Konfigurieren von Container-Image-Granulitätsschlüsseln für Container Vulnerability Response

  • Freigeben Version: Australia
  • Aktualisiert 1. April 2026
  • 4 Minuten Lesedauer

    • Sie können die generierten Schlüssel konfigurieren Container Vulnerability Response Ergebnisse (angreifbare Container-Elemente), mit denen Sie bestimmen können, wie und wann sie aus importierten Container-Schwachstellendaten erstellt werden.

    Übersicht über Schwachstellenschlüssel für Containerbilder und wie sie Ergebnisse generieren

    Wenn Container-Images auf Schwachstellen gescannt werden, steuert eine Granularitätsfunktion, wie Ergebnisse (angreifbare Container-Elemente oder CVITs) basierend auf Schlüsseln erstellt werden, die Sie für die Anwendung „Container-Schwachstellenantwort“ konfigurieren können.

    Jede Drittanbieter-Container-Schwachstellenscanner-Integration verfügt über einen eigenen Datensatz in der Tabelle „Bildschwachstellenschlüssel konfigurieren“ [sn_vul_container_image_vulnerability_keys] in Ihrem ServiceNow AI Platform Instanz. Standardmäßig wird ein Ergebnis (CVIT) durch die Kombination der Bild-Repository-, Schwachstellen- und Bilddaten erstellt, die von einem Scannerprodukt importiert werden.

    Schlüsselgranularität kann Ihnen helfen, Ergebnisse auf einer granulareren Ebene nach Service anzuzeigen und zuzuweisen.

    Erforderliche Rolle: sn_vul_container.configure_vi_granularity

    Für Schlüsselgranularität verwendete Begriffe:

    Schwachstelle

    Importierte Risiken allgemeiner CVE/CWE-Schwachstellen, allgemeine Schwachstellenaufzählung und andere Schwachstellendaten von Drittparteien, die zum Erstellen von Ergebnissen (CVITs) in Ihrer Instanz verwendet werden.

    CVIT
    Ein angreifbares Container-Element (auch als Ergebnis bezeichnet), das standardmäßig mithilfe von Bild-, Bild-Repository- und Schwachstellendaten für seine Schlüsselkonfiguration generiert wird.
    Cluster
    Importierte Daten zu einer Gruppe von Computern oder Arbeitsknoten, die containerisierte Anwendungen ausführen.
    Namespace
    Eindeutige Namen von Ressourcen wurden importiert, um sie innerhalb eines einzelnen Clusters zu isolieren.
    Service
    Container von Anwendungsabhängigkeiten, mit denen Sie containerisierte Anwendungen verwalten und bereitstellen können. In diesem Kontext für Schlüsselgranularität und -Konfiguration:
    • Elastic Container Service (ECS)-Umgebung: Cluster und Service sind Optionen für die Schlüsselkonfiguration.
    • Elastic Kubernetes Service (EKS)-Umgebung: Namespace, Cluster und Service sind Optionen für die Schlüsselkonfiguration.

    Jeder Produktschlüssel hat einen eindeutigen Datensatz in der Liste. Die folgenden wichtigen Konfigurationshierarchien für die ECS- und EKS-Umgebungen haben dieselbe Granularität-Konfiguration, die sich unter befindet Alle > Container Vulnerability Response > Administration > VI-Granularität konfigurierenan.

    Wenn Sie die Schlüsselgranularität konfigurieren möchten, müssen Sie Ihre Änderungen vornehmen und den Datensatz aktualisieren, bevor Sie Daten mit Ihren Drittanbieterintegrationen importieren.

    AWS ECS (elastischer Containerservice)

    ECS-Umgebungen sind in Cluster und Services organisiert, wobei ein Cluster mehrere Services enthalten kann.

    • Cluster
    • Services
    Hierarchiebeziehung zwischen Clustern und Services

    Wenn Sie die Schlüsselgranularität so festlegen, dass die Clusterkomponente hinzugefügt wird (Kontrollkästchen Cluster im VI-Granularität-Datensatz „Bildschwachstellenschlüssel konfigurieren“ aktiviert), wird pro Cluster ein Ergebnis (CVIT) erstellt. Wenn Sie auswählen Cluster Und Service Optionen für den Schlüssel, ein Ergebnis (CVIT) wird für jede eindeutige Cluster/Service-Kombination erstellt, sodass die Verantwortung für die Korrektur auf einer detaillierteren Ebene nach Service zugewiesen werden kann.

    Angenommen, Ihre Umgebung hat zwei Cluster, Cluster 1 und Cluster 2, und vier Services: Service 1, Service 2, Service 3 und Service 4. Die von Ihnen erstellten CVITs-Schlüsselauswahlen werden in der folgenden Tabelle angezeigt.

    Cluster- und Servicedaten können entweder aus der Scanner-Nutzlast ( Scannerinformationen ) Oder ServiceNow Discovery ( Discovery-Informationen ). Diese Option kann sich abhängig von Ihrer Schlüsselauswahl auf die Erstellung von CVITs auswirken.

    Tabelle : 1. Einstellungen für Schlüsselgranularität
    Datenquelle Kontrollkästchen „Cluster“ ausgewählt Kontrollkästchen „Service“ ausgewählt CVITs erstellt
    Scanner-Informationen x Es werden zwei CVITs erstellt, eines für jedes Cluster, Cluster 1 und Cluster 2.
    Scanner-Informationen x x Mehrere CVITS (4) werden erstellt, um zwei Cluster und vier Services zu unterstützen:
    • Cluster 1/Service1
    • Cluster 1/Service 2
    • Cluster 2/Service 3
    • Cluster 2/Service 4
    Discovery
    Hinweis:
    Wenn Discovery als Datenquelle ausgewählt ist, stammt die Wahrheitsquelle für Cluster und Services aus ServiceNow Discovery – nicht der Scanner-Nutzlast.
    		 x Ein CVIT wird für Cluster 3 erstellt. Wenn Discovery nur Cluster 3 für dieses Bild findet, wird unabhängig davon, was der Scanner weiß, nur ein CVIT generiert.

    Standardmäßig Discovery-Informationen Ist ausgewählt. Wenn Sie möchten Discovery-Informationen Als Datenquelle für den Schlüssel wird die geplante Aufgabe [Image-Beziehungen ausfüllen] täglich ausgeführt, um Cluster- und Servicedetails vor dem Import zu importieren. Sie müssen Ihre Drittpartei-Integrationsausführungen so planen, dass sie mindestens vier Stunden nach dem erfolgreichen Abschluss dieser geplanten Aufgabe beginnen, um sicherzustellen, dass die Daten vor dem Import verfügbar sind. Dieser Auftrag ist standardmäßig täglich aktiviert, Sie müssen jedoch den Zeitplan dafür vor Ihren geplanten Importen von Drittparteien festlegen.

    Hinweis:
    Nur für neue Kunden ab Version x.xx.

    Die Systemeigenschaft [sn_vul_container.image_relationship_mapping_months] definiert, wie viele Monate (1–12) Ihre Drittanbieter-Scannerintegration bei der Verarbeitung von Beziehungszuordnungen nach Container-Image-Updates sucht. Diese Daten werden verwendet, um Bilder nach dem Feld [sys_updated_on] zu filtern.

    Die Standardeinstellung ist drei Monate (90 Tage). Wenn Sie diesen Wert nicht ändern, wird nach der Konfiguration Ihres Scannerintegrationsimports eine Beziehungszuordnung für Images erstellt, die standardmäßig in den letzten 90 Tagen gescannt wurden und in erkannten Container-Images vorhanden sind.

    Datenauffüllung

    Bevor ECS mit Version 30,3 unterstützt wurde ( USEM)-kompatibel und v2.18 (Core), es gab zwei Sätze von Spalten in der Tabelle des angreifbaren Containerelements [sn_vul_container_image_vulnerable_item] für ausgefüllte Daten:

    • Image-Namespace und Image-Cluster-Spalten werden angezeigt, wenn die Option ist Scannerinformationen Datenquelle ist für die Schlüsselkonfiguration ausgewählt.
    • Kubernetes-Namespaces, Kubernetes-Cluster und Kubernetes-Services, falls vorhanden Discovery-Informationen Datenquelle ist für die Schlüsselkonfiguration ausgewählt.
    Ab Version 30,3 und 2,18 wurden die folgenden Spalten in der Tabelle „angreifbares Containerelement [sn_vul_container_image_vulnerable_item]“ umbenannt, um den Datenquellen zu entsprechen:
    • Cluster (Scanner) Namespace (Scanner) und Service (Scanner), wenn vorhanden Scannerinformationen Datenquelle ist für die Schlüsselkonfiguration ausgewählt.
    • Cluster (Discovery), Namespace (Discovery) und Service (Discovery), falls vorhanden Discovery-Informationen Datenquelle ist für die Schlüsselkonfiguration ausgewählt.
    Hinweis:

    Nur im CMDB-Docker-Container-Image-Datensatz in der Tabelle „erkanntes Containerbild“ [sn_vul_container_image] Scannerinformationen Wird direkt mit den oben aufgeführten Spaltennamen ausgefüllt.

    Sie können Discovery-basierte Daten (Cluster/Namespace/Service) anzeigen, indem Sie den Docker-Image-Datensatz im erkannten Container-Image-Datensatz öffnen. Zeigen Sie in diesem Datensatz den Abschnitt „zugehörige Elemente/Beziehungen“ für die von ausgefüllten Daten an Discovery-Informationen .

    AWS EKS (elastisch Kubernetes Service)

    In den Datensätzen „Bildschwachstellenschlüssel konfigurieren“ gibt es drei zusätzliche Schlüssel, die Sie dem Standardschlüssel für EKS-Umgebungen hinzufügen können:

    • Namespace
    • Registrierung
    • Service
    Hierarchiebeziehung für Cluster-Namespace und -Services

    EKS-Umgebungen haben eine dreistufige Hierarchie: Cluster/Namespaces/Services. Wenn Sie alle drei Ebenen (Cluster + Namespace + Service) auswählen, werden Ergebnisse mit der am meisten unterstützten Granularität generiert. Die Option zum Auswählen der Datenquelle als Scannerinformationen Oder Discovery-Informationen Wird für EKS unterstützt.

    Angenommen, Sie haben Cluster 1, Namespace 1 und zwei Services, Service 1 und Service 2. Wenn Sie alle drei Ebenen auswählen, werden zwei CVITs für die am häufigsten unterstützte Granularität erstellt, eines für jeden Service.

    Wenn Sie hingegen Cluster 1 und Namespace 1 für dieses Beispiel auswählen, wird ein CVIT für einen Namespace erstellt.