Mappage de données
Les données de Prisma Cloud sont importées dans le Conformité de la configuration module de l’instance ServiceNow .
| Terminologie antérieure à la version 14.9 | Terminologie à partir de la version 14.9 |
|---|---|
| Groupe de résultats des tests | Tâche de rattrapage |
| Règle de groupe | Règles de la tâche de rattrapage |
| Politique | Groupe de tests |
Les données de Prisma Cloud sont importées avec un nom Conformité de la configuration différent, comme indiqué dans la table.
| Prisma Cloud | Configuration Compliance |
|---|---|
| Politique | Test |
| Alerte | Résultat de test |
| Norme de conformité | Source de référence |
| Sections | Contenu source d'autorité |
| Ressource | Élément de détection/Élément de configuration (CI) |
Tests
Une stratégie dans Prisma Cloud est importée en tant que test dans .Conformité de la configuration Les politiques sont liées aux documents de référence et aux enregistrements de test, et elles peuvent être modifiées pour répondre aux besoins de votre organisation. Vous pouvez afficher les tests en accédant à .
Si Vulnerability Response Integration with Palo Alto Prisma Cloud est installé, la tâche Prisma Policy Integration d’intégration récupère les tests. Vous pouvez afficher cette tâche d’intégration en accédant à .
Résultats des tests
Une alerte dans Prisma Cloud est importée en tant que résultat de test dans Conformité de la configuration. Les alertes sont corrigées à l’aide de tâches de rattrapage. Vous pouvez afficher les résultats des tests en accédant à .
Les Conformité de la configuration résultats des tests sont importés dans le cadre d’une intégration tierce. Une fois visibles sur l’application, ils sont corrigés à l’aide Conformité de la configuration de tâches de rattrapage.
Si Vulnerability Response Integration with Palo Alto Prisma Cloud est installé, la tâche d’intégration Prisma Alert Integration récupère les résultats des tests. Vous pouvez afficher cette tâche d’intégration en accédant à .
L’intégration d’alerte Prisma est une tâche d’intégration qui s’exécute quotidiennement et extrait les résultats des tests avec changement d’état après l’heure définie dans le champ Heure de début de l’onglet Intégration.
Lorsque l’intégration d’alerte Prisma a terminé l’importation des données, un événement est lancé pour déclencher les calculs de fin d’importation. Si l’alerte échoue continuellement au cours des derniers jours, l’intégration ne récupère pas les alertes, car il n’y a aucun changement d’état pour l’alerte. Ainsi, pour maintenir les données des résultats des tests à jour avec les alertes Prisma, une nouvelle tâche d’intégration, Prisma Comprehensive alert Integration , est ajoutée et extrait les alertes mises à jour au cours des sept derniers jours. Il s’exécute chaque semaine et extrait tous les résultats des tests qui ne sont pas réussis.
Sources d'autorité
Conformité de la configuration Utilise des sources et des citations de référence lors de la génération d’alertes de vulnérabilité pour les tests. Les sources faisant autorité renvoient généralement à des sections des normes industrielles publiées, telles que ISO 27001 et PCI DSS 3.2.1.
Ces enregistrements sources contiennent des références à des informations sur des problèmes connus de configuration logicielle et matérielle provenant d’experts dans le domaine de la sécurité informatique. Les références définissent les exigences en matière de politiques et de procédures de sécurité. Accédez à la pour afficher les sources de référence.
Ressources
Si le Intégration de Réponse aux vulnérabilités à Palo Alto Prisma Cloud est installé, la tâche Prisma Alerts Integration planifiée capture les informations relatives à l’alerte dans le module ou la table Éléments détectés. Vous pouvez afficher cette tâche planifiée en accédant à .
- Balises d’hôte : une ressource peut avoir plusieurs balises. Les balises hôtes sont disponibles sous forme de paires de valeurs clés. Par exemple, le système d’exploitation est Windows 10 et la version Java est 1.8.
- Attributs dans le cloud pour les actifs : les attributs de cloud suivants sont disponibles :
- Compte dans le cloud : fournit l’ID de compte à partir de l’intégration. Les informations sont renseignées à partir des comptes dans le cloud [sn_sec_cmn_cloud_account. LIST].
- Région du cloud : indique l’emplacement où la ressource a été hébergée. Les informations sont renseignées à partir des régions du cloud [sn_sec_cmn_region. LIST].
- Type de ressource dans le cloud : fournit des informations sur le type de ressource, par exemple s’il s’agit d’un ordinateur virtuel ou d’une instance de base de données, entre autres. Les informations sont renseignées à partir du type de ressource dans le cloud [sn_sec_cmn_cloud_resource_type. LIST].
- Fournisseur de services dans le cloud : fournit des informations sur le fournisseur de services dans le cloud, qu’il s’agisse d’Amazon Web Services (AWS), d’Oracle Cloud, entre autres. Les informations proviennent du fournisseur de services dans le cloud [sn_sec_cmn_cloud_service_provider. LIST].
- Groupes de comptes dans le cloud : fournit des informations sur les groupes de comptes. Les informations sont renseignées à partir de la table Groupes de comptes dans le cloud [sn_vul_prismacloud_account_group.list].Remarque :L’attribut Groupes de comptes dans le cloud n’est disponible que pour Prisma.
Règles de recherche de CI
Les règles de recherche de CI du système de base sont disponibles pour l’ID de ressource, le nom et la catégorie S3. Pour plus d’informations sur les règles de recherche de CI, reportez-vous à Règles de recherche de CI pour Microsoft Defender for Cloud Integration pour Opérations de sécurité et Palo Alto Prisma Cloud.