Vulnerability Response Erkennung angreifbarer Elemente aus Drittanbieterintegrationen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Zeigen Sie alle Informationen an, die von Drittanbieter-Scans in Ihrer Now Platform® -Instanz erfasst werden. Zeigen Sie die zurückgegebenen Ergebnisse der Scans bei Erkennung und Datensätze für angreifbare Elemente (VI) in Ihrer Instanz an, während diese Ergebnisse auf den Scannern angezeigt werden.

    Übersicht

    Die Anwendung Vulnerability Response unterstützt Integrationen von Drittparteien, die Daten zu angreifbaren Elementen aus Ihrer Unternehmensumgebung abrufen. Detaillierte Daten zu Erkennungen, also einzelne, eindeutige Vorkommen von Schwachstellen, die von den Scannern Ihrer Drittanbieterintegrationen gemeldet werden, werden importiert und sowohl im Erkennungs- als auch im Datensatz für angreifbare Elemente in Ihrer Now Platform-Instanz angezeigt.

    Drittanbieter-Integrationen rufen Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, die von den Scannern gemeldet werden. Erkennungsdaten werden mit angreifbaren Elementen kombiniert, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn keine VI gefunden wird, wird eine neue erstellt. Erkennungen werden nur durch Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden wurden.

    In früheren Versionen von Vulnerability Responsehat die Beziehung zwischen einem CI (Asset) in Ihrer Umgebung und einer importierten Schwachstelle von einem Drittanbieter-Scanner durch Erkennung angreifbarer Elemente ein eindeutiges angreifbares Element in Ihrer Now Platform-Instanz erstellt.

    Die Granularität der ursprünglichen vom Scanner bereitgestellten Daten bleibt erhalten. Bei Erkennungen werden die Erkennungsdaten mit angreifbaren Elementen kombiniert. Wenn während einer Erfassung kein angreifbares Element gefunden wird, wird eine neue AEs erstellt.

    Ab Version 21.0 von Vulnerability Responsewird die Systemeigenschaft sn_vul.show_last_open_detection im Basissystem bereitgestellt. Standardmäßig ist der Wert dieser Eigenschaft auf „false“ festgelegt, und das aktuelle Verhalten der Zusammenfassung der Werte von der ersten Erkennung bis zum VI bleibt unverändert. Wenn sie jedoch auf „true“ festgelegt ist, wird ein AEs automatisch mit der letzten offenen Erkennung nach einer Erfassung aktualisiert. Die Felder wie IP-Adresse, SSL, Port, Protokoll, NetBIOS und Nachweis werden für die VI-Erkennungen aktualisiert. Bei Bedarf können Sie die Erkennungsfelder anpassen, die aktualisiert werden sollen, indem Sie das DetectionBase -Skript ändern.

    Um die Werte für die letzte offene Erkennung anzuzeigen, navigieren Sie in der VI-Formularansicht zur Registerkarte Letzte offene Erkennung. Um alle im vergangenen Jahr geöffneten AEs mit den letzten offenen Erkennungswerten zu aktualisieren, können Sie die regelmäßige Aufgabe Update Last Open Detection Value To VITs bei Bedarf ausführen. Diese regelmäßige Aufgabe wird auch im Basissystem bereitgestellt.

    Hinweis:
    Wenn sich ein Configuration Item (CI) für ein erkanntes Element ändert, werden die entsprechenden Updates auch in den Erkennungen angezeigt. Daher können die Erkennungen von einem VI in einen anderen verschoben werden. Basierend auf dieser Änderung und dem Wert der Eigenschaft sn_vul.show_last_open_detection wird für die Werte der Erkennungen ein Rollup zu den Quell- und Ziel-VIs durchgeführt.

    Unterstützte Versionen von Vulnerability Response

    Weitere Informationen zum Installieren oder Aktualisieren der Anwendung Vulnerability Response finden Sie unter Vulnerability Response installieren.

    Unterstützte Integrationen von Drittparteien

    Für die Erkennung angreifbarer Elemente ist eine unterstützte Drittanbieterintegration mit Ihrer Anwendung Vulnerability Response erforderlich. Die folgenden Drittanbieterintegrationen werden von der Anwendung Vulnerability Response für Erkennungen angreifbarer Elemente unterstützt:
    • Integration der Qualys-Hosterkennung
    • Rapid7-Data Warehouse:
      • Integration von angreifbaren Elementen
      • Integration der Lösung angreifbarer Elemente
    • Rapid7 Integration von angreifbaren Elementen (InsightVM)
      • Insight VM-Integration
      • Integration von angreifbaren Elementen – API
    • Tenable Vulnerability Integration
    • Microsoft Defender Threat and Vulnerability Management

    Diese Drittanbieterintegrationen sind mit einem separaten Abonnement aus dem ServiceNow Storeverfügbar. Weitere Informationen zu diesen Integrationen finden Sie unter Vulnerability Response-Integrationen und Security Operations und ServiceNow Store, um Berechtigungen zu erhalten.

    Informationen zum Überprüfen, ob Ihr Drittanbieter-Scanner für den Import konfiguriert ist, finden Sie unter Installieren und Konfigurieren der Anwendung Rapid7 Integration for Security Operations und Qualys Vulnerability Integration installieren.

    Wichtige Begriffe für Erkennungen angreifbarer Elemente

    Schwachstelle
    Daten über Schwachstellen in Software, Betriebssystemen und Assets, die aus internen und externen Quellen importiert werden. Diese Daten werden importiert und mit vorhandenen Assets (Konfigurationselemente, CIs) verglichen, die in der CMDB aufgeführt sind.
    Angreifbares Element
    Ein angreifbares Element wird erstellt oder aktualisiert, wenn eine importierte Schwachstelle mit einem CI in der CMDB übereinstimmt.
    Erkennung
    Ein einzelnes, eindeutiges Vorkommen einer Schwachstelle, wie von einem Scanner gemeldet, der in der Now Platform -Umgebung als Erkennung angreifbarer Elemente bezeichnet wird. Eine Erkennung enthält angereicherte Daten zu einer Schwachstelle und den entsprechenden angreifbaren Elementen. Diese Daten werden im Erkennungsdatensatz (VID#) und in der Listenansicht der angreifbaren Elemente angezeigt, die die folgenden Details enthält:
    • Zuerst gefunden (Daten)
    • Zuletzt gefunden (Datum)
    • DNS-Name
    • NET-BIOS-Name
    • IP-Adresse
    • Port
    • Protokoll
    • Nachweis
    • SSL
    • Anzahl Ermittlungen
    Hinweis:
    Das Hinzufügen einer Geschäftsregel zur Erkennungstabelle wirkt sich auf die Leistung der Erfassung aus.
    Erkennungsschlüssel
    Eine Hash-Kombination von Feldern, die eine Möglichkeit bietet, eine Erkennung zu identifizieren und an ein angreifbares Element zu binden. Erkennungsschlüssel sind integrationsspezifisch.
    Tabelle : 1. Erkennungsschlüsselkonfigurationen
    Scanner Schwachstelle Port Protokoll Asset-ID Nachweis NIC
    Qualys-IDs Ja Ja Ja Ja Nein NA
    Tenable Ja Ja Ja Ja Nein NA
    Rapid7 Ja Ja Ja Ja Ja (Groß-/Kleinschreibung wird nicht beachtet) Ja
    Hinweis:
    • Wenn der Erkennungsschlüssel nicht angegeben ist oder für Versionen vor Vulnerability Response 14.0, ist der Erkennungsschlüssel eine Kombination aus Schwachstelleneintrag, Port, Protokoll, Asset-ID und Nachweis.
    • Ab v19.0 von Vulnerability Responsewird eine neue Erkennungsschlüssel-NIC für Rapid7 InsightVMhinzugefügt, die standardmäßig aktiviert ist. Vorhandene Erkennungen ohne NIC werden mit der ersten eingehenden NIC in der Nutzlast von Rapid7aktualisiert. Der Erkennungsschlüssel wird bei der Erkennung einschließlich der NIC neu berechnet und ausgefüllt. Neue Erkennungen werden erstellt, wenn ähnliche Erkennungen mit unterschiedlichen NIC-Werten erkannt werden. Für diese Daten wird kein Rollup in der Tabelle „Angreifbares Element“ durchgeführt. Der NIC-Wert wird in einer neuen Spalte in der Tabelle „sn_vul_detection_key_config“ und „sn_vul_detection“ gespeichert.
    De dup
    Der von der Anwendung Vulnerability Response verwendete Prozess zum Reduzieren einzelner Erkennungen in einen einzigen VI, wenn die Daten bestimmte hartcodierte Kriterien erfüllen.
    Externe VI-ID
    Der im Feld Externe ID der VI-Tabelle gespeicherte Wert. Dieser Wert ist ein Hash, der sich aus der Kombination von Schlüsseln innerhalb eines VI zusammensetzt und darstellt, was ihn in der Anwendung eindeutig macht. Sie besteht aus einem CI und einem angreifbaren Eintrag.

    Öffnen Sie aufgelöste angreifbare Elemente erneut

    Angreifbare Elemente, die in Ihrer Instanz Now Platform auf Gelöst gesetzt wurden, aber nicht durch die nachfolgenden Integrationsläufe auf Geschlossen/ Behoben gesetzt wurden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Geschlossene AEs mit dem Substatus „Korrigiert“ oder „Veraltet“ werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die AEs mit der neuen Schwachstelle abgeglichen werden können.

    Gemäß Skripteinbindung DetectionBase, Methode _shouldReOpenVI()wird die VIT, wenn sie zuvor mit dem SubstatusFixed“, „ Stale“ oder „ CI Decommissioned“ (CI außer Betrieb genommen) geschlossen wurde, erneut geöffnet, und die Erkennung wird der vorhandenen VIT zugeordnet.

    Angenommen, das Abschlussdatum einer VIT liegt nach dem Datum „last_found“ einer Erkennung. Sie würden erwarten, dass diese VIT-Datensätze geschlossen bleiben. Wenn jedoch eine zuvor geschlossene VIT erneut geöffnet wird, bedeutet dies, dass die VIT durch eine frühere Erkennung geschlossen wurde und die Schwachstelle bei einem späteren Scan erneut gefunden wurde. Wenn eine neue Erkennung gefunden wird, die der geschlossenen VIT entspricht, die dieselbe Schwachstelle im Konfigurationselement der VIT aufweist, wird die VIT erneut geöffnet.

    Für Erkennungen von Rapid7 ist jetzt auf der Rapid7-Konfigurationsseite in Ihrer Instanz eine Option verfügbar, um aufgelöste AEs nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden AEs, die auf „Gelöst “ gesetzt sind, aber dann nicht durch nachfolgende Scans in „ Geschlossen/Korrigiert “ geändert wurden, nach der von Ihnen eingegebenen Anzahl von Tagen wieder in „ Offen “ zurückgesetzt.

    Wenn der Scanner bei Erkennungen von Qualys weiterhin AEs findet, die auf „ Gelöst “ gesetzt wurden, dann aber durch nachfolgende Scans nicht in „ Geschlossen“/ „Korrigiert“ geändert wurden, werden diese AEs zurück in den Status „ Offen “ verschoben, wenn das Datum des letzten Funds nach dem Datum „Gelöst“ liegt.

    Zeigen Sie Erkennungsdaten an

    Sie zeigen die Daten, die aus Erkennungen angreifbarer Elemente importiert wurden, im VI-Datensatz an. Weitere Informationen finden Sie unter Zeigen Sie Vulnerability Response Daten zur Erkennung angreifbarer Elemente an und Überprüfen Sie Vulnerability Response Daten zur Erkennung angreifbarer Elemente in Datensätzen der Integrationsausführung (VINTRUN)..