Présentation de l’intégration Microsoft Threat and Vulnerability Management
L’intégration Vulnerability Response à l’application Microsoft Threat and Vulnerability Management (MS TVM) utilise des données importées de MS TVM pour vous aider à hiérarchiser et à corriger les vulnérabilités de vos actifs. L’application est disponible avec un abonnement distinct à partir de .ServiceNow Store
Vous pouvez utiliser l’intégration de vulnérabilité MS TVM pour importer des données de scanner tiers sur vos actifs et vos vulnérabilités. Vous pouvez ensuite afficher des rapports sur les vulnérabilités et les éléments vulnérables sur les Vulnerability Response tableaux de bord.
Versions disponibles
| Version | Notes de publication |
|---|---|
Vulnerability Response Intégration avec MS TVM v2.2 |
Pour plus d’informations sur les versions mises en production de l’application Vulnerability Response, la compatibilité et les changements de schéma, consultez l’article Matrice de compatibilité de Vulnerability Response et Modifications du schéma de mise en production [KB0856498] dans la base de connaissances HI. |
Domain separation et MS TVM
Importez les données d’intégration de vulnérabilité dans un domaine spécifié en affectant un utilisateur de ce domaine pour exécuter les intégrations. Pour créer des importations séparées par domaine pour l’intégration de vulnérabilité MS TVM, consultez Créer des importations séparées par domaine pour une intégration.
Termes et principales fonctionnalités des intégrations
- Éléments vulnérables et vulnérabilités
- Un élément vulnérable est créé dans votre Now Platform instance lorsque :
- Une vulnérabilité importée d’un scanner tiers est mise en correspondance avec un actif existant (élément de configuration) dans votre CMDBfichier ). Le produit MS TVM fait référence à ces correspondances en tant que vulnérabilités.
- Une vulnérabilité importée d’un scanner tiers ne correspond pas à un actif existant dans votre CMDB. Dans ce cas, un élément de configuration (CI) sans correspondance est également créé avec un élément vulnérable.
Utilisez le moteur Identification et réconciliation (IRE) pour créer des CI dans deux nouvelles classes lorsqu’un CI existant ne peut pas être mis en correspondance avec un hôte. Dans le cas contraire, des CI sans correspondance sont créés dans les classes CI sans correspondance. Pour plus d'informations, consultez Création de CI pour Vulnerability Response l’utilisation du moteur Identification et réconciliation.
- Entrées de vulnérabilité tierces
- Les entrées de vulnérabilité tierces sont importées à partir d’analyseurs tiers tels que MS TVM et sont répertoriées dans la table Entrées de vulnérabilité tierces de votre Now Platform instance. En outre, les entrées de la base de données nationale sur les vulnérabilités (CVE) sont importées à partir de MS TVM. Les informations sur l’exploit associées à ces deux types d’entrées proviennent de MS TVM. Ces informations sur l’exploit peuvent être utilisées pour le calcul du risque.Remarque :Une vulnérabilité tierce n’est récupérée que pour les vulnérabilités auxquelles aucun CVE n’est affecté. MS TVM peut ajouter un nom temporaire pour la vulnérabilité, par exemple,
TVM-XXXX-XXXX.Ce nom est mis à jour après l’attribution d’un CVE ID. - Élément de configuration (CI)
- Les CI correspondent aux actifs existants répertoriés dans votre CMDBfichier .
- Élément détecté
- Les éléments détectés sont les actifs qui sont ingérés à partir de l’importation d’ordinateur MS TVM qui correspondent aux CI existants dans votre CMDB.
Si aucune correspondance n’est trouvée, un CI est créé dans la classe CI sans correspondance du CMDB. Activez le module d’extension CMDB CI Class Models, car le moteur Identification et réconciliation (IRE) crée des CI à l’aide de nouvelles classes. Pour plus d'informations, consultez Création de CI pour Vulnerability Response l’utilisation du moteur Identification et réconciliation. Si le CI d’origine sans correspondance est reclassifié, les enregistrements de l’élément détecté sont mis à jour pour refléter cet état. Les éléments détectés vous donnent une visibilité sur la façon dont les actifs sont identifiés et mappés aux CI dans la CMDB.
- Règles de recherche de CI
- Lorsque des données sont importées à partir de MS TVM, Vulnerability Response utilise automatiquement les données de l’ordinateur (actif) pour rechercher des correspondances dans le CMDB. Les règles de recherche de CI sont utilisées pour identifier les CI et les ajouter aux enregistrements de VI lors de la création de VI.
- Instance
- Une instance fait référence à plusieurs comptes de MS TVM. Chaque compte peut être une instance de l’application MS TVM.
- Intégration
- Une intégration est une tâche planifiée qui récupère des informations à partir d’une source tierce, telle que l’intégration des machines MS TVM.
- Déploiement
- Lorsqu’une intégration prend en charge plusieurs sources, une existence d’intégration unique est appelée déploiement de votre intégration. Un déploiement fait référence aux intégrations et aux produits dans votre environnement. Par exemple, vous pouvez avoir plusieurs déploiements de MS TVM dans votre environnement.
L’intégration MS TVM comprend également les fonctionnalités clés suivantes :
- Vous pouvez identifier les actifs dans votre environnement et mettre à jour les CI de vos éléments détectés, éléments vulnérables et enregistrements de détection existants afin de vous donner plus de détails sur vos vulnérabilités.
- Vous pouvez planifier le moment où vous souhaitez que les tâches s’exécutent pour toutes les intégrations MS TVM. Vous pouvez également exécuter des tâches planifiées sur demande.
- Vous pouvez regrouper des éléments vulnérables.
- Vous pouvez configurer des règles de recherche de CI pour définir la manière dont les données d’actif de sources tierces sont utilisées pour identifier les CI dans votre CMDB.
Rôles Now Platform requis
Les tâches d’intégration nécessitent les rôles suivants dans votre Now Platform instance.
Des rôles granulaires et de profil sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration. Pour plus d’informations sur la gestion des rôles granulaires, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.
- administrateur
- L’administrateur système utilise l’Assistant de configuration pour installer l’application MS TVM. Si elle n’est pas affectée, l’administrateur affecte l’administrateur de vulnérabilité (sn_vul.vulnerability_admin) et d’autres rôles dans l’Assistant de configuration.
- sn_vul.vulnerability_admin
- Une fois l’affectation effectuée, l’administrateur de vulnérabilité termine la configuration des intégrations MS TVM dans l’Assistant de configuration. Ce rôle dispose d’un accès complet à l’application Vulnerability Response et à ses enregistrements. L’administrateur de vulnérabilité configure l’ensemble des applications et règles pour les Vulnerability Response intégrations tierces installées.
- sn_vul_msft_tvm.configure_integration
Ce rôle contient le rôle granulaire
sn_vul_msft_tvm.read_integration. Les utilisateurs disposant de ce rôle peuvent configurer Vulnerability Response Integration avec l’application Microsoft Threat and Vulnerability Management.- sn_vul_msft_tvm.read_integration
Les utilisateurs disposant de ce rôle peuvent uniquement afficher Vulnerability Response Integration avec les enregistrements de l’application Microsoft Threat and Vulnerability Management.
- Groupe Vulnerability Response
- Par défaut, le groupe Vulnerability Response est disponible dans l’Assistant de configuration. Les utilisateurs affectés au groupe Vulnerability Response héritent automatiquement des rôles sn_vul.read_all et sn_vul.remediation_owner.
Intégrations MS TVM
La fonctionnalité multisource est prise en charge pour toutes les intégrations MS TVM. Vous pouvez ajouter et déployer plusieurs instances des intégrations suivantes dans votre environnement à partir de l’Assistant de configuration dans Vulnerability Response. Vous installez et configurez également l’intégration Vulnerability Response à l’application MS TVM à partir de l’Assistant de configuration.
Pour afficher les intégrations MS TVM, accédez à . Vulnerability Response fournit des intégrations avec les points de terminaison MS TVM pour importer les données en fonction des intervalles de temps planifiés. Les intégrations suivantes sont incluses dans le système de base.
| Séquence d’exécution | Calendrier | Intégration | Description |
|---|---|---|---|
| 1 | Quotidien | Intégration des recommandations Microsoft TVM | Récupère une liste de toutes les recommandations de sécurité activables pour corriger les vulnérabilités. |
| 2 | Quotidien | Intégration de Microsoft TVM Vulnerability (CVE) | Récupère une liste des entrées de la base de données des vulnérabilités nationales et des entrées de vulnérabilité tierces, ainsi que leurs informations sur l’exploitation. |
| 3 | Quotidien | Intégration des machines Microsoft TVM | Récupère toutes les données d’actif (d’ordinateur), y compris les balises d’ordinateur, à partir de Microsoft TVM et les traite dans votre instance. |
| 4 | Hebdomadaire Remarque : Après l’installation, cette intégration est exécutée automatiquement après l’importation des machines. |
Intégration des vulnérabilités des machines Microsoft TVM (importation complète) | Récupère toutes les vulnérabilités ouvertes sur tous les actifs. |
| 5 | Quotidien | Intégration des vulnérabilités des machines Microsoft TVM (importation Delta) | Récupère toutes les informations qui ont changé dans l’importation complète des vulnérabilités de l’organisation, y compris les vulnérabilités nouvelles, corrigées et mises à jour. |
Les éléments vulnérables sont regroupés en tâches de rattrapage en fonction des règles de groupe que vous définissez et sont affectés au rattrapage en fonction de vos règles d’affectation. Pour plus d'informations, consultez Vulnerability Response Vue d’ensemble des tâches de rattrapage et des règles de tâche et Vulnerability Response Vue d’ensemble des règles d’affectation.
Règles de recherche de CI
- MAC_ADDRESS
- FQDN
- Adresse IP
Éléments détectés
Balises d’ordinateur
Les balises d’ordinateur, également connues sous le nom de balises d’hôte, sont utilisées pour organiser et suivre les actifs de votre organisation. Vous attribuez des balises à vos machines.
- Le stockage des balises n’est pas sensible à la casse. Si une balise Paris est créée, une balise PARIS ne peut pas être stockée dans la table des balises Machine. Paris et PARIS sont considérés comme la même balise machine par le système. La balise importée en premier est la balise stockée et reconnue.
- L’utilisation de balises d’ordinateur comme clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les clés de groupe sont des colonnes dans la table des tâches de rattrapage, tandis que les balises d’ordinateur sont destinées à être utilisées uniquement dans le créateur de condition.
- Les balises d’ordinateur sont contrôlées par la propriété système globale sn_vul.import_host_tags. Cette propriété est définie sur true par défaut. La désactivation des balises les désactive dans toutes les Now Platform® instances.
Étapes suivantes
Après avoir téléchargé l’intégration avec Microsoft Threat and Vulnerability Management à partir de , l’installation et la Vulnerability ResponseServiceNow® Storeconfiguration sont prises en charge par l’assistant de configuration dans Vulnerability Response. Pour plus d'informations, consultez Installez et configurez Vulnerability Response Integration avec l’application MS TVM à l’aide de l’Assistant de configuration.