Vulnerability Response-Integrationen

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

3 Minuten Lesedauer

Vulnerability Response beinhaltet Unterstützung für Drittanbieterintegrationen. Dieser Abschnitt enthält einige grundlegende Richtlinien für die Entwicklung eigener Integrationen.

Integrationen von Drittparteien

Importierte Schwachstellen aus der National Vulnerability Database (NVD) und Erkennungsdaten von Drittanbieter-Scannern werden mit den Assets in Ihrer CMDB abgeglichen. Wenn eine importierte Schwachstelle mit einem vorhandenen Asset übereinstimmt, wird ein angreifbares Element erstellt. Angreifbare Elemente werden automatisch in zu korrigierenden Aufgaben gruppiert, mit Risikobewertung für den Geschäftskontext bewertet, priorisiert und den entsprechenden Teams zur Korrektur zugewiesen.

Hinweis:

Drittanbieterintegrationen werden separat behandelt. Wenn in Ihrer Umgebung mehr als eine Integrationsanwendung von Drittparteien verwendet wird, gibt es keine integrationsübergreifende Deduplizierung angreifbarer Elemente (VIs, Vulnerable Items). Beispielsweise ist die VI-Deduplizierung zwischen Rapid7 und Qualys nicht verfügbar.

Nichtübereinstimmungen in der Erkennungsanzahl zwischen einem Drittanbieterscanner (z. B. Qualys) und VIs in Ihrer Instanz ServiceNow sind jedoch zu erwarten, da die Deduplizierung über IPs, Ports usw. erfolgt.

Informationen zu von Application Vulnerability Response unterstützten Drittanbieterintegrationen finden Sie unter Integration von Application Vulnerability Response mit anderen Anwendungen

Integration von CISA Known Exploit Vulnerability (KEV)
Informationen zur Schwachstellenintegration von Microsoft Threat and Vulnerability Management
Informationen zur Integration der HCL BigFix Patch Orchestration in mit Vulnerability Response
Informationen zur Integration der Vulnerability Response Patch Orchestration mit Microsoft SCCM
Grundlagen zu NVD-Integrationen
Qualys Vulnerability Integration
Rapid7 Vulnerability-Integration verstehen
Shodan Exploit Integration
Die Tenable-Schwachstellenintegration verstehen
Integration der Microsoft Security Response Center-Lösung
Integration der Microsoft Security Response Center-Lösung ist mit Vulnerability Solution Managementverfügbar. Informationen zur Installation und Konfiguration von Integration der Microsoft Security Response Center-Lösung und Red Hat Solution Integrationfinden Sie unter Anwendung Solution Management for Vulnerability Response installieren. Sie können Integration der Microsoft Security Response Center-Lösung und Red Hat Solution Integration im Setup-Assistenten konfigurieren, bearbeiten, planen und bei Bedarf starten.

Zusätzliche Hinweise zu Integrationen

Wenn für eine Integration mehrere Bereitstellungen unterstützt werden, finden Sie weitere Informationen unter Erstellen Sie domänengetrennte Importe für eine Integration.

Sie können viele der Integrationsanwendungen vom Setup-Assistenten aus installieren, konfigurieren, planen und bei Bedarf starten.
Sie können die Anwendung Rapid7 Vulnerability-Integration über den Setup-Assistenten installieren, die Konfiguration dieser Integration wird jedoch nicht vom Setup-Assistenten unterstützt. Weitere Informationen finden Sie unter Rapid7 Vulnerability-Integration installieren.
Die Anwendung Tenable for Vulnerability Response von Tenable wird von Tenable erstellt und verwaltet. Weitere Informationen finden Sie unter Tenable for Vulnerability Responsean.

Während der Ausführung der Integration werden mehrere Prozesse generiert, und Daten werden in Form von Seiten empfangen. Jeder Prozess kann einen oder mehrere Importwarteschlangeneinträge mit angehängten Daten in Seiten enthalten. Diese Einträge müssen die Daten innerhalb der Frist von einer Stunde verarbeiten. Wenn die Nutzlast jedoch groß ist, kann die Verarbeitungszeit eine Stunde überschreiten oder hängen bleiben, was zu einem Integrations-Timeout-Fehler führt. Die Integration verarbeitet die Daten weiterhin, auch wenn der Zeitüberschreitungsfehler aufgetreten ist. Um diese Fehlkommunikation zu vermeiden, werden ab Version 18.2.4 von Vulnerability Responseregelmäßig Zeitstempel (Heartbeats) gesendet, um anzuzeigen, ob die Warteschlange aktiv ist und Daten verarbeitet. Das Feld „ Letzter verarbeiteter Datensatz “ auf der Seite „Importwarteschlangeneintrag“ wird basierend auf der Anzahl der Datensätze aktualisiert, die von der Importwarteschlange erstellt oder aktualisiert werden. Falls ein Importwarteschlangeneintrag die Zeitbegrenzung von einer Stunde überschreitet, prüft das System im Feld Letzter verarbeiteter Datensatz, ob er auch älter als eine Stunde ist. Wenn dies der Fall ist, weist dies darauf hin, dass der Importwarteschlangeneintrag feststeckt und eine Zeitüberschreitung aufweist, um weitere Verzögerungen bei der Verarbeitung zu verhindern.

Hinweis:

Das Feld „ Letzter verarbeiteter Datensatz “ wird basierend auf den Einstellungen in den folgenden Systemeigenschaften aktualisiert:

sn_sec_cmn.record_threshold_heartbeat: Definiert die Anzahl der verarbeiteten Datensätze, nach denen der Takt (Zeitstempel) an den Importwarteschlangeneintrag gesendet wird.
sn_sec_cmn.maximum_heartbeat_delay: Definiert die Zeit, nach der das Zeitlimit für den Importwarteschlangeneintrag überschritten werden muss.

Ab VR v17.1 wurden die folgenden Statusnamen des Integrationsprozesses aktualisiert:


Statusname vor V17.1	Statusname V17.1 und höher
In Verarbeitung	Wird abgerufen
WartenAbgeschlossen	Warten/Bearbeitung läuft

Hinweis:

Sie können die Anhänge anzeigen, die heruntergeladen und verarbeitet werden. Wenn der Status der Integrationsausführung warten – abgeschlossen ist, wird der Prozentsatz der abgeschlossenen Integration angezeigt.

Manuell erstellte Integrationen

Sie können bei Bedarf weitere Integrationen hinzufügen, die nicht als ServiceNow Store -Anwendungen verfügbar sind. Weitere Informationen finden Sie unter Erstellen Sie manuell eine Schwachstellen-Integration.