Container Vulnerability Response

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

8 Minuten Lesedauer

Die ServiceNow® Container Vulnerability Response Anwendung importiert angreifbare Container-Elemente (CVITs) Und gemäß den Regeln können Sie Container-Schwachstellen beheben. Schwachstellendaten werden aus internen und externen Quellen abgerufen, z. B. aus der National Vulnerability Database (NVD) oder Integrationen von Drittparteien.

Apps im Store anfordern

Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

Tabelle : 1. Container Vulnerability Response

Untersuchen Erfahren Sie mehr über Container Vulnerability Response-Konzepte und -Funktionen.

Konfigurieren Konfigurieren Sie Container Vulnerability Response.

Integrieren Erweitern Sie Container Vulnerability Response durch Integration mit anderen Anwendungen.

Verwenden Sie die Vulnerability Response-Arbeitsbereiche Erfahren Sie, wie Sie CVITs in den Arbeitsbereichen „Schwachstellenmanager“, „IT-Korrektur“ und „Schwachstellenbewertung“ überwachen, verwalten und beheben.

Beheben Erfahren Sie, wie Sie Container-Schwachstellen beheben können.

Analytics Und Reporting Zeigen Sie Analysen von Container Vulnerability Response an

Referenz Rufen Sie Details zu Container Vulnerability Response-Komponenten wie Feldern, Tabellen und Eigenschaften ab.

Vorteile

Die Container Vulnerability Response Die Anwendung bietet die folgenden Vorteile:

Integration in Container-Sicherheitsprodukte von Drittanbietern, z. B. Prisma Cloud Compute von Palo Alto Networks.
Importiert Schwachstellendaten für die Images, die zur Laufzeit bereitgestellt werden, und ergänzt die Schwachstellendaten mit Kontextinformationen zur Laufzeit (Hosts, Kubernetes-Cluster, Services und Namespaces).
Stellt eine Liste der Referenzen bereit, die aus Schwachstellen auf die relevanten Kubernetes-Entitäten in erstellt wurden Configuration Management Database (CMDB) Verwenden ServiceNow Kubernetes-Discovery.
Bietet ein umfassendes Reporting-Dashboard, das Einblicke in Schwachstellen- und Korrekturtrends bietet.

Schlüsselfunktionen

Die Container Vulnerability Response Die Anwendung verwaltet Schwachstellen, die in den Containern erkannt werden. Es bietet die folgenden Funktionen:

Zeigen Sie auf das Quell-Docker-Image aus CVITs, anstatt Container auszuführen.
Konfigurieren Sie die Granularität von CVITs, um sie auf Image-, Kubernetes-Cluster-, Namespace- oder Servicelevel nachzuverfolgen.
Verfolgen Sie neue Image-Versionen, um behobene Schwachstellen zu identifizieren. Alle in älteren Versionen gemeldeten Schwachstellen werden automatisch in gelöst ServiceNow Wenn neue Image-Versionen zur Laufzeit bereitgestellt werden.
Verfolgen Sie CVITs in Basis-Images getrennt von Anwendungs-Images, um eine unabhängige Korrektur zu ermöglichen.
Stellen Sie Ausnahmeanforderungen oder falsch positive Anforderungen, die über einen mehrstufigen Genehmigerprozess überprüft werden können.
Definieren Sie Ausnahmeregeln, um CVITs automatisch zurückzustellen.

Anwendungsfälle

Container sind eine großartige Möglichkeit, Anwendungen in mehreren Umgebungen mit weniger Overhead und erhöhter Portabilität bereitzustellen und zu skalieren. Schwachstellen in Container-Images können jedoch ein Risiko für den zugrunde liegenden Host und letztendlich für die Infrastruktur darstellen, in der Container von diesen Images gestartet wurden. Es gibt zwar viele Container-Sicherheitsprodukte, die Container-Images auf Schwachstellen scannen, aber es gibt einige Überlegungen und Probleme im Zusammenhang mit der Behebung der Schwachstellen. Container Vulnerability Response Kann bei der Lösung verschiedener Probleme oder Anwendungsfälle helfen, die bei der Behebung von Container-Image-Schwachstellen auftreten. Erkunden Sie, wie Sie die Vorteile von nutzen können Container Vulnerability Response Modul:

Laufzeitkontext

Schwachstellen in Container-Images können erkannt werden, indem das Image in den folgenden Phasen des Anwendungslebenszyklus gescannt wird.

Phase 1: Wenn Images in der CI/CD-Pipeline erstellt werden.
Phase 2: Wenn Bilder in der Registrierung veröffentlicht werden
Phase 3: Wenn Images zur Laufzeit bereitgestellt werden.

Es ist zwar wichtig, Schwachstellen in Phase 1 und Phase 2 so früh wie möglich zu identifizieren, aber die Durchführung eines Scans für die Images, die in einer Laufzeitumgebung bereitgestellt werden, ist ebenso wichtig. Es bietet die folgenden Vorteile:

Identifizierung neuer allgemeiner Schwachstellen und Risiken (CVEs), die veröffentlicht wurden.
Bietet einen genauen Einblick in die Risikosituation bereitgestellter Anwendungen.
Priorisierung von Schwachstellen, die gelöst werden müssen. Der Laufzeitkontext in Bezug auf die Anwendungsservices oder Business-Services, die aufgrund einer Schwachstelle betroffen sind, kann bei der Priorisierung helfen.

Container Vulnerability Response Integration mit Containersicherheitsprodukten wie Prisma Cloud Compute aus Palo Alto Networks Dient zum Abrufen der Schwachstellendaten für die Images, die zur Laufzeit bereitgestellt werden, und ergänzt die Schwachstellendaten mit den Kontextinformationen zur Laufzeit, z. B. Hosts, Kubernetes-Cluster, Services und Namespaces, auf denen diese Container-Images bereitgestellt werden. Kunden, die verwenden ServiceNow Die Kubernetes-Discovery kann die aus Schwachstellen erstellten Verweise auf die relevanten Kubernetes-Entitäten in ihren anzeigen Configuration Management Database (CMDB). Zusätzlich zur Ergänzung der Metadaten ServiceNow Bietet außerdem ein umfassendes Reporting-Dashboard, um Einblicke in die Trends bei Schwachstellen und Fehlerkorrekturen zu erhalten. Laufzeitkontext

Identifizieren Sie den Besitz

Voraussetzungen

Kubernetes-Metadaten und -Referenzen : Für Container Vulnerability Response Zum Ausfüllen von Kubernetes-Metadaten (Namespace, Cluster usw.) und Verweisen auf Configuration Management Database (CMDB) Einträge, müssen Sie die Kubernetes-Discovery aus implementieren Information Technology Operations Management(ITOM). Die Kubernetes-Discovery füllt das Docker-Image, die ausgeführten Docker-Container, Pods, Kubernetes-Cluster usw. im aus CMDB. Container Vulnerability Response Identifiziert das Docker-Image in CMDB Basierend auf der Image-ID identifiziert und dann die zugehörigen Kubernetes-Entitäten und füllt die Verweise auf diese Entitäten aus angreifbaren Elementen aus.
Cloud-Metadaten und Docker-Image-Bezeichnungen : Container Vulnerability Response Füllt auch Docker-Image-Bezeichnungen, Cloud-Account-IDs und Regionen aus, in denen ein Image bereitgestellt wird. Diese Daten werden im Datensatz „erkanntes Container-Image“ verwaltet, der dem angreifbaren Element zugeordnet ist. Es sind keine Voraussetzungen zum Ausfüllen dieser Daten vorhanden. Container Vulnerability Response Verwendet die Daten, die von Containersicherheitsprodukten (z. B. Palo Alto Prisma Cloud Compute) zurückgegeben werden, um diese Einträge auszufüllen.

Der Besitz für das Patchen einer Schwachstelle in einem Container-Image kann von Organisation zu Organisation variieren. Diese Informationen können an verschiedenen Orten erfasst werden. Einige Organisationen verwenden Docker-Image-Bezeichnungen, um die Anwendungsteams zu identifizieren, die ein bestimmtes Container-Image besitzen, während andere Organisationen den Kubernetes-Namespace oder den Cloud-Account verwenden, in dem ein Container-Image bereitgestellt wird, um den richtigen Besitzer zu identifizieren.

Container Vulnerability Response Stellt die erforderlichen Datenmodellelemente bereit, um die Docker-Image-Bezeichnungen, Kubernetes-Cluster-/Service-/Namespace-Metadaten oder die Cloud-Account-Metadaten (Cloud-Account-ID, Region, Provider usw.) im Modul „Zuweisungsregeln“ erfassen und verwenden zu können und Schwachstellen automatisch dem richtigen Anwendungsteam basierend auf den Metadaten des Image oder der Laufzeitumgebung zuzuweisen.

Besitzidentifizierung

Verfolgen Sie Schwachstellen in den Basis-Images nach

Voraussetzungen

Für die Eigenschaft „Basisbild“, die in ausgefüllt werden soll Container Vulnerability Response, Basis-Images müssen explizit in konfiguriert werden Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute Konsole. Weitere Informationen zum Konfigurieren von Basis-Images in Prisma Cloud finden Sie unter https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin- Compute/Vulnerability_Management/Base_images.

Container Vulnerability Response Ermöglicht die Erstellung separater Schwachstellendatensätze für eine Basisebene, damit sie einem anderen Team zugewiesen werden können.

Verfolgen Sie Schwachstellen, die in einem Basis-BS-Image wie Alpine identifiziert wurden, anhand der Schwachstellen, die in anderen Ebenen des Container-Image erkannt wurden. Viele Organisationen verfügen über dedizierte Teams, die dafür verantwortlich sind, Basis-BS-Images zu patchen und für alle Anwendungsteams verfügbar zu machen. Basis-Image

Definieren Sie die Granularität für angreifbare Elemente

Voraussetzungen

Konfigurieren Sie die Granularität von CVITs, indem Sie zu navigieren Alle > Container Vulnerability Response > Administration > VI-Granularität konfigurierenan.

VI-Granularität

Standardmäßig wird für jede eindeutige Kombination von CVE und Docker-Image-Version (Referenz + Tag) ein angreifbares Element erstellt. Einige Docker-Images können jedoch in mehr als einem Kubernetes-Namespace bereitgestellt werden, und jeder Namespace kann verschiedenen Geschäftsbereichen oder Teams gehören. Jedes Team kann seinem eigenen Rhythmus folgen, um neue Versionen von Container-Images bereitzustellen, um Schwachstellen zu beheben. Um dieses Szenario zu berücksichtigen, Container Vulnerability Response Ermöglicht Ihnen, die Granularität für angreifbare Elemente zu definieren: Ob ein angreifbares Element für jeden Kubernetes-Namespace/Cluster/Service erstellt werden soll, auch für jede eindeutige Kombination aus Docker-Image-Version und Schwachstelle.

VI-Granularität

Im Beispiel können Sie zwei angreifbare Elemente sehen, die für dieselbe Kombination aus Docker-Image und CVE erstellt wurden. Einer für den Kubernetes-Namespace „k8s-finservco-Darlehen“ und der andere für „k8s-finservco-WealthandInsurance“.

Identifizieren Sie betroffene Services mithilfe der Tag-basierten Service-Identifizierung

Voraussetzungen

Identifizieren Sie verschiedene Services in Ihrer Anwendung, und definieren Sie die Tags/Schlüssel-Wert-Paare, die diese Services darstellen.
Stellen Sie Docker-Images und Kubernetes-Pods mit diesen Tags oder Bezeichnungen bereit.
ITOM-Kubernetes-Discovery bereitstellen Definieren Sie „Tag-basierte Services“ mit den richtigen Tags oder Bezeichnungen.
Stellen Sie ITOM Kubernetes Discovery bereit
Definieren Sie „Tag-basierte Services“ mit den richtigen Tags oder Schlüssel-Wert-Paaren.
Importieren Sie Schwachstellendaten in ServiceNow Verwenden Container Vulnerability Response

Die Risikoberechnung für angreifbare Elemente kann durchgeführt werden, indem das CI (Docker-Image) und die Relevanz der zugehörigen Services in betrachtet werden CMDB. Um jedoch die Identifizierung betroffener Services zu erleichtern, Container Vulnerability Response Bietet Tag-basierte Service-Identifizierung.

Wenn Kubernetes-Pods oder -Entitäten mit Schlüsselwerten oder Bezeichnungen veröffentlicht werden, die den in einem beliebigen Tag-basierten Service in definierten Schlüsselwerten entsprechen ServiceNow, Container Vulnerability Response Stellt automatisch die Beziehung zwischen einem Docker-Image und dem betroffenen Anwendungsservice her und verwendet die Relevanz dieses Anwendungsservice bei der Risikoberechnung.

Der Flow lautet wie folgt:

Container Vulnerability Response Importiert Schwachstellendaten aus dem Container-Sicherheitsprodukt.
Für jedes angreifbare Container-Element Container Vulnerability Response Füllt das Docker-Image aus CMDB Das hat die Schwachstelle.
Container Vulnerability Response Betrachtet dann die Docker-Image-Bezeichnungen oder die Bezeichnungen/Schlüsselwerte, die mit Kubernetes-Pods veröffentlicht wurden, auf denen dieses Image bereitgestellt wird. Dieses Bild ist in verfügbar CMDB Wenn die Kubernetes-Discovery ausgeführt wird.
Container Vulnerability Response Sucht dann in nach „Tag-basierte Services“ CMDB Mit denselben übereinstimmenden Schlüssel-Wert-Paaren definiert.
Container Vulnerability Response Verwendet die „Geschäftsrelevanz“ des übereinstimmenden „Tag-basierten Service“ (falls vorhanden), um das Risiko eines angreifbaren Containerelements zu berechnen.

Nachverfolgung Von Schwachstellen

Korrekturziele werden festgelegt

ServiceNow Ermöglicht Schwachstellenmanagern die Definition von „Korrekturzielregeln“, um Servicelevel-Vereinbarungen (Service Level Agreements, SLAs) zur Behebung von Schwachstellen in Container-Images zu definieren. Das Korrekturzieldatum kann basierend auf einer Bedingung/einem Kriterium für Bildmetadaten oder Schwachstelleninformationen definiert werden. Korrekturbesitzer erhalten E-Mail-Kommunikation zu den Schwachstellen, die dem Fälligkeitsdatum nähern. Legen Sie das Korrekturziel fest

Identifizierung behobener Schwachstellen

Im Gegensatz zu Host-Schwachstellen, die durch das Anwenden eines Patches auf einem Host behoben werden können, können Container-Schwachstellen nicht gepatcht werden. Neue Versionen von Container-Images müssen erstellt und bereitgestellt werden, um die älteren Versionen zu ersetzen. Die neuen Versionen haben einen anderen Bezeichner (Image-ID) als die vorherigen Versionen, was es schwierig macht, nachzuverfolgen, welche Schwachstellen bereits behoben wurden.

ServiceNow Identifiziert Schwachstellen, die in den vorherigen Versionen der Container-Images gemeldet wurden, aber in der neuesten Version des Image gelöst wurden, und verschiebt diese Schwachstellen automatisch in den Status „Geschlossen/behoben“, damit Sicherheitsteams immer genaue Einblicke in die aktuelle Risikolage haben.

Ausnahmen verwalten

Anwendungsteams oder Korrekturbesitzer für die Schwachstellen benötigen möglicherweise die Möglichkeit, aus den folgenden Gründen eine Ausnahme anzufordern.

Eine Minderungssteuerung ist bereits vorhanden
Risiko akzeptiert
Warten auf Wartungsfenster, um die Korrektur zu verschieben.

ServiceNow Ermöglicht Sicherheitsadministratoren das Definieren mehrerer Genehmigerebenen für Ausnahmeanforderungen. Sie können auch automatische Ausnahmeregeln definieren, die verwendet werden können, um automatisch Schwachstellen, die einer bestimmten Bedingung entsprechen, aufzuschieben. Ausnahmen

Ausnahmen

Neuigkeiten

Um mehr darüber zu erfahren, was in neu ist und was geändert wurde Zurich, Siehe Zurich Versionshinweise.

Erste Schritte

Für eine Übersicht über Security Operations In Ihrem ServiceNow AI Platform Instanz, siehe Erläuterungen Zu Security Operations .
Für Informationen zu allen Security Operations Anwendungen, die über heruntergeladen werden können ServiceNow Store, Siehe Security Operations und ServiceNow Store .