Die Tenable-Schwachstellenintegration verstehen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 10 Minuten Lesedauer

    • Die Anwendung [ Vulnerability Response Integration with Tenable, die von den Entwicklern von ServiceNow für die Tenable Vulnerability Integration entwickelt wurde, verwendet Daten, die aus den Produkten Tenable.io und Tenable.sc importiert wurden, um Sie bei der Priorisierung und Behebung von Schwachstellen für Ihre Assets zu unterstützen. Die Anwendung ist mit einem separaten Abonnement aus dem ServiceNow® Storeverfügbar.

    Hinweis:
    Ab v14.9 von Konfigurations-Compliancewurden die folgenden Begriffe umbenannt:
    Tabelle : 1. Änderungen in der Terminologie
    Terminologie vor v14.9 Terminologie ab Version 14.9
    Testergebnisgruppe Korrekturaufgabe
    Gruppenregeln Regeln für Korrekturaufgaben
    Richtlinie Testgruppe
    Die Tenable-Schwachstellenintegration verwendet die beiden Tenable-Integrationen Tenable.io und Tenable.sc, um Scannerdaten von Drittparteien zu Ihren Assets und Schwachstellen zu importieren. Die Anwendung Vulnerability Response Integration with Tenable unterstützt das Produkt Tenable.sc ab Version 5.13.
    • Tenable.io ist eine cloudbasierte Unternehmensintegration.
    • Tenable.sc ist eine lokale Integration, die Ihnen die Möglichkeit gibt, einen MID-Server zu verwenden, wenn sich das Produkt Tenable.sc und Ihre Instanz Now Platform in derselben Umgebung befinden.
    • Wenn sich das Produkt Tenable.sc und Ihre Instanz Now Platform nicht in derselben Umgebung befinden, müssen Sie einen MID-Server verwenden.

    Die Anwendung Vulnerability Response Integration with Tenable ist unter ServiceNow Store mit einem separaten Abonnement verfügbar.

    Listen und Beschreibungen der Integrationen in Tenable Vulnerability Integrationfinden Sie unter Tenable.io -Integrationen mit den Anwendungen Vulnerability Response und Konfigurations-Compliance und Tenable.sc Integrationen mit der Anwendung Vulnerability Response.

    Abbildung : 1. Vertretbare Schwachstellenintegration
    Workflow für Tenable-Schwachstellenintegration

    Verfügbare Versionen für Xanadu

    Release-Version Versionsinformationen

    Vulnerability Response Integration with Tenable v3.5, v3.6

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen

    Begriffe und Schlüsselfunktionen der Integrationen

    Angreifbare Elemente und Schwachstellen
    Ein angreifbares Element wird in Ihrer Instanz Now Platform erstellt, wenn:
    • Eine importierte Schwachstelle aus einem Drittanbieterscanner wird mit einem vorhandenen Asset (einem Konfigurationselement in Ihrem CMDB) abgeglichen. Das Tenable-Produkt bezeichnet diese Übereinstimmungen als Schwachstellen.
    • Eine importierte Schwachstelle aus einem Drittanbieterscanner wird keinem vorhandenen Asset in Ihrem CMDBzugeordnet . In diesem Fall wird zusammen mit einem angreifbaren Element auch ein nicht abgeglichenes CI erstellt.

      Für nicht abgeglichene CIs können Sie auch die Engine „Identifizierung und Abgleich“ (Identification and Reconciliation Engine, IRE) verwenden, um CIs in zwei neuen Klassen zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter CIs für Vulnerability Response werden mit der Engine „Identification and Reconciliation“ erstellt.

    Schwachstelleneinträge und Plugins von Drittparteien
    Einträge für Schwachstellen von Drittparteien werden aus Scannern von Drittparteien importiert und in der Tabelle „Schwachstellen von Drittparteien“ in Ihrer Instanz Now Platform aufgeführt. Schwachstelleneinträge von Drittparteien von Tenable werden in Vulnerability Response erfasst und mit vorhandenen Assets abgeglichen, die in Ihrem CMDBaufgeführt sind. Schwachstelleneinträge von Drittparteien werden von Tenable als Pluginsbezeichnet.
    Konfigurationselement bzw. Configuration Item (CI)
    Konfigurationselemente sind die vorhandenen Assets, die in Ihrem CMDBaufgeführt sind.
    Erkanntes Element
    Aus dem Tenable-Asset-Import erfasste Assets werden mit vorhandenen Configuration Items in Ihrem CMDBabgeglichen. Importierte Assets werden aktualisiert.

    Wenn keine Übereinstimmung gefunden wird, wird ein CI in der CI-Klasse ohne Übereinstimmung von CMDBerstellt. Wenn das Plugin „CMDB CI Class Models“ aktiviert ist, erstellt die Engine „Identifizierung und Abgleich“ (Identification and Reconciliation Engine, IRE) neue CIs mithilfe neuer Klassen. Weitere Informationen finden Sie unter CIs für Vulnerability Response werden mit der Engine „Identification and Reconciliation“ erstellt. Wenn das ursprüngliche, nicht abgeglichene CI neu klassifiziert wird, werden die Datensätze erkannter Elemente entsprechend dem Status aktualisiert. Erkannte Elemente geben Ihnen Einblick in die Art und Weise, wie Assets identifiziert und CIs in CMDBzugeordnet werden.

    CI-Suchregeln
    Wenn Daten aus einer Drittanbieterintegration importiert werden, verwendet Vulnerability Response automatisch Hostdaten (Asset-Daten), um in der Configuration Management Database (CMDB) nach Übereinstimmungen zu suchen. CI-Suchregeln werden verwendet, um CIs zu identifizieren und zu VI-Datensätzen hinzuzufügen, wenn VIs erstellt werden, um Sie bei der Remediation zu unterstützen.
    Erneut scannen und Korrekturscan durchführen
    Sie können einen gezielten erneuten Scan-Befehl für ein bestimmtes Konfigurationselement, eine Korrekturaufgabe oder einen Drittanbietereintrag direkt aus den Datensätzen für angreifbare Elemente, Korrekturaufgaben und Schwachstelleneinträge von Drittparteien in Ihrer Instanz Now Platform initiieren. Tenable bezeichnet diesen erneuten Scanals Korrekturscan.
    Ältere VIs automatisch schließen
    Mit dem Modul Veraltete angreifbare Elemente automatisch schließen in Now Platformkönnen Sie ältere, veraltete angreifbare Elemente (VIs) bereinigen, die nicht kürzlich von Ihren Drittanbieterintegrationen gefunden wurden. Wenn Sie diese AEs in den Status „ Geschlossen “ verschieben, können Sie die Anzahl der aktiven angreifbaren Elemente und Korrekturaufgaben reduzieren und Assets in Ihrem CMDBabgleichen . Sie können alle Integrationen mit Vulnerability Response Integration with Tenable verwenden, um veraltete AEs automatisch zu schließen.
    Instanz
    Dieser Begriff bezieht sich auf ein bestimmtes Vorkommen Ihrer Anwendung Now Platform®.
    Integration
    Eine Integration ist ein produktspezifischer Verweis auf eine Integration, z. B. Tenable.io Assets Integration oder Tenable.sc Plugin Integration. Dies sind die separaten Integrationen, die zu bestimmten Tenable-Produkten in der Tenable-Schwachstellen-Integration in Ihrer Instanz gehören.
    Integrationsinstanz
    Dieser Begriff bezieht sich auf die separaten Tenable-Integrationen, die nach den Produkten Tenable.io und Tenable.sc aufgelistet sind.
    Bereitstellung
    Wenn eine Integration mehrere Quellen unterstützt, wird eine einzelne, eindeutige Integration als Bereitstellung Ihrer Integration bezeichnet. Der Begriff bezieht sich auf die Integrationen und Produkte in Ihrer Umgebung. Beispielsweise können Sie in Ihrer Umgebung über mehrere Bereitstellungen verschiedener Integrationen der Produkte Tenable.io und Tenable.sc verfügen.

    Die Integrationen Tenable.io und Tenable.sc enthalten außerdem die folgenden Schlüsselfunktionen:

    • Konfigurationsbewertungsergebnisse, d. h. Testergebnisse sowie Richtlinien, Konfigurationstests (Steuerungen) und Zitate mit maßgeblichen Quellen, können mit dem Produkt Tenable.ioKonfigurations-Compliance in die Anwendung [] importiert werden. Unter Tenable.io -Integrationen mit den Anwendungen Vulnerability Response und Konfigurations-Compliance und Konfigurations-Compliance erkunden finden Sie weitere Informationen darüber, wie diese Integration mit der Anwendung Konfigurations-Compliance funktioniert.
    • Ab v2.1 von Tenable Vulnerability Integrationerstellen Sie eindeutige Configuration Items (CIs), die unterschiedliche Netzwerkpartitionsbezeichner für Assets in Ihrer Umgebung enthalten, die dieselbe IP-Adresse verwenden. Identifizieren Sie die unterschiedlichen Assets in Ihrer Umgebung, und aktualisieren Sie die CIs in Ihren vorhandenen erkannten Elementen, angreifbaren Elementen und Erkennungsdatensätzen, um weitere Details zu Ihren Schwachstellen zu erhalten.
    • Sie können planen, wann die Aufgaben für alle Tenable.io - und Tenable.sc -Integrationen ausgeführt werden sollen. Sie können geplante Aufgaben bei Bedarf auch manuell ausführen.
    • Für Asset-Importe mit Tenable.iokönnen Sie Asset-Tags aktivieren, um die in Ihrem CMDB aufgeführten Assets in der Umgebung Tenable.io ] zu organisieren und nachzuverfolgen.
    • Mit den Integrationen Tenable.io und Tenable.sc können Sie CI-Suchregeln konfigurieren, um zu definieren, wie Asset-Daten aus Drittanbieterquellen zum Identifizieren von Configuration Items (CIs) in Ihrem Now Platform CMDBverwendet werden.
    • Mit den Integrationen Tenable.io und Tenable.sc können Sie Importfilter für den Import von Schwachstellen festlegen, um nur die gewünschten Schwachstellen aus Tenable zu importieren. Für Tenable.iohaben Sie die Möglichkeit, mit dem Import von Schwachstellen behobene Schwachstellen aus Tenable zu importieren.
    • Für Tenable.schaben Sie die Möglichkeit, bei Bedarf erneute Scans direkt aus angreifbaren Elementen, Korrekturaufgaben und Drittpartei-Eintragsdatensätzen in Ihrer Instanz Now Platform zu initiieren. Wenn VIs in den Status „ Geschlossen“/„Behoben “ versetzt wurden, in Ihrer Instanz jedoch noch nicht aktualisiert werden, können Sie überprüfen, ob Schwachstellen an bestimmten Konfigurationselementen behoben wurden. Weitere Informationen finden Sie unter Initiieren Sie den erneuten Scan für die Tenable.sc -Integration.

    In den folgenden Abschnitten finden Sie weitere Details zu den Tenable-Integrationen.

    Erforderliche Now Platform-Rollen

    Die Integrationsaufgaben erfordern die folgenden Rollen in Ihrer Instanz Now Platform.

    Administrator
    Der Systemadministrator verwendet den Setup-Assistenten, um die Anwendung Vulnerability Response Integration with Tenable zu installieren. Wenn dies nicht zugewiesen ist, weist der Administrator im Setup-Assistenten den Schwachstellenadministrator (sn_vul.vulnerability_admin) und andere Rollen zu.
    sn_vul.vulnerability_admin
    Nach der Zuweisung schließt der Schwachstellen-Administrator die Konfiguration der Tenable-Integrationen im Setup-Assistenten ab. Diese Rolle hat vollständigen Zugriff auf die Anwendung Vulnerability Response (VR) und ihre Datensätze. Der Schwachstellenadministrator konfiguriert alle VR-Anwendungen und Regeln für installierte Drittanbieterintegrationen.
    sn_vul_tenable.configure_integration
    Diese Rolle enthält die granulare Rolle sn_vul_tenable.read_integration, und Benutzer mit dieser Rolle können die Anwendung Vulnerability Response Integration with Tenable konfigurieren.
    sn_vul_tenable.read_integration
    Anwender mit diesen Rollen können Datensätze der Anwendung Vulnerability Response Integration with Tenable anzeigen (lesen), aber nicht bearbeiten.
    Vulnerability Response-Gruppe
    Standardmäßig ist die Vulnerability Response-Gruppe im Setup-Assistenten verfügbar. Benutzer, die der Vulnerability Response-Gruppe zugewiesen sind, erben die Rollen „sn_vul.read_all“ und „sn_vul.remediation_owner“ automatisch.

    Angreifbare Elemente

    Angreifbare Elemente werden gemäß den Regeln für Korrekturaufgaben in Korrekturaufgaben gruppiert und basierend auf Ihren Zuweisungsregeln zur Korrektur zugewiesen. Weitere Informationen finden Sie unter Vulnerability Response Übersicht über Korrekturaufgaben und Regeln für Korrekturaufgaben und Vulnerability Response Übersicht über Zuweisungsregeln.

    Suchregeln für Configuration Item (CI)

    CI-Suchregeln identifizieren CIs und bestimmen, wann sie einem angreifbaren Element hinzugefügt werden sollen. Weitere Informationen zur Funktionsweise von CI-Suchregeln finden Sie unter CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Schwachstellenintegrationen von Drittparteien.
    Hinweis:
    Einmal entfernte Regeln können nicht wiederhergestellt werden. Anstatt vorhandene Regeln zu entfernen, sollten Sie sie beim Erstellen neuer Regeln deaktivieren.
    Die folgenden Tenable.io Suchregeln sind im Lieferumfang des -Basissystems enthalten.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • HostName
    • DNS
    • IP
    Die folgenden Tenable.sc Suchregeln sind im Lieferumfang des -Basissystems enthalten.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • IP
    Hinweis:
    Für ein Asset werden mehrere Werte für ip_address, mac_address, fqdns und network_interfaces verwendet. Alle Werte werden in den CI-Suchregeln für die Übereinstimmung berücksichtigt. Alle Werte werden verwendet, um mehrere Netzwerkadapter mit IRE zu erstellen.

    Weitere Informationen zum Konfigurieren der Kategorisierung von nicht abgeglichenen Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets aktualisieren.

    Neue Eigenschaften zum Ignorieren von IP-Adressen

    In Tenable.iostehen Ihnen zwei Eigenschaften zur Verfügung, wenn Sie mehrere IP-Adressen oder Mac-Adressen als Teil Ihrer CI-Suchregeln ignorieren möchten:
    ignorierenIPAddress
    Eine Liste der IP-Adressen, die bei der CI-Suche und CI-Erstellung ignoriert werden sollen.
    ignorierenMacAddress
    Eine Liste der MAC-Adressen, die für die CI-Suche oder CI-Erstellung ignoriert werden sollen.

    Erkannte Elemente

    Dieses Modul listet Konfigurationselemente auf, die während des Imports aus den Tenable Vulnerable Item-Integrationen und den Tenable Asset-Integrationen erkannt wurden.
    Hinweis:
    Der Standardfilter für diese Liste ist auf Nicht abgeglichenfestgelegt. Sie können alle erkannten Elemente aus einem Import anzeigen, indem Sie den Filter entfernen.
    Weitere Informationen zum Modul „Erkannte Elemente“ finden Sie unter Erkannte Elemente.

    Asset-Tags

    Asset-Tags (auch als Host-Tags bezeichnet) werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie können Ihren Assets Tags zuweisen. Dann können Sie beim Starten von Scans Tags auswählen, die den zu scannenden Assets zugeordnet sind. Mit dem Modul „Asset Tags“ können Sie Asset-Tag-Daten von Tenable.io zeitplanbasiert in Ihre Instanz herunterladen. Asset-Daten, die Asset-Tags enthalten, werden aus Tenable.io abgerufen und mithilfe der Transformationszuordnungen der Tenable.io Asset Transform- Integration transformiert.

    Alle Asset-Tags werden als Teil der Asset-Integration Tenable.io importiert. Asset-Tags werden im Allgemeinen zum Filtern in Vulnerability Response -Zuweisungsregeln und Regeln für Korrekturaufgaben verwendet. Die Tags werden im Formular „Erkanntes Element“ angezeigt.
    Hinweis:
    Führen Sie die Asset-Integration Tenable.io aus, bevor Sie in der Anwendung Vulnerability Response Zuweisungsregeln für [] oder Regeln für Vulnerability Response Korrekturaufgaben erstellen, damit alle Tags für diese Regeln verfügbar sind, bevor angreifbare Elemente importiert und gruppiert werden. Beachten Sie auch die folgenden Punkte zu Tags:
    • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn Sie beispielsweise ein Tag zur Beschreibung von Assets an Ihrem Standort San Diego erstellen und das San Diego -Tag erstellen, können Sie nicht auch ein SAN DIEGO -Tag erstellen und in der Asset-Tag-Tabelle speichern. San Diego und SAN DIEGO werden vom System als dasselbe Asset-Tag betrachtet. Das zuerst importierte Tag ist das Tag, das in Zukunft gespeichert und erkannt wird.
    • Die Verwendung von Asset-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Asset-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Asset-Tags werden von der globalen Systemeigenschaft sn_vul.import_asset_tags gesteuert. Diese Eigenschaft ist standardmäßig auf „ true “ festgelegt. Durch das Deaktivieren von Tags werden sie für alle Now Platform® -Instanzen deaktiviert.

    Datenabruffilter

    Mithilfe der Einstellungen zum Datenabruf können Sie insbesondere den Typ und Umfang der Daten bestimmen, die Sie aus der Tenable-Anwendung in Ihre Instanz Now Platform® importieren möchten. Eine Liste der am häufigsten verwendeten Einstellungen finden Sie unter Datenabrufeinstellungen für die Tenable Vulnerability-Integration.

    Schwachstellenprioritätsbewertung (VPR)

    Die Schwachstellenprioritätsbewertung (VPR) ist ein Attribut aus dem Tenable-Produkt, das importiert und mit einem neuen Standardrisikorechner in Vulnerability Responseverwendet wird. Die Tenable-Risikoregel wird mit der Anwendung Vulnerability Response Integration with Tenable als Teil des Standardrisiko-Rechners in den Schwachstellen-Rechnern von Vulnerability Responseinstalliert.

    Diese Risikoregel ist standardmäßig deaktiviert.

    Durch Aktivieren der Tenable-Risikorechnerregel werden die importierten VPR-Werte verwendet, um die Risikopunktzahl für angreifbare Elemente zu berechnen. Standardgewichtsverteilung für diesen Risikorechner: VPR = 70 %, Asset = 15 % und Business-Relevanz = 15 %. Das Aktivieren dieser Regel des Tenable-Risikorechners kann sich auf die Leistung der Datenerfassung auswirken. Weitere Informationen zu den Rechnern Vulnerability Response und zur Regel des Tenable-Risikorechners finden Sie unter Vulnerability Response Rechner und Regeln des Schwachstellen-Rechners.

    Installation und Konfiguration

    Nachdem Sie Vulnerability Response Integration with Tenable von ServiceNow® Storeheruntergeladen haben, werden die Installation und Konfiguration durch den Setup-Assistenten in Vulnerability Responseunterstützt. Weitere Informationen finden Sie unter Vulnerability Response mit dem Setup-Assistenten konfigurieren.