Vulnerability Response Erkennungen von angreifbaren Elementen durch Integrationen von Drittparteien

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 6 Minuten Lesedauer

    • Zeigen Sie alle Informationen an, die von Drittparteiscans in Ihrer Instanz Now Platform® gesammelt werden. Zeigen Sie die zurückgegebenen Ergebnisse der Scans bei Erkennung und angreifbare Elemente in Ihrer Instanz an, da diese Ergebnisse auf den Scannern angezeigt werden.

    Übersicht

    Die Anwendung Vulnerability Response unterstützt Drittanbieterintegrationen, die Daten zu angreifbaren Elementen aus Ihrer Unternehmensumgebung abrufen. Detaillierte Daten zu Erkennungen, also einzelnen, unterschiedlichen Vorkommen von Schwachstellen, die von den Scannern Ihrer Drittanbieterintegrationen gemeldet werden, werden importiert und sowohl im Erkennungs-Datensatz als auch im Datensatz für angreifbare Elemente in Ihrer Now Platform-Instanz angezeigt.

    Drittanbieterintegrationen rufen Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, die von den Scannern gemeldet werden. Erkennungsdaten werden mit angreifbaren Elementen gekoppelt, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn kein VI gefunden wird, wird ein neues erstellt. Erkennungen werden nur durch Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden wurden.

    In früheren Versionen von Vulnerability Responsehat die Erkennung angreifbarer Elemente die Beziehung zwischen einem CI (Asset) in Ihrer Umgebung und einer importierten Schwachstelle von einem Drittanbieterscanner zu einem eindeutigen angreifbaren Element in Ihrer Now Platform-Instanz erstellt.

    Die Granularität der ursprünglichen, vom Scanner bereitgestellten Daten bleibt erhalten. Bei Erkennungen werden die Erkennungsdaten mit angreifbaren Elementen gekoppelt. Wenn während einer Erfassung kein angreifbares Element gefunden wird, wird ein neues VI erstellt.

    Ab Version 21.1.2 von Vulnerability Responsewird eine Systemeigenschaft sn_vul.show_last_open_detection im Basissystem bereitgestellt. Standardmäßig ist der Wert dieser Eigenschaft auf „false“ festgelegt, und das aktuelle Verhalten der Zusammenfassung der Werte von der ersten Erkennung bis zum VI bleibt unverändert. Wenn sie jedoch auf „true“ festgelegt ist, wird ein VI nach einer Erfassung automatisch mit der letzten offenen Erkennung aktualisiert. Die Felder wie IP-Adresse, SSL, Port, Protokoll, NetBIOS und Nachweis werden für die VI-Erkennungen aktualisiert. Bei Bedarf können Sie die Erkennungsfelder anpassen, die aktualisiert werden sollen, indem Sie das DetectionBase -Skript ändern.

    Um die Werte für die letzte offene Erkennung anzuzeigen, navigieren Sie in der VI-Formularansicht zur Registerkarte Letzte offene Erkennung. Um alle im letzten Jahr geöffneten VIs mit den letzten offenen Erkennungswerten zu aktualisieren, können Sie bei Bedarf die geplante Aufgabe Update Last Open Detection Value To VITs ausführen. Diese regelmäßige Aufgabe wird auch im Basissystem bereitgestellt.

    Hinweis:
    Wenn ein Configuration Item (CI) für ein erkanntes Element geändert wird, werden die entsprechenden Updates auch in den Erkennungen berücksichtigt. Daher können die Erkennungen von einem VI in ein anderes verschoben werden. Basierend auf dieser Änderung und dem Wert der Eigenschaft sn_vul.show_last_open_detection werden die Werte der Erkennungen für die Quell- und Ziel-VIs zusammengefasst.

    Unterstützte Versionen von Vulnerability Response

    Weitere Informationen zum Installieren oder Aktualisieren der Anwendung Vulnerability Response finden Sie unter Vulnerability Response installieren.

    Unterstützte Drittanbieterintegrationen

    Für die Erkennung angreifbarer Elemente ist eine unterstützte Drittanbieterintegration mit Ihrer Anwendung Vulnerability Response erforderlich. Die folgenden Drittanbieterintegrationen werden von der Anwendung Vulnerability Response für die Erkennung angreifbarer Elemente unterstützt:
    • Integration der Qualys-Hosterkennung
    • Rapid7-Data Warehouse:
      • Integration angreifbarer Elemente
      • Integration zur Lösung von angreifbaren Elementen
    • Rapid7 Vulnerable Item Resolution Integration (InsightVM)
      • Integration mit einer Einblick-VM
      • Integration angreifbarer Elemente – API
    • Tenable Vulnerability Integration
    • Microsoft Defender Threat and Vulnerability Management

    Diese Drittanbieterintegrationen sind mit einem von ServiceNow Storegetrennten Abonnement verfügbar. Weitere Informationen zu diesen Integrationen finden Sie unter Vulnerability Response-Integrationen und , um Informationen zum Erhalt von -Berechtigungen zu erhalten.

    Um sicherzustellen, dass der Scanner Ihrer Drittpartei für den Import konfiguriert ist, lesen Sie die Anwendung Rapid7 Integration for Security Operations installieren und konfigurieren und Qualys Vulnerability Integration installieren.

    Schlüsselbegriffe für die Erkennung angreifbarer Elemente

    Schwachstelle
    Daten zu Schwachstellen in Software, Betriebssystemen und Assets, die aus internen und externen Quellen importiert wurden. Diese Daten werden importiert und mit vorhandenen Assets (Konfigurationselemente, CIs) verglichen, die in der CMDB aufgeführt sind.
    Angreifbares Element
    Ein angreifbares Element wird erstellt oder aktualisiert, wenn eine importierte Schwachstelle mit einem CI in der CMDB übereinstimmt.
    Erkennung
    Ein einzelnes, eindeutiges Vorkommen einer Schwachstelle, das von einem Scanner gemeldet wird, der in der Umgebung Now Platform als angreifbares Element erkannt wird. Eine Erkennung enthält angereicherte Daten zu einer Schwachstelle und den entsprechenden angreifbaren Elementen. Diese Daten werden im Erkennungsdatensatz (VID#) und in der Listenansicht für angreifbare Elemente angezeigt, die die folgenden Details enthält:
    • Zuerst gefunden (Daten)
    • Zuletzt gefunden (Datum)
    • DNS-Name
    • Net-BIOS-Name
    • IP-Adresse
    • Port
    • Protokoll
    • Nachweis
    • SSL
    • Anzahl Ermittlungen
    Hinweis:
    Das Hinzufügen einer Business-Regel in der Erkennungstabelle wirkt sich auf die Leistung der Erfassung aus.
    Erkennungsschlüssel
    Eine Kombination von Feldern mit Hashwert, die eine Möglichkeit bieten, eine Erkennung zu identifizieren und an ein angreifbares Element zu binden. Erkennungsschlüssel sind integrationsspezifisch.
    Tabelle : 1. Erkennungsschlüsselkonfigurationen
    Scanner Schwachstelle Port Protokoll Asset-ID Nachweis NIC
    Qualys-IDs Ja Ja Ja Ja Nein NA
    Tenable Ja Ja Ja Ja Nein NA
    Rapid7 Ja Ja Ja Ja Ja (Groß-/Kleinschreibung wird nicht beachtet) Ja
    Hinweis:
    • Wenn der Erkennungsschlüssel nicht angegeben ist oder für Versionen vor Vulnerability Response 14.0 verwendet wird, ist der Erkennungsschlüssel eine Kombination aus Schwachstelleneintrag, Port, Protokoll, Asset-ID und Nachweis.
    • Ab v19.0 von Vulnerability Responsewird eine neue Erkennungsschlüssel-NIC für Rapid7 InsightVMhinzugefügt, die standardmäßig aktiviert ist. Vorhandene Erkennungen ohne NIC werden mit der ersten eingehenden NIC in der Nutzlast von Rapid7aktualisiert. Der Erkennungsschlüssel wird bei der Erkennung einschließlich der NIC neu berechnet und gefüllt. Neue Erkennungen werden erstellt, wenn ähnliche Erkennungen mit unterschiedlichen NIC-Werten erkannt werden. Für diese Daten wird kein Rollup in der Tabelle der angreifbaren Elemente durchgeführt. Der NIC-Wert wird in einer neuen Spalte in den Tabellen sn_vul_detection_key_config und sn_vul_detection gespeichert.
    De duplizieren
    Prozess, der von der Anwendung Vulnerability Response zum Reduzieren einzelner Erkennungen in einem einzigen VI verwendet wird, wenn die Daten bestimmte hartcodierte Kriterien erfüllen.
    Externe AE-ID
    Der Wert, der im Feld „Externe ID“ der VI-Tabelle gespeichert ist. Dieser Wert ist ein Hash, der aus der Kombination von Schlüsseln innerhalb eines AE besteht, der darstellt, was ihn in der Anwendung einzigartig macht. Er besteht aus einem CI und einem angreifbaren Eintrag.

    Öffnen Sie gelöste angreifbare Elemente erneut

    Angreifbare Elemente, die in Ihrer Instanz Now Platform auf „ Gelöst “ gesetzt wurden, aber durch die nachfolgenden Integrationsausführungen nicht in den Status „ Geschlossen“/ „Behoben“ versetzt wurden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Geschlossene VIs mit dem Substatus „Repariert“ oder „ Veraltet “ werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die VIs mit der neuen Schwachstelle abgeglichen werden können.

    Gemäß der Skripteinbindung DetectionBase, Methode _shouldReOpenVI()wird die VIT, die zuvor mit dem SubstatusFest, Veraltet oder CIAußer Betrieb genommen Geschlossenwar, erneut geöffnet, und die Erkennung wird der vorhandenen VIT zugeordnet.

    Angenommen, das Datum der Schließung eines VIT liegt nach dem Datum „last_found“ einer Erkennung. Sie erwarten, dass diese VIT-Datensätze geschlossen bleiben. Wenn Sie jedoch sehen, dass eine zuvor geschlossene VIT erneut geöffnet wird, bedeutet dies, dass die VIT durch eine frühere Erkennung geschlossen wurde und die Schwachstelle bei einem späteren Scan erneut gefunden wurde. Wenn eine neue Erkennung gefunden wird, die mit der geschlossenen VIT übereinstimmt, die dieselbe Schwachstelle im Configuration Item der VIT aufweist, wird die VIT erneut geöffnet.

    Für Rapid7 -Erkennungen ist auf der Rapid7-Konfigurationsseite in Ihrer -Instanz jetzt eine Option verfügbar, um gelöste AEs nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden VIs, die auf „Gelöst “ gesetzt, aber dann nicht von nachfolgenden Scans auf „ Geschlossen“/ „Behoben“ gesetzt wurden, nach der von Ihnen eingegebenen Anzahl von Tagen zurück in den Status „ Offen “ geändert.

    Wenn der Scanner bei Erkennungen vom Typ Qualys weiterhin AEs findet, die auf „ Gelöst “ festgelegt wurden, dann aber durch nachfolgende Scans nicht in den Status „ Geschlossen“/„Behoben “ übergingen, werden diese AEs zurück in den Status „ Offen “ verschoben, wenn das zuletzt gefundene Datum nach dem Gelöst-Datum liegt.

    Zeigen Sie Erkennungsdaten an

    Sie können die Daten, die aus Erkennungen von angreifbaren Elementen importiert wurden, im VI-Datensatz anzeigen. Weitere Informationen finden Sie unter Zeigen Sie Vulnerability Response Erkennungsdaten für angreifbare Elemente an und Überprüfen Sie Vulnerability Response die Erkennungsdaten für angreifbare Elemente in Integrationsausführungsdatensätzen (VINTRUN)..