Importieren Sie Änderungen für die Integration von Tenable Vulnerability

  • Freigeben Version: Washingtondc
  • Aktualisiert 6. Februar 2024
  • 3 Minuten Lesedauer

    • Konfigurieren Sie optionale Änderungen, und optimieren Sie einige der Daten speziell für die Importintegration von Tenable-Schwachstellen in der ServiceNow® Integration von Tenable-Schwachstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.vulnerability_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Dieser Aufgabensatz erfordert Codierung und fortgeschrittene Kenntnisse über Now Platform.

    Befolgen Sie diese Schritte, um domänengetrennte Importe für die Integrationen von Tenable Vulnerabilities zu erstellen. Das folgende Beispiel bezieht sich auf die Tenable.io Open Vulnerabilities-Integration, aber dieser Inhalt gilt auch für die anderen Tenable-Integrationen.

    Prozedur

    1. Erstellen Sie eine Domäne.
    2. Erstellen Sie für jede Domäne, die Sie erstellen, einen Benutzer, und weisen Sie den Benutzer dieser Domäne zu.

      Stellen Sie sich diesen Benutzer als run_as-Platzhalter für die Domäne in Tenable.io vor.

    3. Integration offener Schwachstellen
      Der Benutzer entspricht dem VR.System-Benutzer in der globalen Domäne und muss die folgenden Rollen haben: sn_vul.tenable_configure_integration, import_admin und sn_vul.vulnerability_write. Dieser Benutzer benötigt Zugriff auf Datenquellen, Transformationszuordnungen und Schwachstellendaten.
      Hinweis:
      Betrachten Sie diesen Benutzer als spezifisch für diese Rolle. Der Benutzer sollte keinen anderen Zweck haben
    4. Erstellen Sie in jeder Domäne eine geplante Aufgabe, indem Sie den Datenquellenprozessor für geplante Schwachstellen kopieren, der sich unter befindet Systemdefinition > Geplante Aufgaben.
    5. Hängen Sie die Domäne an den Namen an, um die geplante Aufgabe zu identifizieren.
    6. Ändern Sie den Benutzer run_as in den Benutzer, den Sie im vorherigen Schritt erstellt haben.
      Hinweis:
      Bearbeiten Sie die folgende UI-Aktion, damit die Integration in der Benutzerdomäne „run_as“ ausgeführt wird.
      Bearbeiten Sie die UI-Aktion
    7. Bearbeiten Sie die UI-Aktion Jetzt ausführen in der Tenable.io Open Vulnerabilities-Integration, um diesen Codeblock am Anfang der Datei hinzuzufügen.
      //sys id below is of Tenable.io integration if(current.sys_id == "4df3f18d53730010d7f1ddeeff7b12a9"){ current.run_as = gs.getUserID (); }
      Hinweis:
      Bearbeiten Sie die folgenden Skripteinbindungen, damit die Integration in der Benutzerdomäne „run_as“ ausgeführt wird.
    8. Bearbeiten Sie die VulnerabilityIntegrationUtils-Skripteinbindungsmethode addIntegrationRun, um den hervorgehobenen Code hinzuzufügen.
      Fügen Sie den hervorgehobenen Code hinzu
    9. Bearbeiten Sie die VulnerabilityIntegrationUtils-Skripteinbindungsmethode addProcessRun, um den hervorgehobenen Code hinzuzufügen.
      Fügen Sie den hervorgehobenen Code hinzu
    10. Bearbeiten Sie die DataSourceVulnReportRefreshProcessor-Skripteinbindungsmethode _processFromDataSourceGroups, um den ursprünglichen Code zu ändern: Ursprünglicher _processFromDataSourcesGroups-Code in Bearbeiteter _processFromDataSourcesGroups-Code.
    11. Bearbeiten Sie die VulnerabilityDSAttachmentManager-Skripteinbindungsmethode queueItem, um die folgenden hervorgehobenen Codeblöcke hinzuzufügen queueItem, _getNext, _processQueueEntry-Funktion.

      Sie sind bereit für domänengetrennte Hosterkennungsimporte.

      Deaktivieren Sie Rechner vor dem Import

      Befolgen Sie diese Schritte, um den Standardrechner zu deaktivieren, wenn er nicht verwendet wird. Wenn Sie keine Schwachstellenrechner verwenden, deaktivieren Sie am besten die Standardrechner zusätzlich zu den anderen, die Sie definiert haben. Schwachstellenrechner werden bei jedem Zugriff auf einen Datensatz eines angreifbaren Elements ausgeführt und können sich auf die Instanzleistung auswirken.

      Erforderliche Rolle: sn_vul.vulnerability_admin.

    12. Navigieren zu Alle > Schwachstelle > Administration > Sicherheitsrisiko-Rechner.
    13. Öffnen Sie die Gruppe Schwachstellenauswirkung.
    14. Öffnen Sie den Rechner für Punktzahl und servicebasierte Auswirkung.
    15. Deaktivieren Sie das Feld Aktiv, um den Rechner zu deaktivieren.
    16. Klicken Sie auf Aktualisieren.

      Sie haben den Standardrechner deaktiviert.

      Deaktivieren Sie vor dem ersten Import benachrichtigungsbasierte Business Rules

      Befolgen Sie diese Schritte, um Benachrichtigungsbezogene Geschäftsregeln deaktivieren vor dem ersten Datensatzimport zu deaktivieren. Während des ersten Imports von Datensätzen können bestimmte benachrichtigungsbezogene Business Rules viele Benachrichtigungen generieren, was sich auf die Leistung auswirkt. Diese Geschäftsregeln müssen geändert werden, um sie während des Imports zu deaktivieren.

      Erforderliche Rolle ist sn_vul.vulnerability_admin.

    17. Navigieren zu Alle > Systemdefinition > Business-Regeln.
    18. Suchen Sie nach Benachrichtigungen über betroffene CIs.
    19. Öffnen Sie die Geschäftsregel, und fügen Sie die folgende Bedingung ein: current.sys_class_name != “sn_vul_vulnerable_item".
    20. Klicken Sie auf Aktualisieren.
    21. Wiederholen Sie dieses Verfahren für die folgenden Geschäftsregeln:
      • Betroffene Kostenstellenbenachrichtigungen
      • Betroffene Gruppenbenachrichtigungen
      • Betroffene Standortbenachrichtigungen
      Hinweis:
      Nach Abschluss des ersten Datensatzimports haben Sie die Möglichkeit, diese Geschäftsregeln erneut zu aktivieren. Erwägen Sie jedoch, sie deaktiviert zu lassen. Sie können eine große Anzahl von Benachrichtigungen generieren und die Leistung Ihrer Instanz beeinträchtigen.
      Ändern Sie ein anfängliches Startdatum

      Befolgen Sie diese Schritte, um ein anfängliches Startdatum zu ändern. Während der Installation mit dem Setup-Assistenten legen Sie ein anfängliches Startdatum für die Tenable-Integrationen fest. Sie können dieses Startdatum im Setup-Assistenten oder über die primäre Integration zurücksetzen, wie in den folgenden Schritten gezeigt.

    22. Navigieren zu Alle > Vertretbare Schwachstellenintegration > Administration > Integrationen.
    23. Klicken Sie auf eine beliebige Integration.
    24. Klicken Sie auf Integrationsdetails.
    25. Legen Sie das Feld Startzeit auf einen Wert in der Vergangenheit fest, damit alle gescannten und erkannten Schwachstellen seit diesem Zeitpunkt erkannt werden.

      Wenn Sie Tenable mit dem Setup-Assistenten konfiguriert haben, ist das Feld Startzeit vorab ausgefüllt, zunächst bis drei Monate vor dem heutigen Datum und anschließend bis zum heutigen Datum. Hinweis: Erwägen Sie, den Wert auf maximal einen Monat in der Vergangenheit festzulegen. Dadurch wird verhindert, dass eine große Datenmenge die Ratenbeschränkungen der Tenable-API überschreitet und Ausführungszeitüberschreitungen auslöst.

    26. Klicken Sie auf Absenden oder Aktualisieren.
    27. Wahlweise: Klicken Sie auf Jetzt ausführen, um den Vorgang sofort auszuführen.