Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute Integration
Mit der Prisma-Cloud-Computing-Integration können Sie Container-Images scannen, um Schwachstellen zu erkennen.
Ab Version 23.0 von Vulnerability Responsekönnen Sie Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute in der Anwendung Container Vulnerability Response verwenden, um Schwachstellen auf den laufenden Hosts zu importieren. Die Prisma-Host-APIs ermöglichen das Abrufen umfassender Schwachstelleninformationen für einen bestimmten Host und liefern außerdem einen Snapshot der Host-Schwachstellen zu einem bestimmten Zeitpunkt. Diese API ermöglicht die regelmäßige Synchronisierung zwischen Prisma- und ServiceNow-Instanz. Da Prisma sowohl als Software-as-a-Service-Lösung (SaaS) als auch als lokale Lösung angeboten wird, ist die Verwendung eines MID Servers erforderlich, um Prisma-APIs aus der ServiceNow-Instanz aufzurufen.
Ab Version 16.1 von Vulnerability Responsekönnen Sie Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute in der Anwendung Container Vulnerability Response verwenden, um Container-Image-Schwachstellendaten für bereitgestellte Container zu importieren. Anschließend können Sie in den Dashboards Vulnerability Response Berichte zu Schwachstellen und angreifbaren Elementen anzeigen. Diese Schwachstellen können dann priorisiert und behoben werden.
Wenn sich das Produkt Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute und Ihre Instanz Now Platform nicht in derselben Umgebung befinden, müssen Sie einen MID-Server verwenden. Weitere Informationen finden Sie unter Systemanforderungen für MID-Server.
Integrationen anzeigen
Sie können die Integrationen anzeigen, die Teil von Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Computesind. Um die Integrationen anzuzeigen, navigieren Sie zu .
Die folgenden Integrationen sind verfügbar.
| Ausführungssequenz | Zeitplan | Integration | Beschreibung |
|---|---|---|---|
| 1 | Täglich | Prisma-Cloud-Computing – Basis-Image-Integration | Ruft die Schwachstellen für Basis-Images von der Prisma-API ab und meldet die Schwachstellen der Basis-Images separat. Außerdem werden Image-Ergebnisse und angreifbare Elemente erstellt, die auf die Basis-Images verweisen. |
| 2 | Täglich | Prisma-Cloud-Computing-Schwachstellenintegration | Ruft Container-Schwachstellen ab. Erstellt Ergebnisse, angreifbare Container-Elemente (CVITs) und erkannte Container-Images. |
| 3 | Bei Bedarf | Prisma-Cloud-Computing – Containeranzahl-Integration | Ruft die Containeranzahl für jedes Nicht-Basis-Image ab. |
| 4 | Täglich | Prisma-Cloud-Computing-Registrierungsintegration | Ruft statische Bildergebnisse ab, die beim Prisma-Registrierungsscan erhalten wurden, und erfasst sie in Container Vulnerability Response. |
Basis-Image-Konfiguration in Prisma
In der Prisma-Konsole können Sie die Registrierung und dann die Basis-Images aus diesen Registrierungen konfigurieren. Wenn im Basisimage eine Schwachstelle vorhanden ist und Sie die Prisma-Cloud-Computing-Basisimage-Integration ausführen, wird das Kontrollkästchen Basisimage aktiviert, um anzuzeigen, dass die Schwachstellen im Basisimage vorhanden sind.
Konfigurieren Sie die CVR-basierte VI-Granularität
Um die Granularität von CVITs zu konfigurieren, navigieren Sie zu und geben Sie die Tastenkombinationen an. Standardmäßig wird eine CVIT für eine Kombination aus Image-Repository, Image und Schwachstelle erstellt. Sie können dem Schlüssel zusätzliche Komponenten hinzufügen, um die Granularität zu erhöhen. Sie können beispielsweise eine CVIT für eine Kombination aus Image-Repository, Image, Schwachstelle und Cluster erstellen.
Ab v2.12.1 von Container Vulnerability Responsekönnen Sie die Granularität von angreifbaren Elementen in Containern (Container Vulnerable Items, CVITs) auch mithilfe von Registrierungsinformationen und Datenquellen konfigurieren. Der Namespace und die Clusterinformationen werden sowohl vom Scanner als auch von Discoveryempfangen. Wenn Sie diese Informationen nur von Discoveryerhalten möchten, können Sie Discovery-Informationen im Feld Datenquelle auswählen. Abhängig von der ausgewählten Datenquelle können Sie entweder Bild- oder Kubernetes-Informationen anzeigen, die sich auf einen CVIT-Datensatz beziehen.
Wenn Scannerinformationen ausgewählt sind, zeigt der CVIT-Datensatz die Felder Image-Cluster und Image-Namespace an.
Wenn Discovery-Informationen ausgewählt sind, zeigt der CVIT-Datensatz Kubernetes-Cluster- und Kubernetes-Namespace- Felder an.
Prisma-Integrations Prozess
Wenn Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute ausgeführt wird, wird geprüft, ob in der Tabelle der National Vulnerability Database (NVD) ein Common Vulnerability and Exposure (CVE) vorhanden ist. Wenn sie bereits vorhanden ist, werden die vorhandenen Informationen verwendet. Wenn das CVE jedoch nicht gefunden wird, werden in der NVD-Tabelle Platzhalterdatensätze generiert. Beim Erstellen dieser Platzhalter-NVD-Datensätze werden zunächst nur das CVE und sein Name ausgefüllt. Andere Details werden nicht mit der Annahme ausgefüllt, dass die NVD-Integration diese Details später ausfüllt. Wenn der Parameter der Integrationsinstanz update_nvd auf true festgelegt ist, werden die Platzhalter-NVD-Datensätze aktualisiert. Standardmäßig ist der Instanzparameter auf „falsch“ festgelegt. Zumindest bis die NVD-Integration ausgeführt wird und diese Details ausfüllt, ist jedoch ein gewisses Verständnis des CVE erforderlich, z. B. sein Schweregrad oder andere Details zum Problem. Um diese Anforderung zu erfüllen, werden die Felder Exploit vorhanden und Korrekturhinweise mit den aus Prisma erhaltenen Details ausgefüllt. Darüber hinaus ist diese Konfiguration anpassbar, sodass Sie beliebige andere Felder angeben können, die Sie im NVD-Eintrag basierend auf den von Prisma bereitgestellten Informationen ausfüllen möchten.