Patch-Orchestrierung mit Vulnerability Response

Xanadu-Sicherheit Management

Release

xanadu

ft:locale

de-DE

ft:publication_title

Xanadu-Sicherheit Management

ft:clusterId

security

bundleId

security

workflow

Technology

Patch-Orchestrierung mit Vulnerability Response

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

5 Minuten Lesedauer

Sie können Patches und Patch-Bereitstellungen für kritische Schwachstellen für große Gruppen Ihrer Assets mit -Patch-Orchestrierung mit Vulnerability Responseverwalten. Vulnerability Response Patch Orchestration und die Patch Orchestration Integrationen sind unter ServiceNow® Storeverfügbar.

Patch-Orchestrierung mit verstehen Vulnerability Response

Bei der Patch-Orchestrierung mit Vulnerability Response werden Daten aus geplanten Importen von Lösungsintegrationen von Drittanbietern, Patch-Lieferanten und Schwachstellen-Scannern verwendet. Diese Daten werden in der Anwendung Vulnerability Response korreliert. Mit dieser Datenorganisation können Sie die Schritte des Korrekturzyklus für Schwachstellen abschließen. Beginnen Sie mit der Identifizierung von Schwachstellen, wenden Sie dann Patches und Updates an, und schließen Sie schließlich angreifbare Elemente mithilfe von Scannerdaten von Drittanbietern – alles aus Ihrer Instanz Now Platform®.

Übersichtsbild für die Patch-Orchestrierung, das die folgenden Phasen zeigt: installieren, konfigurieren, Daten importieren, anzeigen und verwenden.

Die Patch-Orchestrierung mit Vulnerability Response wird sowohl in der klassischen Umgebung als auch in den Arbeitsbereichen Vulnerability Response unterstützt.

Informationen zur Patch-Orchestrierung in den Arbeitsbereichen finden Sie unter Patchen Sie die Orchestrierung mit den -Arbeitsbereichen Vulnerability Response ..

Mit der Patch-Orchestrierung in Vulnerability Responsekönnen Schwachstellenmanager, Analysten und IT-Korrekturspezialisten die folgenden Korrekturaufgaben ausführen:

Sehen Sie sich weiteren Kontext und Informationen zu den Arten von Patches und den Lieferanten an, aus denen ihre Lösungen bestehen (Patches).
In den -Arbeitsbereichen Vulnerability Response oder in der klassischen Umgebung können Sie Schwachstellen- und Lösungsdaten sowie den Fortschritt der Nachbesserung von Schwachstellen aus Datensätzen anzeigen und überwachen.
Stellen Sie Patches, die von Drittpartei-Lösungsanbietern unterstützt werden, für deren Windows, CentOS, macOS, Oracleund andere Assets in regelmäßigen, geplanten Intervallen bereit. Sie können Patches außerhalb der Geschäftszeiten planen, um Konflikte mit Mitarbeitern bei der Arbeit zu vermeiden.
Verwenden Sie importierte Erkennungsdaten, die von Drittanbieterscannern bereitgestellt werden, um Assets zu identifizieren, die Schwachstellen aufweisen und nicht gepatcht wurden oder durch geplante Patches nicht erfolgreich aktualisiert wurden.
Initiieren und planen Sie verfügbare Patches für Assets, für die Updates von Patch-Updates, Korrekturaufgaben und erkannten Elementdatensätzen in der Anwendung Vulnerability Response erforderlich sind.
Überwachen Sie Patch-Bereitstellungen mit einem optionalen Genehmigungsprozess für Patch-Anforderungen, die von Ihren Korrekturspezialisten übermittelt werden.

Wichtige Begriffe

Konfigurationselement bzw. Configuration Item (CI): CIs sind die vorhandenen Assets, die in Ihrer Configuration Management Database (CMDB) aufgeführt sind.
Angreifbares Element (VI): Eine importierte Schwachstelle, die einem vorhandenen Asset in Ihrer CMDB entspricht. Angreifbare Elemente (VITs) werden nach bestimmten Kriterien, die Korrekturaktionen für VIs angeben, in Korrekturaufgaben oder Listen gruppiert.
Instanz: Bezieht sich auf einen eindeutigen Account einer Lösungsanbieteranwendung. Beispielsweise kann jeder Benutzeraccount eine Instanz in der Anwendung HCL BigFix sein. Dieser Begriff bezieht sich auch auf eine eindeutige, sichere Webadresse für eine Instanz Now Platform®.
Lösung: Im Kontext dieser Integration gibt es zwei Arten von Lösungen: potenzielle und bevorzugte. Eine potenzielle Lösung ist eine Lösung, die eine Schwachstelle beheben kann. Schwachstellen haben oft viele potenzielle Lösungen. Eine bevorzugte Lösung entspricht der effektivsten Lösung für eine bestimmte, erkannte Schwachstelle.
Patch: Software-Updates, die Schwachstellen beheben. Patch-Lieferanten verwenden ihre eigenen Namen für Patches, z. B. In der Anwendung HCL BigFix werden Patches als Fixlets bezeichnet.
Bevorzugter Patch: Bevorzugte Patches sind Software-Updates, die bestimmte Schwachstellen beheben sollen. Sobald Patches bereitgestellt wurden, werden sie den angreifbaren Elementen zugeordnet, die sich auf bestimmte Schwachstellen beziehen, und beheben sie.
Bereitstellung: Für die Zwecke dieser Integration bedeutet Bereitstellung, wenn Sie einen Patch auf einen Computer anwenden, initiieren oder planen.
Die Bereitstellung in Now Platform kann sich auch auf eine Integration beziehen, die mehrere Quellen unterstützt. Das Vorhandensein einer einzelnen Integration wird als Bereitstellung Ihrer Integration bezeichnet. Eine Bereitstellung bezieht sich auf die Integrationen und Produkte in Ihrer Umgebung. Beispielsweise können Sie in Ihrer Umgebung über mehrere Bereitstellungen eines Drittanbieter-Scanners oder einer Lösungsanbieter-Integration verfügen.

Verfügbare Versionen von Anwendungen und Abhängigkeiten, die für die Patch Orchestration-Integration erforderlich sind

Die Anwendung Vulnerability Response und die Abhängigkeits-Plugins „Security Support Common“ und „Security Support Orchestration“.
Vulnerability Solution Management.
Vulnerability Response Patch Orchestration-Anwendung verfügbar in ServiceNow® Store.
Eine unterstützte Patch-Lieferantenanwendung einer Drittpartei, z. B. „The Vulnerability Response Patch Orchestration Integration with HCL BigFix“ oder „ The Vulnerability Response Patch Orchestration Integration with Microsoft SCCM“ .
Unterstützte Scanner-Integrationen von Drittanbietern mit Vulnerability Response.

Erforderliche Rollen

Benutzer benötigen Rollen, die für die Patch-Orchestration-Integration spezifisch sind, die Sie verwenden, um in der Anwendung Vulnerability Response Daten anzuzeigen und Patches zu planen. Weitere Informationen finden Sie in den Konfigurationsinformationen für die unten aufgeführten unterstützten Integrationen, die Sie verwenden.

Informationen zur Integration der HCL BigFix Patch Orchestration in mit Vulnerability Response und Integration der Vulnerability Response Patch Orchestration mit Microsoft SCCM.
In den Arbeitsbereichen Vulnerability Response und in der klassischen Umgebung wird die Rolle sn_vul_patch_orch.read_patch, mit der Benutzer Daten anzeigen, aber nicht bearbeiten können, von den Rollen sn_vul.remediation_owner und sn_vuln.vulnerability_analyst geerbt.
Die Rollen, die Sie zum Konfigurieren der Verbindungen zu den Patch-Anbietern und zum Planen von Patches zuweisen müssen, sind integrationsspezifisch. Weitere Informationen finden Sie unter Konfigurieren Sie die Integration der Patch-Orchestration-Integration Vulnerability Response mit HCL BigFix und Vulnerability Response Patch Orchestration mit MS SCCM konfigurieren.

Es gibt einen Übermittlungs- und Genehmigungsprozess für Patch-Anforderungen, die in den Anwendungen enthalten sind. Standardmäßig ist in der Anwendung Vulnerability Response Patch Orchestration in Ihrer Instanz Now Platform eine Systemeigenschaft aktiviert [sn_vul_patch_orch.patch_approval_required].

Diese Systemeigenschaft ist aktiviert, sodass geplante Patch-Bereitstellungen zur Überprüfung und Genehmigung an Benutzer übermittelt werden, die der Genehmigungsgruppe „Ebene 1 – Patch-Update“ zugewiesen sind. Wenn Sie möchten, dass Benutzer mit der Rolle sn_vul_patch_orch.configure_patch Patches ohne Genehmigung planen, können Sie die Eigenschaft [sn_vul_patch_orch.patch_approval_required] deaktivieren. Möglicherweise möchten Sie Genehmigungen aktiviert lassen, damit geplante Patches nicht mit den normalen Arbeitszeiten in Konflikt stehen. Wenn Sie die Systemeigenschaft „Genehmigung“ deaktivieren, kann jeder Benutzer mit der Rolle sn_vul_patch_orch.configure_patch Patches ohne Überprüfung und Genehmigung planen und bereitstellen.

Weitere Informationen und Anleitungen zum Deaktivieren dieser Systemeigenschaft finden Sie im Konfigurationsthema für Ihre unterstützte Integration.

Planen Sie Patches aus Vulnerability Response -Datensätzen

Korrekturspezialisten können Patch-Updates zur Behebung angreifbarer Elemente planen und den Korrekturfortschritt von Datensätzen in der Anwendung Vulnerability Response aus überwachen.

Sie können Patches von den folgenden Datensätzen aus planen:

Patch-Update
Nachbesserungsaufgabe
Erkanntes Element

Datensätze, die die Anzahl aktiver AEs in zusammenfassen Vulnerability Response

Um potenzielle Leistungsprobleme beim Aufrollen aller Patches für alle Schwachstellen zu vermeiden, ändert die geplante Aufgabe, die Änderungen aufnimmt, nur die Anzahl der aktiven VIs. Für diese Anzahländerungen und zugehörigen Daten wird ein Rollup für die folgenden Datensätze in der Anwendung Vulnerability Response durchgeführt:

VIT (angreifbares Element)
RT (Korrekturaufgabe)
Schwachstellenlösung
Patch-Update

Weitere Informationen zum Anzeigen von Patch-Daten und zum Anzeigen von Patch-Daten in Datensätzen sowie zum Anzeigen von Patches ohne Lösungen finden Sie in den folgenden Themen.

Massenbearbeitung von angreifbaren Elementen mit Patches

Sie können angreifbare Elemente in der klassischen Umgebung, die Patches aus der klassischen Umgebung enthalten, massenweise bearbeiten. Weitere Informationen zur Funktionsweise der Massenbearbeitung finden Sie unter Führen Sie eine Massenbearbeitung von angreifbaren Elementen in durch Vulnerability Response. Die bevorzugten Patches für alle für die Massenbearbeitung ausgewählten VIs. Diese Bearbeitungsoption funktioniert nur, wenn allen ausgewählten VIs bevorzugte Patches zugeordnet sind.