Importer les modifications pour l’intégration de vulnérabilité Tenable

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Configurez les modifications facultatives et rationalisez certaines des données spécifiquement pour l’intégration d’importation des vulnérabilités Tenable dans l’intégration des vulnérabilités ServiceNow® Tenable.

    Avant de commencer

    Rôle requis : sn_vul.vulnerability_admin

    Pourquoi et quand exécuter cette tâche

    Cet ensemble de tâches nécessite du codage et des connaissances avancées sur le Now Platformfichier .

    Suivez ces étapes pour créer des importations séparées par domaine pour les intégrations de vulnérabilités Tenable. L’exemple suivant concerne l’intégration des vulnérabilités ouvertes Tenable.io, mais ce contenu est applicable aux autres intégrations Tenable.

    Procédure

    1. Créez un domaine.
    2. Pour chaque domaine que vous créez, créez un utilisateur et affectez-le à ce domaine.

      Considérez cet utilisateur comme un espace réservé run_as pour le domaine dans Tenable.io.

    3. Intégration des vulnérabilités ouvertes.
      L’utilisateur est l’équivalent de la VR. Utilisateur système dans le domaine global et doit disposer des rôles suivants : sn_vul.tenable_configure_integration, import_admin et sn_vul.vulnerability_write. Cet utilisateur doit accéder aux sources de données, aux cartes de transformation et aux données de vulnérabilité.
      Remarque :
      Considérez cet utilisateur comme spécifique à ce rôle. L’utilisateur ne doit pas avoir d’autre but
    4. Dans chaque domaine, créez une tâche planifiée en copiant le processeur de source de données de vulnérabilité planifiée qui se trouve sous Définition du système > Travaux planifiés.
    5. Ajoutez le domaine au nom pour identifier la tâche planifiée.
    6. Remplacez l’utilisateur run_as par l’utilisateur que vous avez créé à l’étape précédente.
      Remarque :
      Modifiez l’action d’interface utilisateur suivante afin que l’intégration s’exécute dans le domaine de l’utilisateur run_as.
      Modifier l’action d’interface utilisateur
    7. Modifiez l’action d’interface utilisateur Exécuter maintenant dans l’intégration des vulnérabilités ouvertes Tenable.io pour ajouter ce bloc de code en haut du fichier.
      //sys id below is of Tenable.io integration if(current.sys_id == "4df3f18d53730010d7f1ddeeff7b12a9"){ current.run_as = gs.getUserID (); }
      Remarque :
      Modifiez les includes de script suivants afin que l’intégration s’exécute dans le domaine de l’utilisateur run_as.
    8. Modifiez la méthode d’include de script VulnerabilityIntegrationUtils addIntegrationRun pour ajouter le code en surbrillance.
      Ajouter le code en surbrillance
    9. Modifiez la méthode d’include de script VulnerabilityIntegrationUtils addProcessRun pour ajouter le code en surbrillance.
      Ajouter le code en surbrillance
    10. Modifier la méthode d’include de script DataSourceVulnReportRefreshProcessor _processFromDataSourceGroups pour modifier ce code d’origine : Code _processFromDataSourcesGroups d’origine en Code _processFromDataSourcesGroups modifié.
    11. Modifiez la méthode d’include de script VulnerabilityDSAttachmentManager, queueItem pour ajouter les blocs de code en surbrillance suivants, queueItem, _getNext _processQueueEntry fonction.

      Vous êtes prêt pour les importations de détections d’hôtes séparées par domaine.

      Désactiver les calculateurs avant l’importation

      Suivez ces étapes pour désactiver le calculateur par défaut s’il n’est pas utilisé. Si vous n’utilisez pas de calculateurs de vulnérabilité, il est préférable de désactiver les calculateurs par défaut en plus de tous les autres que vous avez définis. Les calculateurs de vulnérabilité s’exécutent chaque fois qu’un enregistrement d’élément vulnérable est consulté et peuvent avoir un impact sur les performances de l’instance.

      Rôle requis : sn_vul.vulnerability_admin.

    12. Accédez à la Tout > Vulnérabilité > Administration > Calculateurs de vulnérabilités.
    13. Ouvrez le groupe Impact de vulnérabilité.
    14. Ouvrez le calculateur de score et d’impact basé sur le service.
    15. Désélectionnez le champ Actif pour désactiver le calculateur.
    16. Cliquez sur Mettre à jour.

      Vous avez désactivé le calculateur par défaut.

      Désactiver les règles métier basées sur la notification avant l’importation initiale

      Suivez ces étapes pour désactiver la désactivation des règles métier liées aux notifications avant l’importation initiale de l’enregistrement. Lors de l’importation initiale des enregistrements, certaines règles métier liées aux notifications peuvent générer de nombreuses notifications, ce qui a un impact sur les performances. Ces règles métier doivent être modifiées pour les désactiver lors de l’importation.

      Le rôle requis est sn_vul.vulnerability_admin.

    17. Accédez à la Tout > Définition du système > Règles métier.
    18. Recherchez les notifications de CI affectés.
    19. Ouvrez la règle métier et insérez la condition suivante : current.sys_class_name != “sn_vul_vulnerable_item".
    20. Cliquez sur Mettre à jour.
    21. Répétez cette procédure pour les règles métier suivantes :
      • Notifications des centres de coûts affectés
      • Notifications des groupes affectés
      • Notifications d’emplacements affectés
      Remarque :
      Une fois l’importation d’enregistrement initiale terminée, vous pouvez réactiver ces règles métier. Cependant, envisagez de les laisser handicapés. Elles peuvent générer un grand nombre de notifications et avoir un impact sur les performances de votre instance.
      Modifier une date de début initiale

      Procédez comme suit pour modifier une date de début initiale. Lors de l’installation à l’aide de l’Assistant de configuration, vous définissez une date de début initiale pour les intégrations Tenable. Vous pouvez réinitialiser cette date de début dans l’Assistant de configuration ou à partir de l’intégration principale, comme indiqué dans les étapes suivantes.

    22. Accédez à la Tout > Intégration de vulnérabilité tenable > Administration > Intégrations.
    23. Cliquez sur n’importe quelle intégration.
    24. Cliquez sur Détails de l’intégration.
    25. Définissez le champ Heure de début sur une valeur passée, de sorte que toutes les vulnérabilités analysées et détectées depuis cette heure soient détectées.

      Si vous avez configuré Tenable à l’aide de l’assistant de configuration, le champ Heure de début est pré-rempli, initialement jusqu’à trois mois avant la date d’aujourd’hui, puis jusqu’à la date d’aujourd’hui. Remarque : Envisagez de définir la valeur à un maximum d’un mois dans le passé. Cela permet d’éviter qu’une grande quantité de données ne dépasse les limites de débit de l’API de Tenable et de déclencher des délais d’exécution.

    26. Cliquez sur Envoyer ou Mettre à jour.
    27. Facultatif : Cliquez sur Exécuter maintenant pour l’exécuter immédiatement.