Présentation de l’intégration des vulnérabilités de Microsoft Threat and Vulnerability Management

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 9 minutes de lecture

    • L’intégration Réponse aux vulnérabilités à l’application Microsoft Threat and Vulnerability Management (MS TVM) utilise des données importées de MS TVM pour vous aider à hiérarchiser et à corriger les vulnérabilités de vos actifs. L’application est disponible avec un abonnement distinct à partir du ServiceNow Storefichier .

    Vous pouvez utiliser l’intégration des vulnérabilités MS TVM pour importer des données d’analyseurs tiers concernant vos actifs et vos vulnérabilités. Vous pouvez ensuite afficher des rapports sur les vulnérabilités et les éléments vulnérables sur les Réponse aux vulnérabilités tableaux de bord.

    Workflow d’intégration MS TVM qui affiche l’installation et la configuration de l’application, l’affichage des données ingérées dans votre instance Now Platform, et la hiérarchisation et la correction automatiques des vulnérabilités de vos actifs.

    Versions disponibles

    Version Notes de publication

    Réponse aux vulnérabilités Intégration avec MS TVM v2.2

    Pour plus d’informations sur les versions publiées de l’application Vulnerability Response, la compatibilité et les changements de schéma, consultez l’article Matrice de compatibilité de Vulnerability Response et Changements de schéma de mise en production [KB0856498] dans la base de connaissances HI.

    Séparation de domaine et MS TVM

    Importez les données d’intégration de vulnérabilité dans un domaine spécifié en affectant un utilisateur de ce domaine pour exécuter les intégrations. Pour créer des importations séparées par domaine pour l’intégration des vulnérabilités MS TVM, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Termes et fonctionnalités clés des intégrations

    Éléments vulnérables et vulnérabilités
    Un élément vulnérable est créé dans votre instance lorsque :Now Platform
    • Une vulnérabilité importée à partir d’un scanner tiers est mise en correspondance avec un actif existant (élément de configuration) dans votre CMDB). Le produit MS TVM qualifie ces correspondances de vulnérabilités.
    • Une vulnérabilité importée à partir d’un scanner tiers ne correspond pas à un actif existant dans votre CMDB. Dans ce cas, un élément de configuration (CI) sans correspondance est également créé avec un élément vulnérable.

      Utilisez le moteur Identification et rapprochement (IRE) pour créer des CI dans deux nouvelles classes lorsqu’un CI existant ne peut pas être mis en correspondance avec un hôte. Dans le cas contraire, des CI sans correspondance sont créés dans les classes de CI sans correspondance. Pour plus d'informations, consultez Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et rapprochement.

    Entrées de vulnérabilité tierces
    Les entrées de vulnérabilité tierces sont importées à partir d’analyseurs tiers tels que MS TVM et sont répertoriées dans la table Entrées de vulnérabilité tierces de votre Now Platform instance. De plus, les entrées de la base de données de vulnérabilité nationale (CVE) sont importées à partir de MS TVM. Les informations sur l’exploit associées à ces deux types d’entrées proviennent de MS TVM. Ces informations sur l’exploit peuvent être utilisées pour le calcul du risque.
    Remarque :
    Une vulnérabilité tierce n’est récupérée que pour les vulnérabilités auxquelles aucun CVE n’est affecté. MS TVM peut ajouter un nom temporaire pour la vulnérabilité, par exemple, TVM-XXXX-XXXX. Ce nom est mis à jour après l’affectation d’un ID CVE.
    Élément de configuration (CI)
    Les CI sont les actifs existants répertoriés dans votre CMDBfichier .
    Élément détecté
    Les éléments détectés sont les actifs ingérés à partir de l’importation de l’ordinateur MS TVM qui correspondent aux CI existants dans votre CMDB.

    Si aucune correspondance n’est trouvée, un CI est créé dans la classe CI sans correspondance du CMDB. Activez le module d’extension Modèles de classe CI CMDB. Le moteur Identification et rapprochement (IRE) crée des CI à l’aide de nouvelles classes. Pour plus d'informations, consultez Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et rapprochement. Si le CI d’origine, sans correspondance, est reclassé, les enregistrements de l’élément détecté sont mis à jour pour refléter cet état. Les éléments détectés vous donnent une visibilité sur la façon dont les actifs sont identifiés et mappés aux CI dans le CMDB.

    Règles de recherche de CI
    Lorsque des données sont importées à partir de MS TVM, Réponse aux vulnérabilités utilise automatiquement les données de l’ordinateur (actif) pour rechercher des correspondances dans le CMDBfichier . Les règles de recherche de CI sont utilisées pour identifier les CI et les ajouter aux enregistrements de VI lors de la création de VI.
    Instance
    Une instance fait référence à plusieurs comptes de MS TVM. Chaque compte peut être une instance de l’application MS TVM.
    Intégration
    Une intégration est une tâche planifiée qui récupère des informations à partir d’une source tierce, comme l’intégration des machines MS TVM.
    Déploiement
    Lorsqu’une intégration prend en charge plusieurs sources, une existence d’intégration unique est appelée déploiement de votre intégration. Un déploiement fait référence aux intégrations et aux produits dans votre environnement. Par exemple, vous pouvez avoir plusieurs déploiements de MS TVM dans votre environnement.

    L’intégration MS TVM comprend également les fonctionnalités clés suivantes :

    • Vous pouvez identifier les actifs dans votre environnement et mettre à jour les CI de vos éléments détectés, éléments vulnérables et enregistrements de détection existants pour vous donner plus de détails sur vos vulnérabilités.
    • Vous pouvez planifier le moment où vous souhaitez que les tâches s’exécutent pour toutes les intégrations MS TVM. Vous pouvez également exécuter des travaux planifiés sur demande.
    • Vous pouvez regrouper des éléments vulnérables.
    • Vous pouvez configurer des règles de recherche de CI pour définir la manière dont les données d’actif de sources tierces sont utilisées pour identifier les CI dans votre CMDB.

    Rôles Now Platform requis

    Les tâches d’intégration nécessitent les rôles suivants dans votre Now Platform instance.

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    administrateur
    L’administrateur système utilise l’Assistant de configuration pour installer l’application MS TVM. Si elle n’est pas affectée, l’administrateur affecte l’administrateur de vulnérabilité (sn_vul.vulnerability_admin) et d’autres rôles dans l’Assistant de configuration.
    sn_vul.vulnerability_admin
    Une fois affecté, l’administrateur de vulnérabilité termine la configuration des intégrations MS TVM dans l’Assistant de configuration. Ce rôle dispose d’un accès complet à l’application Réponse aux vulnérabilités et à ses enregistrements. L’administrateur de vulnérabilité configure toutes les applications et toutes les règles pour les Réponse aux vulnérabilités intégrations tierces installées.
    sn_vul_msft_tvm.configure_integration

    Ce rôle contient le rôle granulaire sn_vul_msft_tvm.read_integration . Les utilisateurs disposant de ce rôle peuvent configurer Vulnerability Response Integration avec l’application Microsoft Threat and Vulnerability Management.

    sn_vul_msft_tvm.read_integration

    Les utilisateurs disposant de ce rôle peuvent uniquement afficher l’intégration de Vulnerability Response avec les enregistrements de l’application Microsoft Threat and Vulnerability Management.

    Groupe Vulnerability Response
    Par défaut, le groupe Vulnerability Response est disponible dans l’Assistant de configuration. Les utilisateurs affectés au groupe Vulnerability Response héritent automatiquement des rôles sn_vul.read_all et sn_vul.remediation_owner.

    Intégrations MS TVM

    La fonction multisource est prise en charge pour toutes les intégrations MS TVM. Vous pouvez ajouter et déployer plusieurs instances des intégrations suivantes dans votre environnement à partir de l’Assistant de configuration dans Réponse aux vulnérabilités. Vous pouvez également installer et configurer l’intégration Réponse aux vulnérabilités à l’application MS TVM à partir de l’Assistant de configuration.

    Pour afficher les intégrations MS TVM, accédez à Intégration de vulnérabilité Microsoft TVM > Administration > Intégrations. Réponse aux vulnérabilités fournit des intégrations avec les points de terminaison MS TVM pour importer les données en fonction des intervalles de temps planifiés. Les intégrations suivantes sont incluses dans le système de base.

    Tableau 1. Intégrations MS TVM
    Séquence d’exécution Calendrier Intégration Description
    1 Quotidien Intégration des recommandations Microsoft TVM Récupère une liste de toutes les recommandations de sécurité activables pour corriger les vulnérabilités.
    2 Quotidien Intégration de Microsoft TVM Vulnerability (CVE) Récupère une liste des entrées de la base de données de vulnérabilité nationale et des entrées de vulnérabilité tierces, ainsi que leurs informations sur l’exploitation.
    3 Quotidien Intégration des machines Microsoft TVM Récupère toutes les données d’actif (machine), y compris les balises d’ordinateur, à partir de Microsoft TVM et les traite dans votre instance.
    4 Hebdomadaire
    Remarque :
    Après l’installation, cette intégration est exécutée automatiquement après l’importation des machines.
    		 Intégration des vulnérabilités des machines Microsoft TVM (importation complète) Récupère toutes les vulnérabilités ouvertes sur tous les actifs.
    5 Quotidien Intégration des vulnérabilités des machines Microsoft TVM (importation Delta) Récupère toutes les informations qui ont changé dans l’importation complète de vulnérabilité de l’organisation, y compris les vulnérabilités nouvelles, corrigées et mises à jour.

    Les éléments vulnérables sont regroupés en tâches de rattrapage en fonction des règles de groupe que vous définissez et sont affectés au rattrapage en fonction de vos règles d’affectation. Pour plus d'informations, consultez Réponse aux vulnérabilités Tâches de rattrapage et vue d’ensemble des règles de tâche de rattrapage et Réponse aux vulnérabilités Vue d’ensemble des règles d’affectation.

    Règles de recherche de CI

    Lorsque des données sont importées à partir de MS TVM, Réponse aux vulnérabilités utilise automatiquement les données de l’ordinateur (actif) pour rechercher des correspondances dans le Base de données de gestion des configurations (CMDB)fichier . Les règles de recherche de CI sont utilisées pour identifier les CI et les ajouter aux enregistrements de VI lors de la création de VI. Pour plus d’informations sur le fonctionnement des règles de recherche de CI, reportez-vous à Règles de recherche de CI pour identifier les éléments de configuration à partir d’intégrations de Réponse aux vulnérabilités vulnérabilité tierces.
    Remarque :
    Une fois que vous avez supprimé une règle, vous ne pouvez pas la récupérer. Au lieu de supprimer une règle existante, vous devez la désactiver.
    Les règles de recherche MS TVM suivantes sont fournies avec le système de base :
    • MAC_ADDRESS
    • FQDN
    • IP
    Remarque :
    Vous pouvez utiliser plusieurs valeurs pour le IP_ADDRESS et le MAC_ADDRESS d’un actif. Une règle de recherche de CI tient compte de toutes les valeurs pour établir une correspondance.

    Éléments détectés

    Vous pouvez afficher les CI qui ont été détectés lors d’une importation à partir de l’intégration des machines MS TVM.
    Remarque :
    Le filtre par défaut de cette liste est défini sur Sans correspondance. Vous pouvez afficher tous les éléments détectés à partir d’une importation en supprimant le filtre.
    Pour plus d'informations, consultez Éléments détectés.

    Balises d’ordinateur

    Les balises d’ordinateur, également appelées balises d’hôte, sont utilisées pour organiser et suivre les actifs de votre organisation. Vous attribuez des balises à vos machines.

    Toutes les balises de machine sont importées dans le cadre de l’intégration des machines MS TVM. Les balises d’ordinateur sont généralement utilisées pour le filtrage dans Réponse aux vulnérabilités les règles d’affectation et les règles de groupe de vulnérabilité. Les balises sont affichées dans le formulaire Élément détecté.
    Remarque :
    Exécutez l’intégration de l’ordinateur MS TVM avant de créer des Réponse aux vulnérabilités règles de tâche d’affectation ou de rattrapage dans l’application afin que toutes les balises soient disponibles pour ces règles avant que Réponse aux vulnérabilités les éléments vulnérables ne soient importés et regroupés. Notez également les points suivants concernant les balises :
    • Le stockage des balises n’est pas sensible à la casse. Si une balise Paris est créée, elle ne peut pas être stockée dans la table des balises Machine. Paris et PARIS sont considérés comme étant la même étiquette machine par le système. La balise importée en premier est celle qui est stockée et reconnue.
    • L’utilisation de balises machine en tant que clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les clés de groupe sont des colonnes dans la table des tâches de rattrapage, tandis que les balises machine sont destinées à être utilisées uniquement dans le générateur de conditions.
    • Les balises d’ordinateur sont contrôlées par la propriété système globale sn_vul.import_host_tags. Cette propriété est définie sur vrai par défaut. La désactivation des balises les désactive dans toutes les Now Platform® instances.

    Étapes suivantes

    Une fois que vous avez téléchargé l’intégration avec Microsoft Threat and Vulnerability Management à partir de , l’installation et la ServiceNow® Storeconfiguration sont prises en charge par l’assistant Réponse aux vulnérabilités de configuration dans Réponse aux vulnérabilités. Pour plus d'informations, consultez Installez et configurez Vulnerability Response Integration avec l’application MS TVM à l’aide de l’Assistant de configuration.