Verstehen von Rapid7 Vulnerability-Integration
Die ServiceNow® Rapid7 Vulnerability-Integration Verwendet Daten, die aus importiert wurden Rapid7Data Warehouse oder Rapid7 InsightVMProdukte, mit denen Sie die Auswirkungen und Priorität potenziell böswilliger Bedrohungen bestimmen können.
Rapid7 NexposeSensoren erfassen Daten und senden sie automatisch An Rapid7Data Warehouse (lokal) oder Rapid7 InsightVM(Cloudbasierte) Produkte, die die Informationen kontinuierlich analysieren und korrelieren. Lässt sich problemlos in integrieren ServiceNow® Vulnerability ResponseDient zum Zuordnen von Schwachstellen zu CIs und Services. Die Rapid7 Vulnerability-IntegrationErgänzt die Schwachstellendaten in Ihrer Instanz.
Für jeden Integrationsdatensatz ist ein „Ausführen als“-Anwender konfiguriert. Der Standardwert für diesen Anwender ist VR.System . Ändern Sie diesen Wert nicht.
Verfügbare Versionen
| Release-Version für Yokohama | Release-Hinweise |
|---|---|
Rapid7 Vulnerability-Integration V13.6, 13,7 |
Informationen zur Kompatibilität finden Sie unter KB0856498 Kompatibilitätsmatrix für Schwachstellenantwort und Änderungen am Releaseschema |
Rollen
- sn_vul_r7.admin: Kann Datensätze lesen, schreiben und löschen.
- sn_vul_r7.user: kann Datensätze lesen und schreiben.
- sn_vul_r7.read: Kann Datensätze lesen.
Persona und granulare Rollen sind verfügbar, um zu verwalten, was Anwender und Gruppen in sehen und tun können Vulnerability ResponseAnwendung. Eine erste Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie zu Vulnerability ResponsePersona-Rollen mit Setup-Assistent. Weitere Informationen zur Verwaltung granularer Rollen finden Sie unter Verwalten Sie Persona und granulare Rollen für Vulnerability Response.
Rapid7 Vulnerability-Integration-Integrationen
Um anzuzeigen Rapid7 Vulnerability-Integration, Navigieren Sie zu an.
Die folgenden Integrationen sind im Basissystem enthalten.
| Integration | Beschreibung |
|---|---|
| Rapid7 Vulnerability-Integration | Ruft Schwachstellendaten von ab Rapid7 NexposeUnd verarbeitet es in Ihrer Instanz. |
| Rapid7 Asset-Listenintegration | Ruft Scan-Daten einmal pro Woche von ab Rapid7 NexposeData Warehouse und speichert es im Modul „erkannte Elemente“ in Ihrer Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht mit gescannt wurden Letzter Scan Datum. Zeigen Sie an Letzter Scan Zeit in der Liste „erkannte Elemente“ in Vulnerability Response. |
| Rapid7 Kategorieintegration | Ruft Kategorieinformationen von ab Rapid7 Nexpose. Kategorien bieten eine allgemeine Klassifizierung für Schwachstellen. |
| Rapid7 Exploit-Integration | Ruft Exploit-Informationen von ab Rapid7 Nexpose. |
| Rapid7 Malware-Kit-Integration | Ruft Informationen zum Malware-Kit von ab Rapid7 Nexpose. |
| Rapid7 Referenzintegration | Ruft Verweise auf externe regulatorische Dokumente ab, z. B. CVEs oder Lieferantenspezifische Schwachstellenreferenzen. |
| Rapid7 Lösungsintegration | Ruft Lösungsdaten von ab Rapid7 Nexpose, Der empfohlene Lösungen für bestimmte Schwachstellen bereitstellt. |
| Rapid7 Ersatzlösungsintegration | Ruft Informationen darüber ab, welche Lösungen durch andere Lösungen ersetzt werden. |
| Rapid7 Erforderliche Lösungsintegration | Ruft Informationen zu den Lösungen ab, die Voraussetzungen für andere Lösungen sind. Wenn diese Integration ausgeführt wird, wird die Zuordnung von Lösungen und erforderlichen Lösungen von abgerufen Rapid7Data Warehouse. Hinweis: Diese Integration funktioniert nur, wenn Vulnerability Solution ManagementPlugin ist aktiviert. |
| Rapid7 Integration Der Schwachstellenlösungszuordnung | Ruft die Zuordnung ab, um Lösungen Schwachstellen zuzuordnen. |
| Rapid7 Integration Angreifbarer Elemente | Ruft Daten angreifbarer Elemente von ab Rapid7 NexposeUnd verarbeitet es in Ihrer Instanz. Die Ausgaben dieser Integration sind angreifbare Elemente. |
| Rapid7 Integration Der Lösung Angreifbarer Elemente | Ruft Informationen darüber ab, in welchen angreifbaren Elementen als geschlossen markiert werden Rapid7 NexposeUnd schließt die entsprechenden angreifbaren Elemente in Vulnerability Response. |
| Rapid7 Site-Integration | Ruft Standortdaten von ab Rapid7 Nexpose. Eine Website ist eine Sammlung von Assets, die für einen Scan bestimmt sind. |
| Rapid7 Asset-Listenintegration | Ruft Host-Tags und Scan-Daten einmal pro Woche von ab Rapid7Data Warehouse und speichert es im Modul „erkannte Elemente“ in Ihrer Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht mit gescannt wurden Letzter Scan Datum. Zeigen Sie an Letzter Scan Zeit in der Liste „erkannte Elemente“ in Vulnerability Response |
| Rapid7 Umfassende Integration Angreifbarer Elemente | Importiert alle Rapid7-Erkennungen für alle Konfigurationselemente, die seit der letzten erfolgreichen Integrationsausführung gescannt wurden. Basierend auf den aktuell importierten Daten werden angreifbare Elemente, die kürzlich während Scans nicht gefunden wurden, automatisch in den Status „Geschlossen“ versetzt, wenn das Modul „veraltete angreifbare Elemente automatisch schließen“ aktiviert ist. |
| Integration | Beschreibung |
|---|---|
| Rapid7 Integration angreifbarer Elemente – API | Ruft Daten angreifbarer Elemente von ab Rapid7InsightVM und verarbeitet es in Ihrer Instanz. |
| Rapid7 Vulnerability-Integration – API | Ruft Referenz-, Kategorie-, Exploit-, Malware-Kit- und Schwachstellendaten von ab Rapid7InsightVM und verarbeitet es in Ihrer Instanz. |
| Rapid7 Asset-Listenintegration: API | Ruft Host-Tags und Scan-Daten einmal pro Woche ab ab ab Rapid7 InsightVMUnd speichert es im Modul „erkannte Elemente“ in Ihrer Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht mit gescannt wurden Letzter Scan Datum. Zeigen Sie an Letzter Scan Zeit in der Liste „erkannte Elemente“ in Vulnerability Response. |
| Rapid7 Umfassende Integration angreifbarer Elemente – API | Importiert alle Rapid7-Erkennungen für alle Konfigurationselemente, die seit der letzten erfolgreichen Integrationsausführung gescannt wurden. Basierend auf den aktuell importierten Daten werden angreifbare Elemente, die kürzlich während Scans nicht gefunden wurden, automatisch in den Status „Geschlossen“ versetzt, wenn das Modul „veraltete angreifbare Elemente automatisch schließen“ aktiviert ist. |
| Rapid7 Site-Integration | Ruft Standortdaten von ab Rapid7 InsightVMProdukt. Diese Integration ist so festgelegt, dass sie wöchentlich um 00:00:00 ausgeführt wird. |
Während des Imports werden CVE-Datensätze, die noch nicht vorhanden sind, als NVD-Datensätze erstellt und in Drittparteieinträgen für referenziert Rapid7Standardmäßig. Die Vorlagenintegration für Rapid7Kann nicht gelöscht werden. Deaktivieren Sie es stattdessen.
Der Service Graph Connector für Rapid7
Ab Version 2,0 ist der Service Graph Connector für Rapid7 über verfügbar ServiceNow® Store. Weitere Informationen finden Sie unter Service Graph Connector for Rapid7.
CI-Suchregeln
CI-Suchregeln bestimmen, wie ausgefüllt wird Konfigurationselement Feld in einem Datensatz eines angreifbaren Elements.
Weitere Informationen zur Funktionsweise von CI-Suchregeln finden Sie unter CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability ResponseIntegrationen von Schwachstellen von Drittparteien.
Erkannte Elemente
Siehe Erkannte ElementeIn Vulnerability ResponseFür weitere Informationen zum Modul „erkannte Elemente“.
Host-Tags
Host-Tags werden als Teil von importiert Rapid7Asset-Listenintegration: API-Integration für Rapid7 InsightVM. Sie werden hauptsächlich zum Filtern verwendet Vulnerability ResponseRegeln für Zuweisungs- und Korrekturaufgaben in Rapid7 InsightVM. Sie werden im Formular „erkanntes Element“ angezeigt.
- Beim Tag-Speicher wird die Groß-/Kleinschreibung nicht beachtet. Wenn ein San Diego Tag wird erstellt, dann ein SAN DIEGO Tag kann nicht in der Host-Tag-Tabelle gespeichert werden. „San Diego“ und „SAN DIEGO“ werden als dasselbe Host-Tag betrachtet. Das Tag, das importiert wurde, gewinnt zuerst.
- Die Verwendung von Host-Tags als Gruppenschlüssel in einer Korrekturaufgabenregel kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
- Host-Tags werden von der globalen Systemeigenschaft gesteuert sn_vul.import_host_tags . Diese Eigenschaft ist standardmäßig auf „wahr“ festgelegt. Wenn Sie Tags deaktivieren, werden sie für alle Instanzen deaktiviert.
Standorte
Eine Website ist eine Sammlung von Assets, die für einen Scan bestimmt sind. Eine Site besteht aus Ziel-Assets, einer Scan-Vorlage, einem oder mehreren Scan-Engines und anderen Scan-bezogenen Einstellungen wie Zeitplänen oder Warnungen. Sites werden von verwaltet Rapid7Anwendungen.
Rapid7 Vulnerability-Integration Durch die Standortfilterung während der Konfiguration können Sie Assets während des Imports nach Site kategorisieren und anfordern. Siehe Wird gefiltert nach Rapid7SitesWeitere Informationen zum Filtern von Importen.
Die Rapid7Data Warehouse und Rapid7 InsightVMSites-Integrationen importieren Sites als wöchentliche geplante Aufgabe.
Navigieren Sie zu , um die importierten Sites in einer Liste anzuzeigen an.
Öffnen Sie gelöste angreifbare Elemente erneut, die nicht durch Scans geschlossen wurden
Angreifbare Elemente in auf „gelöst“ festgelegt Now PlatformInstanz, die jedoch nicht von den nachfolgenden Integrationsausführungen in den Status „Geschlossen/behoben“ versetzt wurde, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.
Für Rapid7Erkennungen ist jetzt auf der Rapid7-Konfigurationsseite in Ihrer Instanz eine Option verfügbar, um gelöste VIS nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden VIS auf „gelöst“ festgelegt, aber dann nicht in „Geschlossen/behoben“ übergegangen, indem nachfolgende Scans nach der von Ihnen eingegebenen Anzahl von Tagen zurück zu „Offen“ wechseln.
CIs mit der Identifizierungs- und Abgleichsmodul (Ire) erstellen
Sie können die Identifizierungs- und Abgleichsmodul verwenden, um neue CIs zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann, der von einem Scanner einer Drittpartei importiert wurde. Aktivieren Sie das Plugin „CMDB-CI-Klassenmodelle“, um CIs mit den neuen Klassen zu erstellen. Andernfalls werden nicht übereinstimmende CIs in den nicht übereinstimmenden CI-Klassen erstellt. Weitere Informationen finden Sie unter CIs für werden erstellt Vulnerability ResponseVerwendung der Identifizierungs- und Abgleichsmodul. Weitere Informationen zum Konfigurieren der Kategorisierung nicht abgeglichener Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets wird aktualisiert.
Angreifbare Elemente erneut scannen
Initiieren Sie erneutes Scannen in Rapid7Plattform, um sicherzustellen, dass Ihre angreifbaren Elemente zwischen geplanten Scanzyklen behoben wurden. Weitere Informationen finden Sie unter Initiieren Sie einen erneuten Scan für Rapid7Schwachstellenintegration.
Apps im Store anfordern
Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.
Rapid7 Lösungsmanagement
Wenn Sie aktiviert haben Vulnerability Solution ManagementPlugin, dann Rapid7Lösungen für beide Rapid7Data Warehouse und Rapid7 InsightVMWird in der Tabelle „Schwachstellenlösungen“ [sn_vul_Solution] ausgefüllt. Wenn Sie jedoch nicht aktiviert haben Vulnerability Solution ManagementPlugin, dann Rapid7 Vulnerability-IntegrationFunktioniert unverändert und importiert die Lösungen in die anwenderdefinierte Tabelle [sn_vul_r7_solution]. Weitere Informationen finden Sie unter Rapid7 Lösungsmanagement.