Die Tenable Vulnerability-Integration verstehen

  • Freigeben Version: Washingtondc
  • Aktualisiert 6. Februar 2024
  • 10 Minuten Lesedauer

    • Die Anwendung Vulnerability Response Integration with Tenable, die von ServiceNow Engineering für die Integration von Tenable Vulnerability entwickelt wurde, verwendet Daten, die aus den Produkten Tenable.io und Tenable.sc importiert wurden, um Sie bei der Priorisierung und Behebung von Schwachstellen für Ihre Assets zu unterstützen. Die Anwendung ist mit einem separaten Abonnement von ServiceNow® Storeverfügbar.

    Hinweis:
    Ab Version 14.9 von Configuration Compliancewurden die folgenden Begriffe umbenannt:
    Tabelle : 1. Änderungen in der Terminologie
    Terminologie vor v14.9 Terminologie v14.9 und höher
    Testergebnisgruppe Korrekturaufgabe
    Gruppenregeln Regeln für Korrekturaufgaben
    Richtlinie Testgruppe
    Die Tenable Vulnerability-Integration verwendet zwei Tenable-Integrationen, Tenable.io und Tenable.sc, um Scanner-Daten von Drittanbietern über Ihre Assets und Schwachstellen zu importieren. Die Anwendung Vulnerability Response Integration with Tenable unterstützt das Produkt Tenable.sc ab Version 5.13.
    • Tenable.io ist eine cloudbasierte Unternehmensintegration.
    • Tenable.sc ist eine lokale Integration, die Ihnen die Möglichkeit gibt, einen MID Server zu verwenden, wenn sich das Produkt Tenable.sc und Ihre Instanz Now Platform in derselben Umgebung befinden.
    • Wenn sich das Produkt Tenable.sc und Ihre Instanz Now Platform nicht in derselben Umgebung befinden, müssen Sie einen MID Server verwenden.

    Die Anwendung Vulnerability Response Integration with Tenable ist im ServiceNow Store mit einem separaten Abonnement verfügbar.

    Listen und Beschreibungen der Integrationen in Tenable Vulnerability Integrationfinden Sie unter Tenable.io Integrationen mit den Anwendungen Vulnerability Response und Configuration Compliance . und Integrationen vonTenable.sc mit der Anwendung Vulnerability Response ..

    Abbildung : 1. Vertretbare Schwachstellenintegration
    Tenable Vulnerability Integration-Workflow.

    Verfügbare Versionen für Washington DC

    Release-Version Versionsinformationen

    Vulnerability Response Integration with Tenable v3.5, v3.6

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response Compatibility Matrix and Release Schema Changes

    Begriffe und Hauptfunktionen der Integrationen

    Angreifbare Elemente und Schwachstellen
    Ein angreifbares Element wird in Ihrer Instanz Now Platform erstellt, wenn:
    • Eine importierte Schwachstelle aus einem Scanner einer Drittpartei wird mit einem vorhandenen Asset (einem Konfigurationselement in CMDB) abgeglichen. Das Tenable-Produkt bezeichnet diese Übereinstimmungen als Schwachstellen.
    • Eine importierte Schwachstelle von einem Drittanbieter-Scanner stimmt nicht mit einem vorhandenen Asset in Ihrem CMDBüberein. In diesem Fall wird zusammen mit einem angreifbaren Element auch ein nicht abgeglichenes CI erstellt.

      Für nicht abgeglichene CIs können Sie auch die Identification and Reconciliation Engine (IRE) verwenden, um CIs in zwei neuen Klassen zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter Erstellen von CIs für Vulnerability Response mit der Engine „Identification and Reconciliation“..

    Schwachstelleneinträge und Plugins von Drittparteien
    Schwachstelleneinträge von Drittparteien werden aus Scannern von Drittparteien importiert und in der Tabelle „Schwachstelleneinträge von Drittparteien“ in Ihrer Now Platform -Instanz aufgelistet. Drittpartei-Schwachstelleneinträge von Tenable werden in Vulnerability Response erfasst und mit vorhandenen Assets abgeglichen, die in Ihrem CMDBaufgeführt sind. Tenable bezieht sich auf Schwachstelleneinträge von Drittparteien als Plugins.
    Konfigurationselement (Configuration Item, CI)
    Konfigurationselemente sind die vorhandenen Assets, die in Ihrem CMDBaufgeführt sind.
    Erkanntes Element
    Assets, die aus dem Tenable-Asset-Import erfasst wurden, werden mit vorhandenen Konfigurationselementen in CMDBabgeglichen. Importierte Assets werden aktualisiert.

    Wenn keine Übereinstimmung gefunden wird, wird ein CI in der CI-Klasse Nicht abgeglichen von CMDBerstellt. Wenn das Plugin „CMDB CI Class Models“ aktiviert ist, erstellt die Identification and Reconciliation Engine (IRE) neue CIs mit neuen Klassen. Weitere Informationen finden Sie unter Erstellen von CIs für Vulnerability Response mit der Engine „Identification and Reconciliation“.. Wenn das ursprüngliche, nicht abgeglichene CI neu klassifiziert wird, werden die Datensätze der erkannten Elemente entsprechend dem Status aktualisiert. Erkannte Elemente geben Ihnen Einblick, wie Assets identifiziert und CIs in CMDBzugeordnet werden.

    CI-Suchregeln
    Wenn Daten aus einer Drittanbieterintegration importiert werden, verwendet Vulnerability Response automatisch Hostdaten (Asset-Daten), um nach Übereinstimmungen in der Configuration Management Database (CMDB) zu suchen. CI-Suchregeln werden verwendet, um CIs zu identifizieren und zu VI-Datensätzen hinzuzufügen, wenn VIs erstellt werden, um Sie bei der Korrektur zu unterstützen.
    Erneuter Scan und Korrekturscan
    Sie können einen gezielten erneuten Scan-Befehl für ein bestimmtes Konfigurationselement, eine Schwachstellengruppe oder einen Drittanbietereintrag direkt aus den Datensätzen für angreifbare Elemente, Korrekturaufgaben und Drittanbieter-Schwachstelleneinträge in Ihrer Now Platform -Instanz initiieren. Tenable bezeichnet diesen erneuten Scan als Korrektur -Scan.
    Ältere AEs automatisch schließen
    Mit dem Modul „Veraltete angreifbare Elemente automatisch schließen“ in Ihrem Now Platformkönnen Sie ältere, veraltete angreifbare Elemente (AEs) bereinigen, die von Ihren Drittanbieterintegrationen nicht kürzlich gefunden wurden. Wenn Sie diese AEs in den Status „ Geschlossen “ verschieben, können Sie die Anzahl der aktiven angreifbaren Elemente und Korrekturaufgaben reduzieren und Assets in Ihrem CMDBabgleichen . Sie können alle Integrationen mit Vulnerability Response Integration with Tenable verwenden, um veraltete VIs automatisch zu schließen.
    Instanz
    Dieser Begriff bezieht sich auf ein eindeutiges Vorkommen Ihrer Now Platform® -Anwendung.
    Integration
    Eine Integration ist ein produktspezifischer Verweis auf eine Integration, z. B. die Tenable.io Assets-Integration oder die Tenable.sc Plugin-Integration. Dies sind die separaten Integrationen, die zu bestimmten Tenable-Produkten in der Tenable Vulnerability-Integration in Ihrer Instanz gehören.
    Integrationsinstanz
    Dieser Begriff bezieht sich auf die separaten Tenable-Integrationen, die nach ihren Produkten Tenable.io und Tenable.sc aufgelistet sind.
    Bereitstellung
    Wenn eine Integration mehrere Quellen unterstützt, wird eine einzelne, eindeutige Integration als Bereitstellung Ihrer Integration bezeichnet. Der Begriff wird verwendet, um sich auf die Integrationen und Produkte in Ihrer Umgebung zu beziehen. Beispielsweise können Sie mehrere Bereitstellungen verschiedener Integrationen der Produkte Tenable.io und Tenable.sc in Ihrer Umgebung haben.

    Die Integrationen Tenable.io und Tenable.sc umfassen auch die folgenden wichtigen Funktionen:

    • Ergebnisse der Konfigurationsbewertung, d. h. Testergebnisse zusammen mit Richtlinien, Konfigurationstests (Steuerungen) und Bezugsvermerke mit maßgeblichen Quellen, können mit dem Produkt Tenable.ioConfiguration Compliance in die Anwendung [] importiert werden. Weitere Informationen zur Funktionsweise dieser Integration mit der Anwendung Configuration Compliance ] finden Sie unter Tenable.io Integrationen mit den Anwendungen Vulnerability Response und Configuration Compliance . und Configuration Compliance erkunden.
    • Erstellen Sie ab Version 2.1 von Tenable Vulnerability Integrationeindeutige Konfigurationselemente (CIs), die verschiedene Netzwerkpartitionsbezeichner für Assets in Ihrer Umgebung enthalten, die dieselbe IP-Adresse verwenden. Identifizieren Sie die unterschiedlichen Assets in Ihrer Umgebung, und aktualisieren Sie die CIs für Ihr vorhandenes erkanntes Element, angreifbares Element und Ihre Erkennungsdatensätze, um weitere Details zu Ihren Schwachstellen zu erhalten.
    • Sie können planen, wann die Aufträge für alle Tenable.io - und Tenable.sc -Integrationen ausgeführt werden sollen. Sie können geplante Aufgaben bei Bedarf auch manuell ausführen.
    • Für Asset-Importe mit Tenable.iokönnen Sie Asset-Tags aktivieren, um die in Ihrem CMDB in der Tenable.io -Umgebung aufgeführten Assets zu organisieren und nachzuverfolgen.
    • Mit den Integrationen Tenable.io und Tenable.sc können Sie CI-Suchregeln konfigurieren, um zu definieren, wie Asset-Daten aus Drittanbieterquellen zum Identifizieren von Konfigurationselementen (Configuration Items, CIs) in Now Platform CMDBverwendet werden.
    • Mit den Integrationen Tenable.io und Tenable.sc können Sie Importfilter für den Import von Schwachstellen festlegen, sodass Sie nur die gewünschten Schwachstellen aus Tenable importieren. Für Tenable.iohaben Sie die Möglichkeit, mit dem Import von Schwachstellen behobene Schwachstellen aus Tenable zu importieren.
    • Für Tenable.schaben Sie die Möglichkeit, erneute Scans bei Bedarf direkt aus Datensätzen für angreifbare Elemente, Korrekturaufgaben und Drittparteieinträgen in Ihrer Instanz Now Platform zu initiieren. Wenn AEs auf „ Geschlossen“/ „Korrigiert“ gesetzt wurden, aber in Ihrer Instanz noch nicht aktualisiert wurden, können Sie überprüfen, ob Schwachstellen in bestimmten Konfigurationselementen behoben wurden. Weitere Informationen finden Sie unter Initiieren Sie einen erneuten Scan für die Tenable.sc -Integration.

    In den folgenden Abschnitten werden weitere Details zu Tenable-Integrationen aufgeführt.

    Erforderliche Now Platform-Rollen

    Die Integrationsaufgaben erfordern die folgenden Rollen in Ihrer Instanz Now Platform.

    Administrator
    Der Systemadministrator verwendet den Setup-Assistenten, um die Anwendung Vulnerability Response Integration with Tenable zu installieren. Wenn nicht zugewiesen, weist der Administrator den Schwachstellenadministrator (sn_vul.vulnerability_admin) und andere Rollen im Setup-Assistenten zu.
    sn_vul.vulnerability_admin
    Nach der Zuweisung schließt der Schwachstellenadministrator die Konfiguration der Tenable-Integrationen im Setup-Assistenten ab. Diese Rolle hat vollständigen Zugriff auf die Anwendung Vulnerability Response (VR) und ihre Datensätze. Der Schwachstellenadministrator konfiguriert alle VR-Anwendungen und -Regeln für installierte Drittanbieterintegrationen.
    sn_vul_tenable.configure_integration
    Diese Rolle enthält die granulare Rolle „sn_vul_tenable.read_integration“. Benutzer mit dieser Rolle können die Anwendung Vulnerability Response Integration with Tenable konfigurieren.
    sn_vul_tenable.read_integration
    Benutzer mit diesen Rollen können Datensätze der Anwendung Vulnerability Response Integration with Tenable anzeigen (lesen), aber nicht bearbeiten.
    Vulnerability Response-Gruppe
    Standardmäßig ist die Gruppe Vulnerability Response im Setup-Assistenten verfügbar. Benutzer, die der Vulnerability Response-Gruppe zugewiesen sind, erben automatisch die Rollen sn_vul.read_all und sn_vul.remediation_owner.

    Angreifbare Elemente

    Angreifbare Elemente werden gemäß Gruppenregeln in Korrekturaufgaben gruppiert und basierend auf Ihren Zuweisungsregeln zur Korrektur zugewiesen. Weitere Informationen finden Sie unter Vulnerability Response Übersicht über Korrekturaufgaben und Aufgabenregeln und Vulnerability Response Übersicht über Zuweisungsregeln.

    Konfigurationselement-Suchregeln (CI).

    CI-Suchregeln identifizieren CIs und bestimmen, wann sie einem angreifbaren Element hinzugefügt werden sollen. Weitere Informationen zur Funktionsweise von CI-Suchregeln finden Sie unter CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Schwachstellenintegrationen von Drittparteien.
    Hinweis:
    Regeln können nach dem Entfernen nicht wiederhergestellt werden. Anstatt vorhandene Regeln zu entfernen, deaktivieren Sie sie beim Erstellen neuer Regeln.
    Die folgenden Suchregeln Tenable.io werden mit dem Basissystem geliefert.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • HostName
    • DNS
    • IP
    Die folgenden Suchregeln Tenable.sc werden mit dem Basissystem geliefert.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • IP
    Hinweis:
    Mehrere Werte für ip_address, mac_address, fqdns und network_interfaces werden für ein Asset verwendet. Alle Werte werden in den CI-Suchregeln für den Abgleich berücksichtigt. Alle Werte werden verwendet, um mehrere Netzwerkadapter mit IRE zu erstellen.

    Weitere Informationen zum Konfigurieren der Kategorisierung nicht abgeglichener Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets wird aktualisiert.

    Neue Eigenschaften zum Ignorieren von IP-Adressen

    In Tenable.iosind zwei Eigenschaften verfügbar, wenn Sie mehrere IP-Adressen oder mehrere MAC-Adressen als Teil Ihrer CI-Suchregeln ignorieren möchten:
    ignoreIPAddress
    Eine Liste der IP-Adressen, die für die CI-Suche und CI-Erstellung ignoriert werden sollen.
    ignoreMacAddress
    Eine Liste der MAC-Adressen, die für die CI-Suche oder CI-Erstellung ignoriert werden sollen.

    Erkannte Elemente

    Dieses Modul listet Konfigurationselemente auf, die während des Imports aus den Integrationen von Tenable Vulnerable Items und Tenable Asset erkannt wurden.
    Hinweis:
    Der Standardfilter für diese Liste ist auf Nicht abgeglichenfestgelegt. Sie können alle erkannten Elemente aus einem Import anzeigen, indem Sie den Filter entfernen.
    Weitere Informationen zum Modul „Erkannte Elemente“ finden Sie unter Erkannte Elemente.

    Asset-Tags

    Asset-Tags (auch als Host-Tags bezeichnet) werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie können Ihren Assets Tags zuweisen. Beim Starten von Scans können Sie dann Tags auswählen, die den zu scannenden Assets zugeordnet sind. Mit dem Modul „Asset-Tags“ können Sie Asset-Tag-Daten aus Tenable.io nach Zeitplan in Ihre Instanz herunterladen. Asset-Daten, die Asset-Tags enthalten, werden aus Tenable.io abgerufen und mithilfe der Transformationszuordnungen der Tenable.io Asset Transform- Integration transformiert.

    Alle Asset-Tags werden als Teil der Tenable.io Asset-Integration importiert. Asset-Tags werden im Allgemeinen zum Filtern in Vulnerability Response Zuweisungsregeln und Korrekturaufgabenregeln verwendet. Die Tags werden im Formular „Erkanntes Element“ angezeigt.
    Hinweis:
    Führen Sie die Tenable.io Asset-Integration aus, bevor Sie Vulnerability Response Zuweisungsregeln oder Regeln für Korrekturaufgaben in der Anwendung Vulnerability Response erstellen, damit alle Tags für diese Regeln verfügbar sind, bevor angreifbare Elemente importiert und gruppiert werden. Beachten Sie auch die folgenden Punkte zu Tags:
    • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn Sie beispielsweise ein Tag erstellen, um Assets an Ihrem Standort San Diego zu beschreiben, und Sie das San Diego -Tag erstellen, können Sie nicht auch ein SAN DIEGO -Tag erstellen und in der Asset-Tag-Tabelle speichern. San Diego und SAN DIEGO werden vom System als dasselbe Asset-Tag betrachtet. Welches Tag zuerst importiert wird, ist das Tag, das in Zukunft gespeichert und erkannt wird.
    • Die Verwendung von Asset-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Asset-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Asset-Tags werden von der globalen Systemeigenschaft sn_vul.import_asset_tags gesteuert. Diese Eigenschaft ist standardmäßig auf „ true “ festgelegt. Durch das Deaktivieren von Tags werden sie in allen Now Platform® Instanzen deaktiviert.

    Datenabruffilter

    Mit den Einstellungen für den Datenabruf können Sie insbesondere den Typ und den Umfang der Daten bestimmen, die Sie aus der Tenable-Anwendung in Ihre Now Platform® -Instanz importieren möchten. Eine Liste der am häufigsten verwendeten Einstellungen finden Sie unter Datenabrufeinstellungen für die Tenable Vulnerability-Integration.

    Schwachstellenprioritätsbewertung (VPR)

    Die Schwachstellenprioritätsbewertung (VPR) ist ein Attribut aus dem Tenable-Produkt, das importiert und mit einem neuen Standardrisikorechner in Vulnerability Responseverwendet wird. Die Tenable Risk-Regel wird mit der Anwendung Vulnerability Response Integration with Tenable als Teil des Standardrisikorechners in den Schwachstellenrechnern von Vulnerability Responseinstalliert.

    Diese Risikoregel ist standardmäßig deaktiviert.

    Durch Aktivieren der Tenable-Risikorechnerregel werden die importierten VPR-Werte zur Berechnung der Risikopunktzahl für angreifbare Elemente verwendet. Die Standardgewichtungsverteilung für diesen Risikorechner: VPR = 70 %, Asset = 15 % und Geschäftsrelevanz = 15 %. Die Aktivierung dieser Tenable Risk Calculator-Regel kann Auswirkungen auf die Leistung der Datenerfassung haben. Weitere Informationen zu Vulnerability Response -Rechnern und der Tenable-Risiko-Rechnerregel finden Sie unter Vulnerability Response -Rechner und Schwachstellen-Rechnerregeln.

    Installation und Konfiguration

    Nachdem Sie Vulnerability Response Integration with Tenable aus dem ServiceNow® Storeheruntergeladen haben, werden Installation und Konfiguration durch den Setup-Assistenten in Vulnerability Responseunterstützt. Weitere Informationen finden Sie unter Vulnerability Response mit dem Setup-Assistenten konfigurieren.