Lancer une nouvelle analyse pour l’intégration Tenable.sc

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Vérifiez que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés en lançant de nouvelles analyses dans la plateforme Tenable. Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables pour le Tenable.sc produit à partir de votre Now Platform® instance.

    Avant de commencer

    Rôles requis : sn_vul.write_all ou sn_vul.write_assigned
    Remarque :
    Tenable.sc Ne prend pas en charge le lancement d’une nouvelle analyse sur les ordinateurs basés sur un agent.

    Vérifiez que votre scanner est activé avant de commencer. Accédez à la Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.

    Pourquoi et quand exécuter cette tâche

    Pour lancer une nouvelle analyse à partir des espaces de travail, reportez-vous à la section Analyser Tenable.io à nouveau et Tenable.sc les éléments vulnérables depuis les Réponse aux vulnérabilités espaces de travail.

    Suivez les étapes ci-dessous pour lancer une nouvelle analyse dans l’environnement classique.

    Pour aider à réduire les frais généraux et le volume impliqués par les analyses complètes planifiées, les responsables des rattrapages, les spécialistes informatiques, les analystes de vulnérabilité ou les gestionnaires de vulnérabilités peuvent lancer de nouvelles analyses ciblées sur demande pour des vulnérabilités spécifiques sur des actifs (éléments de configuration) dans leurs environnements. Vous pouvez lancer de nouvelles analyses à partir d’enregistrements d’éléments vulnérables (VI), de tâches de remédiation (RT), d’entrée tierce (TPE) ou d’éléments détectés à partir de votre Now Platform instance.

    Les nouvelles analyses permettent à vos propriétaires de rattrapage et à vos analystes de vulnérabilité de vérifier que vos activités de rattrapage, vos correctifs et vos autres actions ont corrigé avec succès des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    À titre d’exemple, l’ensemble de votre environnement est analysé une fois toutes les trois semaines. L’analyse complète la plus récente a été effectuée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines la prochaine analyse planifiée pour vérifier qu’elle a été corrigée. Pour vérifier que votre correctif corrige avec succès une vulnérabilité critique détectée lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform recherche Tenable.sc d’éléments vulnérables.

    Remarque :
    Lorsque vous demandez une nouvelle analyse à partir de votre Now Platform® instance, la sélection des informations d’identification Intégration de Réponse aux vulnérabilités à Tenable est facultative. L’intégration ServiceNow® Tenable.sc des informations d’identification de numérisation importe et met à jour les informations d’identification du scanner à partir Tenable.sc du produit dans votre instance. Cette intégration s’exécute chaque semaine pour importer et stocker en toute sécurité vos données d’informations d’identification Tenable.

    Notez que ces données importées n’incluent pas les mots de passe Tenable ni d’autres informations sensibles sur le compte Tenable. L’intégration ServiceNow® Tenable.sc des informations d’identification de numérisation est activée (active) automatiquement à partir de l’assistant de configuration de votre instance lorsque vous configurez les Tenable.sc intégrations de vulnérabilités (Tenable.sc intégrations de vulnérabilités ouvertes et fixes).

    Notez les informations suivantes au sujet des informations d’identification que vous importez afin que vos utilisateurs puissent les afficher selon leurs besoins à partir de votre Now Platform instance :
    • Les informations d’identification créées avec le Tenable.sc rôle d’utilisateur administrateur sont disponibles pour les utilisateurs de toutes vos organisations.
    • Les informations d’identification créées avec le rôle d’utilisateur de l’organisation Tenable.sc ne sont disponibles que pour les utilisateurs de cette organisation. Ces informations d’identification ne sont pas importées dans le référentiel Now Platform pour les utilisateurs extérieurs à l’organisation du créateur, sauf si elles sont partagées avec le compte de l’utilisateur utilisé pour se connecter à l’instance.

    Consultez le site web de la Tenable.sc documentation pour plus d’informations.

    Consultez Configurer l’intégration de vulnérabilité tenable à l’aide de l’assistant de configuration pour plus d’informations sur la configuration de l’application Tenable.sc . Pour afficher plus d’informations sur l’intégration des informations d’identification de numérisation, naviguez vers Tout > Intégration de vulnérabilité tenable > Intégrations > Intégration des informations d’identification Tenable.sc Scan.

    Lors de l’exécution de l’intégration, plusieurs processus sont générés et les données sont reçues sous forme de pages. Chaque processus peut contenir une ou plusieurs entrées de file d’attente d’importation avec des données jointes dans des pages. Ces entrées doivent traiter les données dans le délai d’une heure. Toutefois, si la taille de la charge utile est importante, le temps de traitement peut dépasser une heure ou rester bloqué, ce qui entraîne une erreur de délai d’attente d’intégration. L’intégration continue de traiter les données malgré l’erreur de délai d’expiration. Pour éviter ce malentendu, à partir de la version 18.2.4 de Réponse aux vulnérabilités, des horodatages (pulsations) sont envoyés périodiquement pour indiquer si la file d’attente est active et traite des données. Le champ Dernier enregistrement traité de la page Entrée de file d’attente d’importation est mis à jour en fonction du nombre d’enregistrements créés ou mis à jour par la file d’attente d’importation. Si une entrée de file d’attente d’importation dépasse la limite de temps d’une heure, le système vérifie le champ Dernier enregistrement traité pour voir s’il est également antérieur à une heure. Si c’est le cas, cela indique que l’entrée de file d’attente d’importation est bloquée et qu’elle a expiré pour éviter tout retard supplémentaire dans le traitement.
    Remarque :
    Le champ Dernier enregistrement traité est mis à jour en fonction de ce qui est défini dans les propriétés système suivantes :
    • sn_sec_cmn.record_threshold_heartbeat: définit le nombre d’enregistrements traités, après quoi les intervalles de mise à jour (horodatage) sont envoyés à l’entrée de file d’attente d’importation.
    • sn_sec_cmn.maximum_heartbeat_delay: définit l’heure après laquelle l’entrée de file d’attente d’importation doit être expirée.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez déclencher une nouvelle analyse et ouvrez-le.
      Remarque :
      Vous ne pouvez lancer de nouvelles analyses que pour les VI dont Tenable.sc la source est la source. Verify Tenable.sc s’affiche dans la colonne Source des vues de listes des VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le Créateur de conditions pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue Liste des VI, dans le coin supérieur gauche de la liste, cliquez sur l’icône Personnaliser la liste (icône Engrenage) et utilisez la zone de sélection pour déplacer la source de Disponible à Sélectionné.
    3. Vous pouvez également accéder à Tout > Réponse aux vulnérabilités > Tâches de remédiation ou Réponse aux vulnérabilités > Bibliothèques > Tiers pour la tâche de rattrapage ou les enregistrements d’entrées de tiers, respectivement, que vous souhaitez utiliser pour la nouvelle analyse.

      En fonction de votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un enregistrement de VI unique, le VI doit provenir du Tenable.sc produit et se trouver dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI doivent provenir du produit Tenable.sc et être dans un état autre que Fermé.
      • Sur un enregistrement RT, la tâche de rattrapage peut être dans n’importe quel état autre que Fermé et tous les VI associés doivent provenir du Tenable.sc produit.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement de VI associé du produit dans un Tenable.sc état autre que Fermé.
    4. Dans l’angle supérieur droit de l’enregistrement, cliquez sur Analyser à nouveau.
      Vous êtes invité à choisir les informations d’identification du scanner pour y accéder. Il s’agit des informations d’identification importées par l’intégration des informations d’identification Tenable.sc de numérisation.
    5. Dans la boîte de dialogue, sélectionnez les filtres et les types d’informations d’identification souhaités.
    6. Cliquez sur Demander l’analyse.

      Un message s’affiche pour indiquer que votre analyse est en cours de traitement. L’état de toutes les nouvelles analyses peut être consulté à tout moment sous les listes relatives à l’analyse sur les enregistrements VI, RT, TPE que vous avez utilisés pour lancer les nouvelles analyses. Dans le message, cliquez sur Afficher les détails pour afficher l’état de la nouvelle analyse et afficher toutes les autres nouvelles analyses lancées à partir d’un enregistrement donné.

      Le champ État de l’enregistrement d’analyse parent est marqué comme terminé lorsque toutes les analyses enfants sont terminées avec succès. L’enfant analyse les données d’importation. L’enregistrement d’analyse parent est un conteneur pour les analyses enfants.

      Votre Now Platform® instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine correctement ou jusqu’à l’expiration de la période de suivi définie, selon la première éventualité. Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état de votre Now Platform® nouvelle analyse a cessé, et non à la date à laquelle la nouvelle analyse elle-même s’est arrêtée. Tous les VI qui sont passés ou passeront à l’état Fermé/Fixe sont importés avec la prochaine importation planifiée de l’intégration des vulnérabilités Tenable.sc Fixe.