Importieren Sie Änderungen für die Tenable Vulnerability-Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Konfigurieren Sie optionale Änderungen, und optimieren Sie einige der Daten speziell für die Importintegration für Tenable-Schwachstellen in der Tenable-Schwachstellen-Integration ServiceNow®.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.vulnerability_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Diese Gruppe von Aufgaben erfordert Programmierkenntnisse und fortgeschrittene Kenntnisse über Now Platform.

    Führen Sie diese Schritte aus, um domänengetrennte Importe für die Tenable Vulnerabilities-Integrationen zu erstellen. Das folgende Beispiel bezieht sich auf die Integration „Tenable.io Open Vulnerabilities“, der Inhalt gilt jedoch auch für die anderen Tenable-Integrationen.

    Prozedur

    1. Erstellen Sie eine Domäne.
    2. Erstellen Sie für jede von Ihnen erstellte Domäne einen Anwender, und weisen Sie ihn dieser Domäne zu.

      Stellen Sie sich diesen Benutzer als run_as-Platzhalter für die Domäne in Tenable.io vor.

    3. Integration offener Schwachstellen.
      Der -Benutzer entspricht dem VR.System-Benutzer in der globalen Domäne und muss die folgenden Rollen aufweisen: sn_vul.tenable_configure_integration, import_admin und sn_vul.vulnerability_write. Dieser Anwender benötigt Zugriff auf Datenquellen, Transformationszuordnungen und Schwachstellendaten.
      Hinweis:
      Betrachten Sie diesen Anwender als spezifisch für diese Rolle. Der Anwender darf keinen anderen Zweck haben
    4. Erstellen Sie in jeder Domäne eine geplante Aufgabe, indem Sie den Prozessor für die geplante Schwachstellen-Datenquelle kopieren, den Sie unter finden Systemdefinition > Geplante Aufgabenan.
    5. Fügen Sie die Domäne an den Namen an, um die geplante Aufgabe zu identifizieren.
    6. Ändern Sie den Benutzer run_as in den Benutzer, den Sie im vorherigen Schritt erstellt haben.
      Hinweis:
      Bearbeiten Sie die folgende UI-Aktion, damit die Integration in der Benutzerdomäne run_as ausgeführt wird.
      Bearbeiten Sie die UI-Aktion
    7. Bearbeiten Sie die UI-Aktion „Jetzt ausführen“ in der Tenable.io Open Vulnerabilities-Integration, um diesen Codeblock am Anfang der Datei hinzuzufügen.
      //sys id below is of Tenable.io integration if(current.sys_id == "4df3f18d53730010d7f1ddeeff7b12a9"){ current.run_as = gs.getUserID (); }
      Hinweis:
      Bearbeiten Sie die folgenden Skripteinbindungen, damit die Integration in der Benutzerdomäne „run_as“ ausgeführt wird.
    8. Bearbeiten Sie die Skripteinbindungsmethode addIntegrationRun für VulnerabilityIntegrationUtils, um den hervorgehobenen Code hinzuzufügen.
      Fügen Sie den hervorgehobenen Code hinzu
    9. Bearbeiten Sie die Skripteinbindungsmethode addProcessRun für VulnerabilityIntegrationUtils, um den hervorgehobenen Code hinzuzufügen.
      Fügen Sie den hervorgehobenen Code hinzu
    10. Bearbeiten Sie die DataSourceVulnReportRefreshProcessor-Skripteinbindungsmethode _processFromDataSourceGroups, um diesen ursprünglichen Code zu ändern: Ursprünglicher _processFromDataSourcesGroups-Code in Bearbeiteter _processFromDataSourcesGroups-Code.
    11. Bearbeiten Sie die Skripteinbindungsmethode VulnerabilityDSAttachmentManager, queueItem, um die folgenden hervorgehobenen Codeblöcke hinzuzufügen: queueItem, _getNext, _processQueueEntry.

      Sie sind bereit für Importe der domänengetrennten Hosterkennung.

      Rechner vor dem Import deaktivieren

      Befolgen Sie diese Schritte, um den Standardrechner zu deaktivieren, wenn er nicht verwendet wird. Wenn Sie keine Schwachstellen-Rechner verwenden, deaktivieren Sie am besten die Standard-Rechner zusätzlich zu den anderen, die Sie definiert haben. Sicherheitsrisiko-Rechner werden jedes Mal ausgeführt, wenn auf den Datensatz eines angreifbaren Elements zugegriffen wird, und können sich auf die Leistung der Instanz auswirken.

      Erforderliche Rolle: sn_vul.vulnerability_admin.

    12. Navigieren zu Alle > Schwachstelle > Administration > Schwachstellen-Rechneran.
    13. Öffnen Sie die Gruppe „Schwachstellenauswirkung“.
    14. Öffnen Sie den Rechner für punktzahl- und servicebasierte Auswirkung.
    15. Deaktivieren Sie das Feld Aktiv, um den Rechner zu deaktivieren.
    16. Klicken Sie auf Aktualisieren.

      Sie haben den Standardrechner deaktiviert.

      Deaktivieren Sie auf Benachrichtigungen basierende Business-Regeln vor dem ersten Import

      Befolgen Sie diese Schritte, um Benachrichtigungsbezogene Business-Regeln vor dem ersten Datensatzimport zu deaktivieren. Während des ersten Imports von Datensätzen können bestimmte benachrichtigungsbezogene Geschäftsregeln viele Benachrichtigungen generieren, was sich auf die Leistung auswirkt. Diese Business-Regeln müssen geändert werden, um sie während des Imports zu deaktivieren.

      Erforderliche Rolle ist sn_vul.vulnerability_admin.

    17. Navigieren zu Alle > Systemdefinition > Business-Regelnan.
    18. Suchen Sie nach betroffenen CI-Benachrichtigungen.
    19. Öffnen Sie die Geschäftsregel, und fügen Sie die folgende Bedingung ein: current.sys_class_name != “sn_vul_vulnerable_item".
    20. Klicken Sie auf Aktualisieren.
    21. Wiederholen Sie dieses Verfahren für die folgenden Geschäftsregeln:
      • Benachrichtigungen für betroffene Kostenstellen
      • Betroffene Gruppenbenachrichtigungen
      • Benachrichtigungen zum betroffenen Standort
      Hinweis:
      Nach Abschluss des ersten Datensatzimports können Sie diese Business-Regeln erneut aktivieren. Erwägen Sie jedoch, sie deaktiviert zu lassen. Sie können eine große Anzahl von Benachrichtigungen generieren und sich auf die Leistung Ihrer Instanz auswirken.
      Ändern Sie ein anfängliches Startdatum

      Führen Sie diese Schritte aus, um ein anfängliches Startdatum zu ändern. Während der Installation legen Sie mit dem Setup-Assistenten ein anfängliches Startdatum für die Tenable-Integrationen fest. Sie können dieses Startdatum im Setup-Assistenten oder über die primäre Integration zurücksetzen, wie in den folgenden Schritten gezeigt.

    22. Navigieren zu Alle > Vertretbare Schwachstellenintegration > Administration > Integrationenan.
    23. Klicken Sie auf eine beliebige Integration.
    24. Klicken Sie auf Integrationsdetails.
    25. Legen Sie das Feld Startzeit auf einen Wert in der Vergangenheit fest, damit alle seit dieser Zeit gescannten und erkannten Schwachstellen erkannt werden.

      Wenn Sie Tenable mit dem Setup-Assistenten konfiguriert haben, ist das Feld Startzeit vorab ausgefüllt, zunächst bis drei Monate vor dem heutigen Datum und anschließend bis zum heutigen Datum. Hinweis: Erwägen Sie, den Wert auf maximal einen Monat in der Vergangenheit festzulegen. Dadurch wird verhindert, dass große Datenmengen die Tenable-API-Quotenbeschränkungen überschreiten und Ausführungszeitüberschreitungen ausgelöst werden.

    26. Klicken Sie auf Absenden oder Aktualisieren.
    27. Wahlweise: Klicken Sie auf Jetzt ausführen, um die Ausführung sofort zu starten.