Informationen zur Schwachstellenintegration von Microsoft Threat and Vulnerability Management

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 8 Minuten Lesedauer

    • Die Vulnerability Response -Integration mit Microsoft Threat and Vulnerability Management (MS TVM) verwendet aus MS TVM importierte Daten, um Sie bei der Priorisierung und Behebung von Schwachstellen für Ihre Assets zu unterstützen. Die Anwendung ist mit einem separaten Abonnement aus dem ServiceNow Storeverfügbar.

    Sie können die MS TVM-Schwachstellenintegration verwenden, um Scannerdaten von Drittanbietern zu Ihren Assets und Schwachstellen zu importieren. Anschließend können Sie in den Dashboards Vulnerability Response Berichte zu Schwachstellen und angreifbaren Elementen anzeigen.

    MS TVM-Integrations-Workflow, der die Installation und Konfiguration der Anwendung, das Anzeigen der erfassten Daten in Ihrer Now Platform-Instanz und das automatische Priorisieren und Beheben von Schwachstellen für Ihre Assets zeigt.

    Verfügbare Versionen

    Release-Version Versionsinformationen

    Vulnerability Response Integration mit MS TVM v2.2

    Weitere Informationen zu veröffentlichten Versionen der Anwendung Vulnerability Response, zur Kompatibilität und zu Schemaänderungen finden Sie im Artikel Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen [KB0856498] in der HI Knowledge Base.

    Domain Separation und MS TVM

    Importieren Sie Daten einer Schwachstellenintegration in eine angegebene Domäne, indem Sie in dieser Domäne einen Benutzer zuweisen, der die Integrationen ausführen soll. Informationen zum Erstellen von domänengetrennten Importen für die MS TVM-Schwachstellenintegration finden Sie unter Erstellen Sie domänengetrennte Importe für eine Integration.

    Begriffe und wichtige Funktionen der Integrationen

    Angreifbare Elemente und Schwachstellen
    Ein angreifbares Element wird in Ihrer Instanz Now Platform erstellt, wenn:
    • Eine importierte Schwachstelle aus einem Drittanbieterscanner wird mit einem vorhandenen Asset (Konfigurationselement) in Ihrem CMDBabgeglichen. Das MS TVM-Produkt bezeichnet diese Übereinstimmungen als Schwachstellen.
    • Eine importierte Schwachstelle aus einem Drittanbieterscanner wird keinem vorhandenen Asset in Ihrem CMDBzugeordnet . In diesem Fall wird auch ein nicht abgeglichenes Configuration Item (CI) mit einem angreifbaren Element erstellt.

      Verwenden Sie die Engine „Identifizierung und Abgleich“ (Identification and Reconciliation Engine, IRE), um CIs in zwei neuen Klassen zu erstellen, wenn ein vorhandenes CI keinem Host zugeordnet werden kann. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter CIs für Vulnerability Response werden mit der Engine „Identification and Reconciliation“ erstellt.

    Schwachstelleneinträge von Drittparteien
    Einträge für Schwachstellen von Drittparteien werden aus Scannern von Drittparteien wie MS TVM importiert und in der Tabelle „Schwachstelleneinträge von Drittparteien“ in Ihrer Instanz Now Platform aufgeführt. Außerdem werden Einträge in die National Vulnerability Database (CVE) aus MS TVM importiert. Die Exploit-Informationen, die diesen beiden Arten von Einträgen zugeordnet sind, stammen aus MS TVM. Diese Exploit-Informationen können für die Risikoberechnung verwendet werden.
    Hinweis:
    Eine Drittpartei-Schwachstelle wird nur für Schwachstellen abgerufen, denen kein CVE zugewiesen ist. MS TVM kann einen temporären Namen für die Schwachstelle hinzufügen, z. B. TVM-XXXX-XXXX. Dieser Name wird aktualisiert, nachdem eine CVE-ID zugewiesen wurde.
    Konfigurationselement bzw. Configuration Item (CI)
    CIs sind die vorhandenen Assets, die in Ihren CMDBaufgeführt sind.
    Erkanntes Element
    Erkannte Elemente sind die Assets, die aus dem Import des MS TVM-Computers erfasst werden und vorhandenen CIs in Ihrem CMDBentsprechen.

    Wenn keine Übereinstimmung gefunden wird, wird ein CI in der CI-Klasse ohne Übereinstimmung von CMDBerstellt. Aktivieren Sie das Plugin „CMDB CI Class Models“. Die Engine „Identifizierung und Abgleich“ (Identification and Reconciliation Engine, IRE) erstellt CIs mithilfe neuer Klassen. Weitere Informationen finden Sie unter CIs für Vulnerability Response werden mit der Engine „Identification and Reconciliation“ erstellt. Wenn das ursprüngliche, nicht abgeglichene CI neu klassifiziert wird, werden die Datensätze des erkannten Elements entsprechend aktualisiert. Erkannte Elemente geben Ihnen Einblick in die Art und Weise, wie Assets identifiziert und CIs in CMDBzugeordnet werden.

    CI-Suchregeln
    Wenn Daten aus MS TVM importiert werden, verwendet Vulnerability Response automatisch Maschinendaten (Asset-Daten), um nach Übereinstimmungen in CMDBzu suchen. CI-Suchregeln werden verwendet, um CIs zu identifizieren und zu VI-Datensätzen hinzuzufügen, wenn VIs erstellt werden.
    Instanz
    Eine Instanz bezieht sich auf mehrere Konten von MS TVM. Jeder Account kann eine Instanz in der MS TVM-Anwendung sein.
    Integration
    Eine Integration ist eine geplante Aufgabe, die Informationen von einer Drittanbieterquelle abruft, z. B. die Integration der MS TVM-Computer.
    Bereitstellung
    Wenn eine Integration mehrere Quellen unterstützt, wird das Vorhandensein einer einzelnen Integration als Bereitstellung Ihrer Integration bezeichnet. Eine Bereitstellung bezieht sich auf die Integrationen und Produkte in Ihrer Umgebung. Beispielsweise können Sie in Ihrer Umgebung über mehrere Bereitstellungen von MS TVM verfügen.

    Die MS TVM-Integration enthält außerdem die folgenden wichtigen Funktionen:

    • Sie können die Assets in Ihrer Umgebung identifizieren und die CIs für Ihre vorhandenen erkannten Elemente, angreifbaren Elemente und Erkennungsdatensätze aktualisieren, um weitere Details zu Ihren Schwachstellen zu erhalten.
    • Sie können planen, wann die Aufgaben für alle MS TVM-Integrationen ausgeführt werden sollen. Sie können geplante Aufgaben auch bei Bedarf ausführen.
    • Sie können angreifbare Elemente gruppieren.
    • Sie können CI-Suchregeln konfigurieren, um zu definieren, wie die Asset-Daten aus Drittanbieterquellen zum Identifizieren von CIs in Ihrem CMDBverwendet werden.

    Erforderliche Now Platform-Rollen

    Die Integrationsaufgaben erfordern die folgenden Rollen in Ihrer Instanz Now Platform.

    Es sind Persona-Rollen und granulare Rollen verfügbar, mit denen Sie verwalten können, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten von granularen Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Administrator
    Der Systemadministrator verwendet den Setup-Assistenten, um die Anwendung MS TVM zu installieren. Wenn dies nicht zugewiesen ist, weist der Administrator im Setup-Assistenten den Schwachstellenadministrator (sn_vul.vulnerability_admin) und andere Rollen zu.
    sn_vul.vulnerability_admin
    Nach der Zuweisung schließt der Schwachstellen-Administrator die Konfiguration der MS TVM-Integrationen im Setup-Assistenten ab. Diese Rolle hat vollständigen Zugriff auf die Anwendung Vulnerability Response und ihre Datensätze. Der Schwachstellenadministrator konfiguriert alle Vulnerability Response -Anwendungen und -Regeln für installierte Drittanbieterintegrationen.
    sn_vul_msft_tvm.configure_integration

    Diese Rolle enthält die granulare Rolle sn_vul_msft_tvm.read_integration. Benutzer mit dieser Rolle können Vulnerability Response Integration mit der Anwendung Microsoft Threat and Vulnerability Management konfigurieren.

    sn_vul_msft_tvm.read_integration

    Benutzer mit dieser Rolle können die Datensätze der Anwendung „Vulnerability Response Integration with the Microsoft Threat and Vulnerability Management“ nur anzeigen.

    Vulnerability Response-Gruppe
    Standardmäßig ist die Vulnerability Response-Gruppe im Setup-Assistenten verfügbar. Benutzer, die der Vulnerability Response-Gruppe zugewiesen sind, erben die Rollen „sn_vul.read_all“ und „sn_vul.remediation_owner“ automatisch.

    MS TVM-Integrationen

    Mehrere Quellen werden für alle MS TVM-Integrationen unterstützt. Sie können über den Setup-Assistenten in Vulnerability Responsemehrere Instanzen der folgenden Integrationen in Ihrer Umgebung hinzufügen und bereitstellen. Außerdem installieren und konfigurieren Sie die Anwendung Vulnerability Response Integration mit der Anwendung MS TVM über den Setup-Assistenten.

    Um die MS TVM-Integrationen anzuzeigen, navigieren Sie zu Microsoft TVM-Schwachstellenintegration > Administration > Integrationen. Vulnerability Response bietet Integrationen mit MS TVM-Endpunkten, um die Daten gemäß den geplanten Zeitintervallen zu importieren. Die folgenden Integrationen sind im Basissystem enthalten.

    Tabelle : 1. MS TVM-Integrationen
    Ausführungssequenz Zeitplan Integration Beschreibung
    1 Täglich Microsoft TVM-Empfehlungsintegration Ruft eine Liste aller umsetzbaren Sicherheitsempfehlungen zum Beheben der Schwachstellen ab.
    2 Täglich Integration von Microsoft TVM Vulnerability (CVE). Ruft eine Liste der Einträge in der US-Schwachstellendatenbank (National Schwachstellendatenbank) und Schwachstelleneinträge von Drittparteien sowie deren Exploit-Informationen ab.
    3 Täglich Integration von Microsoft TVM-Computern Ruft alle Asset-(Computer-)Daten, einschließlich Computer-Tags, von Microsoft TVM ab und verarbeitet sie in Ihrer Instanz.
    4 Wöchentlich
    Hinweis:
    Nach der Installation wird diese Integration automatisch nach dem Import der Computer ausgeführt.
    		 Microsoft TVM-Computer – Schwachstellen-Integration (vollständiger Import) Ruft alle offenen Schwachstellen für alle Assets ab.
    5 Täglich Microsoft TVM Machines Vulnerabilities Integration (Delta-Import) Ruft alle Informationen ab, die sich im vollständigen Import von Schwachstellen der Organisation geändert haben, einschließlich der neuen, behobenen und aktualisierten Schwachstellen.

    Angreifbare Elemente werden gemäß den von Ihnen festgelegten Gruppenregeln in Korrekturaufgaben gruppiert und werden basierend auf Ihren Zuweisungsregeln zur Korrektur zugewiesen. Weitere Informationen finden Sie unter Vulnerability Response Übersicht über Korrekturaufgaben und Regeln für Korrekturaufgaben und Vulnerability Response Übersicht über Zuweisungsregeln.

    CI-Suchregeln

    Wenn Daten aus MS TVM importiert werden, verwendet Vulnerability Response automatisch Maschinendaten (Asset-Daten), um nach Übereinstimmungen in Configuration Management Database (CMDB)zu suchen. CI-Suchregeln werden verwendet, um CIs zu identifizieren und zu VI-Datensätzen hinzuzufügen, wenn VIs erstellt werden. Weitere Informationen zur Funktionsweise von CI-Suchregeln finden Sie unter CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Schwachstellenintegrationen von Drittparteien.
    Hinweis:
    Sobald Sie eine Regel entfernt haben, können Sie sie nicht wiederherstellen. Anstatt eine vorhandene Regel zu entfernen, sollten Sie sie deaktivieren.
    Die folgenden MS TVM-Suchregeln sind im Lieferumfang des Basissystems enthalten:
    • MAC_ADDRESS
    • FQDN
    • IP
    Hinweis:
    Sie können mehrere Werte für die IP_ADDRESS und MAC_ADDRESS eines Assets verwenden. Eine CI-Suchregel berücksichtigt alle Werte für den Abgleich.

    Erkannte Elemente

    Sie können die CIs anzeigen, die während eines Imports aus der Integration von MS TVM-Computern erkannt wurden.
    Hinweis:
    Der Standardfilter für diese Liste ist auf Nicht abgeglichenfestgelegt. Sie können alle erkannten Elemente aus einem Import anzeigen, indem Sie den Filter entfernen.
    Weitere Informationen finden Sie unter Erkannte Elemente.

    Maschinen-Tags

    Computer-Tags, auch Host-Tags genannt, werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie weisen Ihren Computern Tags zu.

    Alle Computer-Tags werden als Teil der MS TVM Machines-Integration importiert. Computer-Tags werden im Allgemeinen zum Filtern in Vulnerability Response -Zuweisungsregeln und Regeln für Schwachstellengruppen verwendet. Die Tags werden im Formular „Erkanntes Element“ angezeigt.
    Hinweis:
    Führen Sie die MS TVM-Computerintegration aus, bevor Sie in der Anwendung Vulnerability ResponseVulnerability Response Regeln für Zuweisungs- oder Korrekturaufgaben vom Typ „“ erstellen, damit alle Tags für diese Regeln verfügbar sind, bevor angreifbare Elemente importiert und gruppiert werden. Beachten Sie auch die folgenden Punkte zu Tags:
    • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn ein Paris-Tag erstellt wird, kann kein PARIS-Tag in der Maschinen-Tag-Tabelle gespeichert werden. Paris und PARIS werden vom System als dasselbe Maschinen-Tag betrachtet. Welches Tag zuerst importiert wird, ist das Tag, das gespeichert und erkannt wird.
    • Die Verwendung von Computer-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Gruppenschlüssel sind Spalten in der Tabelle der Korrekturaufgaben, während Maschinen-Tags nur im Bedingungsgenerator verwendet werden sollen.
    • Computer-Tags werden von der globalen Systemeigenschaft sn_vul.import_host_tags gesteuert. Diese Eigenschaft ist standardmäßig auf „ true “ festgelegt. Durch das Deaktivieren von Tags werden sie für alle Now Platform® -Instanzen deaktiviert.

    Nächste Schritte

    Nachdem Sie die Vulnerability Response -Integration mit Microsoft Threat and Vulnerability Management von ServiceNow® Storeheruntergeladen haben, werden Installation und Konfiguration durch den Setup-Assistenten in Vulnerability Responseunterstützt. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung Vulnerability Response Integration mit der Anwendung MS TVM mithilfe des Setup-Assistenten.