Vulnerability Response Erkennungen angreifbarer Elemente aus Drittpartei-Integrationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Zeigen Sie alle Informationen an, die von Drittpartei-Scans in erfasst werden Now Platform®Instanz. Zeigen Sie die zurückgegebenen Ergebnisse der Scans für Erkennungs- und angreifbare Elemente (VI)-Datensätze in Ihrer Instanz an, da diese Ergebnisse auf den Scannern angezeigt werden.

    Übersicht

    Die Vulnerability ResponseDie Anwendung unterstützt Drittpartei-Integrationen, die Daten angreifbarer Elemente aus Ihrer Enterprise-Umgebung abrufen. Detaillierte Daten zu Erkennungen, d. h. einzelne, eindeutige Vorkommen von Schwachstellen, die von den Scannern Ihrer Drittanbieterintegrationen gemeldet werden, werden importiert und sowohl in den Erkennungs- als auch in den Datensätzen für angreifbare Elemente in Ihrer Now Platform-Instanz angezeigt.

    Drittpartei-Integrationen rufen Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, wie von den Scannern gemeldet. Erkennungsdaten werden mit angreifbaren Elementen gekoppelt, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn kein VI gefunden wird, wird ein neues erstellt. Erkennungen werden nur von Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden werden.

    In vorherigen Versionen von Vulnerability Response, Erkennungen angreifbarer Elemente, die Beziehung zwischen einem CI (Asset) in Ihrer Umgebung und einer importierten Schwachstelle von einem Scanner einer Drittpartei haben ein eindeutiges angreifbares Element in Ihrer Now Platform-Instanz erstellt.

    Die Granularität der vom Scanner bereitgestellten Originaldaten wird beibehalten. Bei Erkennungen werden die Erkennungsdaten mit angreifbaren Elementen gekoppelt. Wenn während einer Erfassung kein angreifbares Element gefunden wird, wird ein neues VI erstellt.

    Ab Version 21.1.2 von Vulnerability Response, Eine Systemeigenschaft sn_vul.show_last_open_detectionWird im Basissystem bereitgestellt. Standardmäßig ist der Wert dieser Eigenschaft auf „falsch“ festgelegt, und das aktuelle Verhalten der Zusammenfassung der Werte aus der ersten Erkennung zum VI bleibt unverändert. Wenn dieser Wert jedoch auf „wahr“ festgelegt ist, wird ein VI automatisch mit der letzten offenen Erkennung nach einer Erfassung aktualisiert. Die Felder wie IP-Adresse, SSL, Port, Protokoll, NetBIOS, und Nachweise werden für die VI-Erkennungen aktualisiert. Bei Bedarf können Sie die Erkennungsfelder anpassen, die aktualisiert werden sollen, indem Sie ändern DetectionBase Skript.

    Um die Werte für die letzte offene Erkennung anzuzeigen, navigieren Sie zu Letzte Offene Erkennung Registerkarte in der VI-Formularansicht. Um alle im letzten Jahr geöffneten VIS mit den letzten offenen Erkennungswerten zu aktualisieren, können Sie die geplante Aufgabe ausführen Update Last Open Detection Value To VITsBei Bedarf. Diese geplante Aufgabe wird auch im Basissystem bereitgestellt.

    Hinweis:
    Wenn sich ein Konfigurationselement (CI) an einem erkannten Element ändert, werden die entsprechenden Updates auch in den Erkennungen berücksichtigt. Daher können die Erkennungen von einem VI in ein anderes VI verschoben werden Basierend auf dieser Änderung und dem Wert von sn_vul.show_last_open_detectionEigenschaft, werden die Werte der Erkennungen zu den Quell- und Ziel-VIS zusammengefasst.

    Unterstützte Versionen von Vulnerability Response

    Für weitere Informationen zur Installation oder Aktualisierung von Vulnerability ResponseAnwendung, siehe Vulnerability Response installieren.

    Unterstützte Drittpartei-Integrationen

    Eine unterstützte Drittpartei-Integration mit Ihrem Vulnerability ResponseAnwendung ist für Erkennungen angreifbarer Elemente erforderlich. Die folgenden Drittpartei-Integrationen werden von unterstützt Vulnerability ResponseAnwendung für Erkennungen angreifbarer Elemente:
    • Qualys-Host-Erkennungsintegration
    • Rapid7-Datenlager:
      • Integration Angreifbarer Elemente
      • Integration Der Lösung Angreifbarer Elemente
    • Rapid7 – Lösungsintegration für angreifbare Elemente (InsightVM)
      • Insight VM-Integration
      • Integration angreifbarer Elemente – API
    • Tenable Vulnerability Integration
    • Microsoft Defender Threat and Vulnerability Management

    Diese Drittpartei-Integrationen sind mit einem separaten Abonnement von verfügbar ServiceNow Store. Weitere Informationen zu diesen Integrationen finden Sie unter Vulnerability Response-IntegrationenUnd Security Operations Und ServiceNow StoreUm weitere Informationen zum Abrufen der Berechtigung zu erhalten.

    Informationen zum Überprüfen, ob Ihr Drittpartei-Scanner für den Import konfiguriert ist, finden Sie unter Installieren und konfigurieren Sie die Anwendung „Rapid7-Integration für Security Operations“ Und Installieren Sie Qualys Vulnerability Integration.

    Schlüsselbegriffe für Erkennungen angreifbarer Elemente

    Schwachstelle
    Daten zu Schwachstellen in Software, Betriebssystemen und Assets, die aus internen und externen Quellen importiert wurden. Diese Daten werden importiert und mit vorhandenen Assets (Konfigurationselemente, CIs) verglichen, die in der CMDB aufgeführt sind.
    Angreifbares Element
    Ein angreifbares Element wird erstellt oder aktualisiert, wenn eine importierte Schwachstelle einem CI in der CMDB entspricht.
    Erkennung
    Ein einzelnes, eindeutiges Vorkommen einer Schwachstelle, wie von einem Scanner gemeldet, der als Erkennung angreifbarer Elemente bezeichnet wird Now PlatformUmgebung. Eine Erkennung enthält angereicherte Daten zu einer Schwachstelle und allen entsprechenden angreifbaren Elementen. Diese Daten werden im Erkennungsdatensatz (VID#) und in der Listenansicht angreifbarer Elemente angezeigt, die die folgenden Details enthält:
    • Zuerst gefunden (Daten)
    • Zuletzt gefunden (Datum)
    • DNS-Name
    • Net BIOSName
    • IP-Adresse
    • Port
    • Protokoll
    • Nachweis
    • SSL
    • Anzahl Ermittlungen
    Hinweis:
    Das Hinzufügen einer Business-Regel in der Erkennungstabelle wirkt sich auf die Leistung der Erfassung aus.
    Erkennungsschlüssel
    Eine Kombination von Feldern mit Hash, die eine Möglichkeit zum Identifizieren und Verknüpfen einer Erkennung mit einem angreifbaren Element bot. Erkennungsschlüssel sind integrationsspezifisch.
    Tabelle : 1. Erkennungsschlüsselkonfigurationen
    Scanner Schwachstelle Port Protokoll Asset-ID Nachweis NIC
    Qualys-IDs Ja Ja Ja Ja Nein NA
    Tenable Ja Ja Ja Ja Nein NA
    Rapid7 Ja Ja Ja Ja Ja (Groß-/Kleinschreibung wird nicht beachtet) Ja
    Hinweis:
    • Wenn der Erkennungsschlüssel nicht angegeben ist, oder für Versionen vor Vulnerability Response14.0, der Erkennungsschlüssel ist eine Kombination aus Schwachstelleneintrag, Port, Protokoll, Asset-ID und Nachweis.
    De-dup
    Der von verwendete Prozess Vulnerability ResponseAnwendung der Reduzierung einzelner Erkennungen in einem einzelnen VI, wenn die Daten bestimmte hartcodierte Kriterien erfüllen.
    Externe VI-ID
    Der im Feld „externe ID“ der VI-Tabelle gespeicherte Wert. Dieser Wert ist ein Hash, der aus der Kombination von Schlüsseln in einem VI besteht und darstellt, was es innerhalb der Anwendung einzigartig macht. Sie besteht aus einem CI und einem angreifbaren Eintrag.

    Öffnen Sie gelöste angreifbare Elemente erneut

    Angreifbare Elemente auf festgelegt Gelöst In Ihrem Now PlatformInstanz, aber nicht zu übergegangen Geschlossen/Behoben Durch die nachfolgenden Integrationsausführungen werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Geschlossene VIS mit einem Substatus von Behoben Oder Veraltet Werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die VIS mit der neuen Schwachstelle abgeglichen werden können.

    Gemäß Skripteinbindung DetectionBase, Methode _shouldReOpenVI(), Wenn die VIT früher war Geschlossen Mit Substatus Behoben , Veraltet , Oder CI stillgelegt , Wird erneut geöffnet, und die Erkennung wird dem vorhandenen VIT zugeordnet.

    Beispiel: Das Abschlussdatum eines VIT liegt nach dem Datum Last_found einer Erkennung. Sie würden erwarten, dass diese VIT-Datensätze geschlossen bleiben. Wenn jedoch ein zuvor geschlossenes VIT erneut geöffnet wird, bedeutet dies, dass das VIT durch eine frühere Erkennung geschlossen wurde und die Schwachstelle in einem späteren Scan erneut gefunden wurde. Wenn eine neue Erkennung gefunden wird, die dem geschlossenen VIT entspricht, das dieselbe Schwachstelle im Konfigurationselement des VIT aufweist, wird das VIT erneut geöffnet.

    Für Rapid7Erkennungen ist jetzt auf der Rapid7-Konfigurationsseite in Ihrer Instanz eine Option verfügbar, um gelöste VIS nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden VIS auf festgelegt Gelöst Aber dann nicht zu übergegangen Geschlossen/Behoben Durch nachfolgende Scans geht zurück zu Offen Nach der von Ihnen eingegebenen Anzahl von Tagen.

    Für QualysErkennungen, wenn der Scanner weiterhin VIS findet, die auf festgelegt wurden Gelöst Aber dann nicht zu übergegangen Geschlossen/Behoben Durch nachfolgende Scans werden diese VIS zurück zu verschoben Offen Wenn das letzte gefundene Datum nach dem Lösungsdatum liegt.

    Erkennungsdaten anzeigen

    Sie zeigen die aus Erkennungen angreifbarer Elemente importierten Daten im VI-Datensatz an. Weitere Informationen finden Sie unter Ansicht Vulnerability ResponseErkennungsdaten für angreifbare Elemente und Verifizieren Vulnerability ResponseErkennungsdaten für angreifbare Elemente in Integrationsausführungs-Datensätzen (VINTRUN).