Fractionnez les détections Tenable en fonction de l’instance de vulnérabilité pour diviser les éléments vulnérables

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • ServiceNow® Réponse aux vulnérabilités permet de séparer les détections des scanners Tenable, ce qui permet de créer un élément vulnérable unique (VIT) pour chaque instance de vulnérabilité détectée. Cette répartition permet d’affecter des VIT à diverses équipes de remédiation, ce qui améliore la gestion et le suivi des vulnérabilités.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    La charge utile du scanner Tenable contient des données de détection, chaque chemin de la preuve étant utilisé pour diviser les détections. La balise de sortie dans la charge utile identifie l’emplacement de la vulnérabilité, facilitant l’identification et la gestion précises des vulnérabilités en fonction de leurs chemins spécifiques.

    Une fois qu’un module d’extension est ajouté à la table [sn_vul_proof_key_vulnerability], exécutez l’intégration pour diviser les VIT existants. Pour vérification, inspectez les VIT pour détecter des chemins de détection distincts.

    Scénario 1 : la détection existe avant l’ajout du module d’extension
    • Avant d’ajouter le module d’extension : détection A avec 4 chemins d’accès aux fichiers → VIT1
    • Après l’ajout du module d’extension et l’exécution de l’ingestion : le VIT existant est mis à jour avec une nouvelle preuve, et trois VIT supplémentaires sont créés.
    • Comportement de fermeture : si un chemin d’accès n’est plus visible dans les données Tenable, ServiceNow ferme la détection correspondante et son VIT en utilisant une comparaison du chemin d’accès au fichier basée sur le hachage.
    Scénario 2 : détection ingérée après l’ajout du module d’extension
    Les détections sont fractionnées lors de l’ingestion.
    Remarque :
    Le fractionnement se produit automatiquement pendant l’exécution de l’ingestion après la configuration du module d’extension.

    Procédure

    1. Dans la table Intégrations tierces [sn_sec_int_integration], définissez la valeur de la colonne Inclure la preuve dans la clé VI sur vrai pour Tenable.io, Tenable.sc et Tenable.cs.
    2. Accédez à la Tous > Réponse aux vulnérabilités > Administration > Configurer la granularité VI.
    3. Pour Tenable.cs le produit, accédez à la table Configuration de la clé de détection [sn_vul_detection_key_config], sélectionnez Tenable.cs enregistrer et mettre à jour,
    4. Facultatif : Dans le formulaire Inclure le port, cochez la case Inclure le port et sélectionnez le lien Cliquez ici (s’applique uniquement à Tenable.io et Tenable.sc).
    5. Dans la liste Ajouter une preuve aux clés de VI, sélectionnez Nouveau.
    6. Dans le formulaire Ajouter une preuve à la clé de VI - Nouvel enregistrement, dans le champ Vulnérabilité , ajoutez l’ID Tenable pour lequel vous souhaitez inclure la preuve.
      Remarque :
      Vous pouvez fractionner les détections en fonction des informations de chemin d’accès uniquement ou en combinant les détails du chemin d’accès et de la version. Pour plus de détails, reportez-vous à la section « Fractionnement des détections à partir des scanners Tenable » sur cette page.
    7. Dans le champ Expression régulière pour diviser les VIT Tenable :
      • Divisez la détection en fonction du chemin d’accès uniquement en saisissant Path\s+ :\s+([A\n]+).
      • Divisez la détection en fonction du chemin d’accès et des versions installées et corrigées en saisissant Chemin d’accès\s+ :\s+([A\n]+)\n\s+Installed\s+version\s+ :\s+([A\n]+)\n\s+Fixed\s+version\s+ :\s+([A\n]+).
    8. Sélectionnez Envoyer.

    Fractionnement des détections à partir des scanners Tenable

    La détection suivante à partir d’un scanner Tenable montre une preuve dans la balise de sortie qui comprend à la fois des informations sur le chemin et la version.

    {
  "results": {
    "asset": {
      "agent_uuid": "92124caabdb9459baa9d053186df48b9",
      "bios_uuid": "ec2cbbfd-dc9e-efbf-acdd-485daZe8c7df",
      "device_type": "aws-ec2-instance",
      "fqdn": "ip-ac0a0004.secops.com",
      "hostname": "ip-ac0a0004",
      "uuid": "486acb3b-674f-477a-bc37-660a7bba37b3",
      "ipv4": "18.220.145.158",
      "last_authenticated_results": "2024-05-17T03:34:04.424Z",
      "mac_address": "0a:3e:8b:ed:63:e6",
      "netbios_name": "IP-AC0A0094",
      "operating_system": [
        "Microsoft Windows Server 2019 Datacenter Build 17763"
      ],
      "network_id": "00000000-0000-0000-0000-000000000008",
      "tracked": true
    },
    "output": "\n  Path: C:\\Program Files (x86)\\Common Files\\Oracle\\Java\\javapath_target_1190440625\\\n Installed version : 1.8.0_361.9\n Fixed version : Upgrade to version 8.0.401 or greater\n  Path : C:\\Program Files\\Java\\jre1.8.0_361\\\n  Installed version : 1.8.0_361.9\n  Fixed version : Upgrade to version 8.0.401 or greater\n  Path : C:\\Program Files\\Java\\jdk1.8.0_351\\\n  Installed version : 1.8.0_351.10\n  Fixed version : Upgrade to version 8.0.401 or greater\n"
    "plugin": {
      "bid": 123456,
      "checks_for_default_account": false,
      "checks_for_malware": false,
      "coe": "cpe:/a:notepad-plus-plus:notepad%5c%2b15ck2b",
      "cvSs3_base_score": 7.8,
      "cvss3_temporal_score": 7.0,
      "cvss3_temporal_vector": {
        "exploitability": "Proof-of-Concept",
        "remediation_level": "Official Fix",
        "report_confidence": "Confirmed",
        "raw": "E:P/RL:0/RC:C"
      }
    }
  }
}