Konfigurieren Sie die Eigenschaften Veracode Vulnerability Integration

Xanadu-Sicherheit Management

Release

xanadu

ft:locale

de-DE

ft:publication_title

Xanadu-Sicherheit Management

ft:clusterId

security

bundleId

security

workflow

Technology

Konfigurieren Sie die Eigenschaften Veracode Vulnerability Integration

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

4 Minuten Lesedauer

Bevor Sie die Integration in Ihrer Instanz von ausführen, müssen die Installations- und Konfigurationsschritte abgeschlossen sein, damit das Produkt Veracode ordnungsgemäß in Application Vulnerability Responseintegriert werden kann. Diese Anwendung ist als separates Abonnement verfügbar.

Vorbereitungen

Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setupaufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.

Hinweis:

Dieser Prozess gilt nur für Anwendungen, die in Produktionsinstanzen heruntergeladen werden. Wenn Sie Anwendungen in Nicht-Produktions- oder Entwicklungsinstanzen herunterladen, müssen keine Berechtigungen erworben werden. Fahren Sie mit fort.


Setupaufgaben	Beschreibung
Stellen Sie sicher, dass die Anwendung Vulnerability Response installiert und aktiviert ist.	Um sicherzustellen, dass diese Anwendung aktiviert ist, navigieren Sie zu Abonnement-Management > Abonnements in Ihrer Instanz zur Verfügung. In der Liste werden die Abonnements angezeigt, die Ihr Unternehmen erworben hat. Wenn die Anwendung nicht installiert und aktiviert ist, lesen Sie Vulnerability Response installieren.
Stellen Sie sicher, dass die Anwendung Vulnerability Response Integration with Veracode installiert und aktiviert ist.	Um sicherzustellen, dass diese Anwendung aktiviert ist, navigieren Sie zu Abonnement-Management > Abonnements in Ihrer Instanz zur Verfügung. In der Liste werden die Abonnements angezeigt, die Ihr Unternehmen erworben hat. Wenn die Anwendung nicht installiert und aktiviert ist, lesen Sie ServiceNow Vulnerability Response Integration mit Veracodeinstallieren.
Vergewissern Sie sich, dass Sie über die erforderlichen Rollen ServiceNow für Ihre Instanz von verfügen.	Die folgenden Rollen sind für die Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich: Wenn sie noch nicht zugewiesen sind, installiert der Systemadministrator [admin] die App und weist Benutzer der Benutzergruppe „App-Sec Manager“ zu. Der App-Sec-Manager überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.
Halten Sie für die Integration der Anwendungsschwachstelle Veracode Ihre API-ID und Ihren API-Schlüssel bereit.	Wenden Sie sich an Veracode, um dieAPI-ID und den API-Schlüsselzu erhalten. Weitere Informationen finden Sie unter Vorbereitung auf das Veracode Vulnerability Integration. Wenn Sie Veracode Vulnerability Integrationverwenden, sind die Penetrationsbewertungstests in Veracode Vulnerability Integration ab Version 4.0 manuelle Ergebnisse von Veracode. Diese Ergebnisse sind nicht mit Bewertungsanforderungen für Penetrationstests verknüpft, die Sie in Application Vulnerability Responsekonfigurieren. Weitere Informationen zu Penetrationstest-Anforderungen in Application Vulnerability Responsefinden Sie unter Konfigurieren Sie Penetrationstests.

Erforderliche Rolle: Anwendergruppe „App-Sec-Manager“.

Prozedur

Navigieren zu Alle > Veracode Vulnerability Integration > Konfigurationan.
Füllen Sie die Felder API-ID und API-Schlüssel aus.

Wählen Sie Ihre Testergebnisse aus.

Option	Bezeichnung
Version 4.0:	Wählen Sie die Datentypen DAST oder SAST aus, die in den Import aufgenommen werden sollen. Hinweis: Sie können das eine oder das andere oder beides auswählen, Sie müssen jedoch mindestens eins auswählen. Wählen Sie SCA aus, um SCA-Schwachstellen (Software Composition Analysis) zu importieren. Wählen Sie Manuelle einbeziehen aus, um die Ergebnisse für manuelle Penetrationstests aus Veracodezu importieren. Für diese Ergebnisse werden AVITs erstellt.
Version 3.0	Wählen Sie die Datentypen DAST oder SAST aus, die in den Import aufgenommen werden sollen. Hinweis: Sie können das eine oder das andere oder beides auswählen, Sie müssen jedoch mindestens eins auswählen.
Version 1.0:	Standardmäßig werden die Testergebnisse für die dynamische Anwendungssicherheit ausgewählt.

Fügen Sie die Veracode Schweregradstufe hinzu, um Ihre importierten Daten zu filtern.
Dieser Wert wird aus Veracodeimportiert. Sie können dem Feld mehrere Werte hinzufügen. Wenn ausgefüllt, sammelt der Import nur Daten, die den von Ihnen hinzugefügten Schweregradstufen entsprechen.

Speichern und validieren Sie Ihre Auswahl.

Option	Bezeichnung
Version 3.0:	Klicken Sie auf Anmeldeinformationen speichern und testen. Hinweis: Die Konfiguration wurde erfolgreich abgeschlossen, es sei denn, es wird eine Fehlermeldung angezeigt. Wenn während der Konfiguration eine Fehlermeldung angezeigt wird, geben Sie Ihre Daten erneut ein.
Version 1.0:	Klicken Sie auf Speichern. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken. Hinweis: Die Konfiguration wurde erfolgreich abgeschlossen, es sei denn, es wird eine Fehlermeldung angezeigt. Wenn während der Konfiguration eine Fehlermeldung angezeigt wird, geben Sie Ihre Daten erneut ein.

Option

Bezeichnung

Version 3.0:

Klicken Sie auf Anmeldeinformationen speichern und testen.

Hinweis:

Die Konfiguration wurde erfolgreich abgeschlossen, es sei denn, es wird eine Fehlermeldung angezeigt. Wenn während der Konfiguration eine Fehlermeldung angezeigt wird, geben Sie Ihre Daten erneut ein.

Version 1.0:

Klicken Sie auf Speichern.

Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken.

Hinweis:

Wählen Sie aus, wie Sie Ausnahmen und falsch positive Meldungen für AVITs beim Import verwalten möchten.

Optionen zur Verwaltung von AVITs beim Import mit den Workflows ServiceNow Ausnahmeverwaltung und Falsch positiv sind standardmäßig aktiviert. Die Workflows werden basierend darauf ausgelöst, wie die Quellstatus für die AVITs in Ihrer Instanz zugeordnet sind. Ein Beispiel für einen Anwendungsfall finden Sie unter Verwalten der Statuszuordnung für Zurückstellungen und falsch positive Meldungen in Application Vulnerability Response.


Aktiviert	Verwalten Sie Ausnahmen in ServiceNow Lassen Sie diese Option aktiviert, wenn Sie importierte AVITs, die für den Status „Zurückgestellt“ markiert sind, selektieren möchten. AVITs mit Quellstatus, die in Ihrer Instanz normalerweise einem Status „Zurückgestellt“ zugeordnet sind, werden stattdessen „ Offen“ zugeordnet. Sie fordern eine Ausnahme aus dem AVI-Datensatz an. Verwalten Sie falsch positive Meldungen in ServiceNow Lassen Sie diese Option aktiviert, wenn Sie importierte AVITs mit Quellstatus, die als Falsch positiv oder Potenziell falsch positivmarkiert sind, selektieren möchten. AVITs mit diesen Quellstatus, die in Ihrer Instanz normalerweise einem Status Geschlossen zugeordnet sind, werden Offenzugeordnet. Sie fordern ein Falsch positives Ergebnis aus dem AVIT-Datensatz an.
Deaktiviert	Deaktivieren Sie eines oder beide Kontrollkästchen, wenn Sie die von Ihrem Scanner importierten Quellstatus beibehalten möchten. Diese AVITs werden beim Import den Status „ Ziel “ und „Zielgrund“ zugeordnet, werden jedoch nicht von den Ausnahme- und falsch positiven Workflows selektiert. Die Aktionen „ Ausnahme anfordern “ und „ Falsch positiv “ sind in AVITs nicht sichtbar.

Aktiviert

Verwalten Sie Ausnahmen in ServiceNow

Lassen Sie diese Option aktiviert, wenn Sie importierte AVITs, die für den Status „Zurückgestellt“ markiert sind, selektieren möchten.

AVITs mit Quellstatus, die in Ihrer Instanz normalerweise einem Status „Zurückgestellt“ zugeordnet sind, werden stattdessen „ Offen“ zugeordnet.

Sie fordern eine Ausnahme aus dem AVI-Datensatz an.

Verwalten Sie falsch positive Meldungen in ServiceNow

Lassen Sie diese Option aktiviert, wenn Sie importierte AVITs mit Quellstatus, die als Falsch positiv oder Potenziell falsch positivmarkiert sind, selektieren möchten.

AVITs mit diesen Quellstatus, die in Ihrer Instanz normalerweise einem Status Geschlossen zugeordnet sind, werden Offenzugeordnet.

Sie fordern ein Falsch positives Ergebnis aus dem AVIT-Datensatz an.

Deaktiviert

Deaktivieren Sie eines oder beide Kontrollkästchen, wenn Sie die von Ihrem Scanner importierten Quellstatus beibehalten möchten.

Diese AVITs werden beim Import den Status „ Ziel “ und „Zielgrund“ zugeordnet, werden jedoch nicht von den Ausnahme- und falsch positiven Workflows selektiert. Die Aktionen „ Ausnahme anfordern “ und „ Falsch positiv “ sind in AVITs nicht sichtbar.

Ab v4.3 können Sie Einstellungen für die folgenden Parameter auswählen oder überprüfen.

Parameter	Beschreibung
API-Region	Wählen Sie eine Region aus der Liste aus.
API-Zeitüberschreitung	Der Standardwert ist 30.000. Unter Umständen möchten Sie für dieses Feld die Standardeinstellung beibehalten.
SBOM-Schwachstellen einbeziehen	Wählen Sie diese Option aus, um alle Schwachstellen einzubeziehen, die von den Veracode -Integrationen in die von Ihnen hochgeladenen Veracode SBOM -Dateien aufgenommen werden. Lassen Sie das Feld leer, damit Schwachstellen Veracode ] nicht in den Dateien Veracode SBOM analysiert werden.

Parameter

Beschreibung

API-Region

Wählen Sie eine Region aus der Liste aus.

API-Zeitüberschreitung

Der Standardwert ist 30.000. Unter Umständen möchten Sie für dieses Feld die Standardeinstellung beibehalten.

SBOM-Schwachstellen einbeziehen

Wählen Sie diese Option aus, um alle Schwachstellen einzubeziehen, die von den Veracode -Integrationen in die von Ihnen hochgeladenen Veracode SBOM -Dateien aufgenommen werden.

Lassen Sie das Feld leer, damit Schwachstellen Veracode ] nicht in den Dateien Veracode SBOM analysiert werden.

Wählen Sie Anmeldeinformationen speichern und testen aus.

Nächste Maßnahme

Wenn Ihre Umgebung domänengetrennte Importe erfordert, lesen Sie unter Erstellen Sie domänengetrennte Importe für eine Integrationnach.

Weitere Anweisungen zur Erstinstallation finden Sie unter Application Vulnerability Response konfigurieren.

Änderungen nach der Erstinstallation finden Sie unter Veracode Vulnerability Integration Änderungen und Aktivitäten.