Verständnis der Integration von Microsoft Threat and Vulnerability Management Vulnerability

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 7 Minuten Lesedauer

    • Die Vulnerability Response Die Integration mit Microsoft Threat and Vulnerability Management (MS TVM) verwendet Daten, die aus MS TVM importiert wurden, um Sie bei der Priorisierung und Behebung von Schwachstellen für Ihre Assets zu unterstützen. Die Anwendung ist mit einem separaten Abonnement als verfügbar ServiceNow Store.

    Sie können die MS TVM Vulnerability-Integration verwenden, um Scannerdaten von Drittanbietern zu Ihren Assets und Schwachstellen zu importieren. Sie können dann Berichte zu Schwachstellen und angreifbaren Elementen im anzeigen Vulnerability Response Dashboards.

    Ms TVM-Integrations-Workflow, der die Installation und Konfiguration der Anwendung anzeigt und die erfassten Daten in anzeigt ServiceNow AI Platform Instanz und automatisches Priorisieren und Beheben von Schwachstellen für Ihre Assets.

    Verfügbare Versionen

    Freigabeversion Release-Hinweise

    Vulnerability Response Integration mit MS TVM v2.2

    Weitere Informationen zu veröffentlichten Versionen der Vulnerability Response-Anwendung, zur Kompatibilität und zu Schemaänderungen finden Sie unter artikel „Vulnerability Response Compatibility Matrix“ und „Release Schemaänderungen“ [KB0856498] in der HI Knowledge Base .

    Domänentrennung und MS TVM

    Importieren Sie Schwachstellenintegrationsdaten in eine angegebene Domäne, indem Sie einem Anwender in dieser Domäne zuweisen, der die Integrationen ausführen soll. Informationen zum Erstellen von domänengetrennten Importen für die MS TVM Vulnerability Integration finden Sie unter Erstellen Sie domänengetrennte Importe für eine Integration.

    Begriffe und wichtige Funktionen der Integrationen

    Angreifbare Elemente und Schwachstellen
    Ein angreifbares Element wird in erstellt ServiceNow AI Platform Instanz, wenn:
    • Eine importierte Schwachstelle von einem Scanner eines Drittanbieters wird mit einem vorhandenen Asset (Konfigurationselement) in Ihrem abgeglichen CMDB). Das MS TVM-Produkt bezieht sich auf diese Übereinstimmungen als Schwachstellen.
    • Eine importierte Schwachstelle von einem Scanner eines Drittanbieters wird nicht mit einem vorhandenen Asset in Ihrem abgeglichen CMDB. In diesem Fall wird auch ein nicht abgeglichenes Konfigurationselement (CI) mit einem angreifbaren Element erstellt.

      Verwenden Sie die Identification and Reconciliation Engine (IRE), um CIs in zwei neuen Klassen zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter CIs für werden erstellt Vulnerability Response Verwenden der Identifizierungs- und Abgleichsmodul.

    Einträge für Drittpartei-Schwachstellen
    Einträge von Drittanbieter-Schwachstellen werden aus Drittanbieterscannern wie MS TVM importiert und in der Tabelle „Drittanbieter-Schwachstelleneinträge“ in aufgeführt ServiceNow AI Platform Instanz. Außerdem werden National Vulnerability Database-Einträge (CVEs) aus MS TVM importiert. Die Exploit-Informationen, die diesen beiden Eintragstypen zugeordnet sind, stammen aus MS TVM. Diese Exploit-Informationen können für die Risikoberechnung verwendet werden.
    Hinweis:
    Eine Schwachstelle einer Drittpartei wird nur für Schwachstellen abgerufen, denen kein CVE zugewiesen ist. Ms TVM kann einen temporären Namen für die Schwachstelle hinzufügen, z. B. TVM-XXXX-XXXX . Dieser Name wird aktualisiert, nachdem eine CVE-ID zugewiesen wurde.
    Konfigurationselement bzw. Configuration Item (CI)
    CIs sind die vorhandenen Assets, die in aufgeführt sind CMDB.
    Erkanntes Element
    Erkannte Elemente sind die Assets, die aus dem MS TVM-Computer-Import erfasst werden und mit vorhandenen CIs in übereinstimmen CMDB.

    Wenn keine Übereinstimmung gefunden wird, wird ein CI in der nicht abgeglichenen CI-Klasse von erstellt CMDB. Aktivieren Sie das Plugin „CMDB CI-Klassenmodelle“. Die Identification and Reconciliation Engine (IRE) erstellt CIs mithilfe neuer Klassen. Weitere Informationen finden Sie unter CIs für werden erstellt Vulnerability Response Verwenden der Identifizierungs- und Abgleichsmodul. Wenn das ursprüngliche, nicht übereinstimmende CI neu klassifiziert wird, werden die erkannten Elementdatensätze aktualisiert, um diesen Status widerzuspiegeln. Erkannte Elemente geben Ihnen Einblick, wie Assets identifiziert und CIs in zugeordnet werden CMDB.

    CI-Suchregeln
    Wenn Daten aus MS TVM importiert werden, Vulnerability Response Verwendet automatisch Computerdaten (Asset), um nach Übereinstimmungen in zu suchen CMDB. CI-Suchregeln werden verwendet, um CIs zu identifizieren und sie VI-Datensätzen hinzuzufügen, wenn VIS erstellt werden.
    Instanz
    Eine Instanz bezieht sich auf mehrere Accounts von MS TVM. Jeder Account kann eine Instanz in der MS TVM-Anwendung sein.
    Integration
    Eine Integration ist eine geplante Aufgabe, die Informationen aus einer Drittparteiquelle abruft, z. B. die Integration der MS TVM-Computer.
    Bereitstellung
    Wenn eine Integration mehrere Quellen unterstützt, wird eine einzelne Integration als Bereitstellung Ihrer Integration bezeichnet. Eine Bereitstellung bezieht sich auf die Integrationen und Produkte in Ihrer Umgebung. Beispielsweise können Sie mehrere MS TVM-Bereitstellungen in Ihrer Umgebung haben.

    Die MS TVM-Integration umfasst auch die folgenden wichtigen Funktionen:

    • Sie können die Assets in Ihrer Umgebung identifizieren und die CIs für Ihre vorhandenen erkannten Elemente, angreifbaren Elemente und Erkennungsdatensätze aktualisieren, um Ihnen weitere Details zu Ihren Schwachstellen zu geben.
    • Sie können planen, wann die Aufträge für alle MS TVM-Integrationen ausgeführt werden sollen. Sie können geplante Aufgaben auch bei Bedarf ausführen.
    • Sie können angreifbare Elemente gruppieren.
    • Sie können CI-Suchregeln konfigurieren, um zu definieren, wie die Asset-Daten aus Drittparteiquellen zur Identifizierung von CIs in verwendet werden CMDB.

    Erforderliche ServiceNow AI Platform-Rollen

    Die Integrationsaufgaben erfordern die folgenden Rollen in Ihrem ServiceNow AI Platform Instanz.

    Persona und granulare Rollen sind verfügbar, um zu verwalten, was Anwender und Gruppen in sehen und tun können Vulnerability Response Anwendung. Informationen zur ersten Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie zu Vulnerability Response Persona-Rollen mit Setup-Assistent. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Persona und granulare Rollen für Vulnerability Response.

    Administrator
    Der Systemadministrator verwendet den Setup-Assistenten, um die MS TVM-Anwendung zu installieren. Wenn nicht zugewiesen, weist der Administrator den Schwachstellenadministrator (sn_vul.Vulnerability_admin) und andere Rollen im Setup-Assistenten zu.
    sn_vul.vulnerability_admin
    Nach der Zuweisung schließt der Schwachstellenadministrator die Konfiguration der MS TVM-Integrationen im Setup-Assistenten ab. Diese Rolle hat vollständigen Zugriff auf Vulnerability Response Anwendung und ihre Datensätze. Der Schwachstellenadministrator konfiguriert alle Vulnerability Response Anwendungen und Regeln für installierte Drittanbieterintegrationen.
    sn_vul_msft_tvm.configure_Integration

    Diese Rolle enthält sn_vul_msft_tvm.read_Integration Granulare Rolle. Benutzer mit dieser Rolle können die Vulnerability Response-Integration mit der Anwendung Microsoft Threat and Vulnerability Management konfigurieren.

    sn_vul_msft_tvm.read_Integration

    Benutzer mit dieser Rolle können die Vulnerability Response-Integration nur mit den Datensätzen der Microsoft Threat and Vulnerability Management-Anwendung anzeigen.

    Vulnerability Response-Gruppe
    Standardmäßig ist die Vulnerability Response-Gruppe im Setup-Assistenten verfügbar. Anwender, die der Vulnerability Response-Gruppe zugewiesen sind, erben die Rollen sn_vul.read_all und sn_vul.Remediation_owner automatisch.

    Ms TVM-Integrationen

    Mehrere Quellen werden für alle MS TVM-Integrationen unterstützt. Sie können mehrere Instanzen der folgenden Integrationen in Ihrer Umgebung über den Setup-Assistenten in hinzufügen und bereitstellen Vulnerability Response. Sie installieren und konfigurieren auch Vulnerability Response Integration mit der MS TVM-Anwendung über den Setup-Assistenten.

    Um die MS TVM-Integrationen anzuzeigen, navigieren Sie zu Microsoft TVM-Schwachstellenintegration > Administration > Integrationen. Vulnerability Response Bietet Integrationen mit MS TVM-Endpunkten, um die Daten gemäß den geplanten Zeitintervallen zu importieren. Die folgenden Integrationen sind im Basissystem enthalten.

    Tabelle : 1. Ms TVM-Integrationen
    Ausführungssequenz Zeitplan Integration Beschreibung
    1 Täglich Integration von Microsoft TVM-Empfehlungen Ruft eine Liste aller umsetzbaren Sicherheitsempfehlungen zum Beheben der Schwachstellen ab.
    2 Täglich Microsoft TVM Vulnerability (CVE)-Integration Ruft eine Liste der nationalen Schwachstellen-Datenbankeinträge und Schwachstelleneinträge von Drittparteien sowie deren Exploit-Informationen ab.
    3 Täglich Integration von Microsoft TVM-Computern Ruft alle Asset-(Computer-)Daten, einschließlich Computer-Tags, aus Microsoft TVM ab und verarbeitet sie in Ihrer Instanz.
    4 Wöchentlich
    Hinweis:
    Nach der Installation wird diese Integration automatisch nach dem Import des Computers ausgeführt.
    		 Microsoft TVM-Computer – Schwachstellen-Integration (vollständiger Import) Ruft alle offenen Schwachstellen für alle Assets ab.
    5 Täglich Integration von Microsoft TVM-Computern mit Schwachstellen (Delta-Import) Ruft alle Informationen ab, die sich im vollständigen Schwachstellenimport der Organisation geändert haben, einschließlich der neuen, behobenen und aktualisierten Schwachstellen.

    Angreifbare Elemente werden gemäß den von Ihnen festgelegten Gruppenregeln in Korrekturaufgaben gruppiert und basierend auf Ihren Zuweisungsregeln zur Korrektur zugewiesen. Weitere Informationen finden Sie unter Vulnerability Response Übersicht über Korrekturaufgaben und Regeln für Korrekturaufgaben und Vulnerability Response Übersicht über Zuweisungsregeln.

    CI-Suchregeln

    Wenn Daten aus MS TVM importiert werden, Vulnerability Response Verwendet automatisch Computerdaten (Asset), um nach Übereinstimmungen in zu suchen Configuration Management Database (CMDB). CI-Suchregeln werden verwendet, um CIs zu identifizieren und sie VI-Datensätzen hinzuzufügen, wenn VIS erstellt werden. Weitere Informationen zur Funktionsweise von CI-Suchregeln finden Sie unter CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Integrationen von Schwachstellen von Drittparteien.
    Hinweis:
    Sobald Sie eine Regel entfernt haben, können Sie sie nicht wiederherstellen. Anstatt eine vorhandene Regel zu entfernen, sollten Sie sie deaktivieren.
    Die folgenden MS TVM-Suchregeln sind im Lieferumfang des Basissystems enthalten:
    • MAC_ADDRESS
    • FQDN
    • IP
    Hinweis:
    Sie können mehrere Werte für IP_ADDRESS und MAC_ADDRESS eines Assets verwenden. Eine CI-Suchregel berücksichtigt alle Werte für den Abgleich.

    Erkannte Elemente

    Sie können die CIs anzeigen, die während eines Imports aus der Integration von MS TVM-Computern erkannt wurden.
    Hinweis:
    Der Standardfilter für diese Liste ist auf festgelegt Nicht Abgeglichen . Sie können alle erkannten Elemente aus einem Import anzeigen, indem Sie den Filter entfernen.
    Weitere Informationen finden Sie unter Erkannte Elemente.

    Computer-Tags

    Computer-Tags, auch als Host-Tags bezeichnet, werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie weisen Ihren Computern Tags zu.

    Alle Computer-Tags werden als Teil der Integration von MS TVM-Computern importiert. Computer-Tags werden im Allgemeinen zum Filtern verwendet Vulnerability Response Zuweisungsregeln und Regeln für Korrekturaufgaben. Die Tags werden im Formular „erkanntes Element“ angezeigt.
    Hinweis:
    Führen Sie die MS TVM-Computerintegration aus, bevor Sie erstellen Vulnerability Response Regeln für Zuweisungs- oder Korrekturaufgaben in Vulnerability Response Anwendung, damit alle Tags für diese Regeln verfügbar sind, bevor angreifbare Elemente importiert und gruppiert werden. Beachten Sie auch die folgenden Punkte zu Tags:
    • Beim Tag-Speicher wird die Groß-/Kleinschreibung nicht beachtet. Wenn ein Paris-Tag erstellt wird, kann kein PARIS-Tag in der Computer-Tag-Tabelle gespeichert werden. Paris Und PARIS Werden vom System als dasselbe Computer-Tag betrachtet. Welches Tag zuerst importiert wird, ist das Tag, das gespeichert und erkannt wird.
    • Die Verwendung von Computer-Tags als Gruppenschlüssel in einer Korrekturaufgabenregel kann zu unerwarteten Ergebnissen führen. Gruppenschlüssel sind Spalten in der Tabelle „Korrekturaufgaben“, während Computer-Tags nur für die Verwendung im Bedingungsgenerator vorgesehen sind.
    • Computer-Tags werden von der globalen Systemeigenschaft sn_vul.Import_Host_Tags gesteuert. Diese Eigenschaft ist auf festgelegt Wahr Standardmäßig. Durch das Deaktivieren von Tags werden sie für alle deaktiviert ServiceNow AI Platform® Instanzen.

    Nächste Schritte

    Nachdem Sie heruntergeladen haben Vulnerability Response Integration mit Microsoft Threat and Vulnerability Management aus dem ServiceNow® Store, Installation und Konfiguration werden vom Setup-Assistenten in unterstützt Vulnerability Response. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Vulnerability Response-Integration mit der MS TVM-Anwendung mithilfe des Setup-Assistenten.