Vulnerability Response Détections d’éléments vulnérables à partir d’intégrations tierces

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Affichez toutes les informations collectées par les analyses tierces dans votre Now Platform® instance. Affichez les résultats renvoyés des analyses sur les enregistrements de détection et d’éléments vulnérables (VI) dans votre instance, car ces résultats sont affichés sur les scanners.

    Vue d'ensemble

    L’application Vulnerability Response prend en charge les intégrations tierces qui récupèrent les données des éléments vulnérables dans votre environnement d’entreprise. Les données détaillées sur les détections, c’est-à-dire les occurrences uniques et distinctes des vulnérabilités telles que signalées par les analyseurs de vos intégrations tierces, sont importées et affichées sur les enregistrements de détection et d’élément vulnérable de votre instance Now Platform.

    Les intégrations tierces récupèrent les données de détection d’éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners. Les données de détection sont associées à des éléments vulnérables et l’état de la VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par les données trouvées directement par un scanner.

    Dans les versions précédentes de , les détections d’éléments Vulnerability Responsevulnérables, c’est-à-dire la relation entre un CI (actif) de votre environnement et une vulnérabilité importée d’un analyseur tiers, ont créé un élément vulnérable unique dans votre instance Now Platform.

    La granularité des données d’origine fournies par le scanner est préservée. Avec les détections, les données de détection sont associées à des éléments vulnérables. Lors d’une ingestion, si aucun élément vulnérable n’est trouvé, un nouvel élément vulnérable est créé.

    À partir de la version 21.0 de Vulnerability Response, une propriété sn_vul.show_last_open_detection système est fournie dans le système de base. Par défaut, la valeur de cette propriété est définie sur faux et le comportement actuel d’agrégation des valeurs de la détection initiale vers le VI reste inchangé. Toutefois, si la valeur est définie sur true, un VI est automatiquement mis à jour avec la dernière détection ouverte après une ingestion. Les champs tels que Adresse IP, SSL, Port, Protocole, NetBIOS et Preuve sont mis à jour pour les détections de VI. Si nécessaire, vous pouvez personnaliser les champs de détection qui doivent être mis à jour en modifiant le script DetectionBase .

    Pour afficher les valeurs de la dernière détection ouverte, accédez à l’onglet Dernière détection ouverte dans la vue du formulaire VI. Pour mettre à jour tous les VI ouverts au cours de l’année écoulée avec les dernières valeurs de détection ouvertes, vous pouvez exécuter la tâche Update Last Open Detection Value To VITs planifiée sur demande. Cette tâche planifiée est également fournie dans le système de base.

    Remarque :
    Lorsqu’un élément de configuration (CI) change sur un élément détecté, les mises à jour correspondantes sont également reflétées dans les détections. Par conséquent, les détections peuvent être déplacées d’un VI à un autre. En fonction de ce changement et de la valeur de la sn_vul.show_last_open_detection propriété, les valeurs des détections sont déployées sur les VI source et cible.

    Versions prises en charge de Vulnerability Response

    Pour plus d’informations sur l’installation ou la mise à jour de l’application, reportez-vous à la Vulnerability Response section Installer Vulnerability Response.

    Intégrations tierces prises en charge

    Une intégration tierce prise en charge avec votre Vulnerability Response application est requise pour la détection des éléments vulnérables. Les intégrations tierces suivantes sont prises en charge par l’application pour la détection d’éléments Vulnerability Response vulnérables :
    • Intégration de la détection d’hôte Qualys
    • Entrepôt de données Rapid7 :
      • Intégration d’éléments vulnérables
      • Intégration de la résolution des éléments vulnérables
    • Intégration de la résolution des éléments vulnérables Rapid7 (InsightVM)
      • Intégration d’ordinateurs virtuels Insight
      • Intégration d’éléments vulnérables : API
    • Tenable Vulnerability Integration
    • Gestion des menaces et des vulnérabilités par Microsoft Defender

    Ces intégrations tierces sont disponibles avec un abonnement distinct de .ServiceNow Store Pour plus d’informations sur ces intégrations, consultez Intégrations de Vulnerability Response et Security Operations et l' ServiceNow Store pour plus d’informations sur l’obtention d’autorisations.

    Pour vérifier que votre scanner tiers est configuré pour l’importation, consultez Installation et configuration de l’application Rapid7 Integration for Security Operations et Installer Qualys Vulnerability Integration.

    Termes clés pour la détection d’éléments vulnérables

    Vulnérabilité
    Données sur les faiblesses des logiciels, des systèmes d’exploitation et des actifs importées de sources internes et externes. Ces données sont importées et comparées aux actifs existants (éléments de configuration, CI) répertoriés dans la CMDB.
    Élément vulnérable
    Un élément vulnérable est créé ou mis à jour lorsqu’une vulnérabilité importée correspond à un CI dans la CMDB.
    Détection
    Une occurrence unique et distincte d’une vulnérabilité telle que signalée par un scanner, appelée détection d’éléments vulnérables dans l’environnement Now Platform . Une détection inclut des données enrichies sur une vulnérabilité et tous les éléments vulnérables correspondants. Ces données s’affichent dans l’enregistrement de détection (VID#) et dans la vue de liste des éléments vulnérables qui comprend les détails suivants :
    • Première occurrence trouvée (données)
    • Dernier trouvé (date)
    • Nom DNS
    • Nom du BIOS net
    • Adresse IP
    • Port
    • Protocole
    • Preuve
    • SSL
    • Durées trouvées
    Remarque :
    L’ajout d’une règle métier à la table de détection a un impact sur les performances de l’ingestion.
    Clé de détection
    Combinaison hachée de champs fournissant un moyen d’identifier et de lier une détection à un élément vulnérable. Les clés de détection sont spécifiques à l’intégration.
    Tableau 1. Configurations des clés de détection
    Scanner Vulnérabilité Port Protocole ID de l'actif Preuve Carte réseau
    Qualys Oui Oui Oui Oui Non N/A
    Tenable Oui Oui Oui Oui Non N/A
    Rapid7 Oui Oui Oui Oui Oui (cela n’est pas sensible à la casse) Oui
    Remarque :
    • Si la clé de détection n’est pas spécifiée, ou pour les versions antérieures à Vulnerability Response 14.0, la clé de détection est une combinaison de l’entrée de vulnérabilité, du port, du protocole, de l’ID d’actif et de la preuve.
    • À partir de la version 19.0 de , une nouvelle carte réseau de clé de Vulnerability Responsedétection est ajoutée pour Rapid7 InsightVM, qui est activée par défaut. Les détections existantes sans carte réseau sont mises à jour avec la première carte réseau entrante dans la charge utile à partir de Rapid7. La clé de détection est recalculée et renseignée sur la carte réseau de détection, y compris la carte réseau. De nouvelles détections sont créées si des détections similaires sont observées avec des valeurs de carte réseau différentes. Ces données ne sont pas déployées dans la table Élément vulnérable. La valeur NIC est stockée dans une nouvelle colonne des tables sn_vul_detection_key_config et sn_vul_detection.
    De dup
    Processus utilisé par l’application Vulnerability Response de la réduction des détections individuelles en un seul VI lorsque les données répondent à certains critères codés en dur.
    ID externe VI
    La valeur stockée dans le champ ID externe de la table VI. Cette valeur est un hachage composé de la combinaison de clés au sein d’un VI qui représente ce qui le rend unique au sein de l’application. Il est composé d’un CI et d’une entrée vulnérable.

    Rouvrir les éléments vulnérables résolus

    Les éléments vulnérables définis sur Résolu dans votre Now Platform instance, mais non transitionnés vers l’état Fermé/Résolu par les exécutions d’intégration suivantes, sont rouverts s’ils sont détectés lors des nouvelles analyses.

    Les éléments vulnérables fermés avec un sous-état fixe ou périmé sont rouverts si une nouvelle détection est créée et les éléments vulnérables peuvent être mis en correspondance avec la nouvelle vulnérabilité.

    Selon le script include, DetectionBase, _shouldReOpenVI()si le VIT a été précédemment fermé avec le sous-état Fixe, Obsolète ou CI désactivé, il est rouvert et la détection est mappée sur le VIT existant.

    Par exemple, supposons que la date de fermeture d’un VIT soit postérieure à la date de last_found d’une détection. On peut s’attendre à ce que ces enregistrements VIT restent fermés. Toutefois, si vous voyez un VIT précédemment fermé rouvert, cela signifie que le VIT a été fermé par une détection antérieure et que la vulnérabilité a été détectée à nouveau lors d’une analyse ultérieure. Lorsqu’une nouvelle détection est détectée qui correspond au VIT fermé qui présente la même vulnérabilité sur l’élément de configuration du VIT, le VIT est rouvert.

    Pour Rapid7 les détections, une option est désormais disponible sur la page de configuration Rapid7 de votre instance pour rouvrir les VI résolus par âge. Si cette option est activée, les VI définis sur Résolu , mais non transformés en Fermé/Corrigé par les analyses suivantes, reviennent à Ouvert après le nombre de jours que vous saisissez.

    Pour Qualys les détections, si le scanner continue de trouver des VI qui ont été définis à l’état Résolu , mais qui ne sont pas passés à l’état Fermé/Fixe lors des analyses suivantes, ces VI repassent à Ouvert lorsque la dernière date trouvée est ultérieure à la date Résolue.

    Afficher les données de détection

    Vous affichez les données importées à partir des détections d’éléments vulnérables sur l’enregistrement VI. Pour plus d'informations, consultez Afficher les Vulnerability Response données de détection d’éléments vulnérables et Vérifier Vulnerability Response les données de détection d’éléments vulnérables sur les enregistrements d’exécution de l’intégration (VINTRUN).