes em um sistema e um formato de descrição para vincular texto e testes a um nome. Essas informações são armazenadas em uma lista relacionada ao registro de entrada de vulnerabilidade NVD. Esta integração está definida para ser executada sob demanda e está inativa por padrão. Para ativar esta integração, consulte .
    Importante:
    A integração "NIST National Vulnerability Database Integration-API (CVE e CPE)" foi descontinuada.

    Para obter os status de execução de integração, consulte, Exiba o status da execução de importação da integração do NVD (National Vulnerability Database).