Présentation de l’intégration Tenable Vulnerability

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 13 minutes de lecture

    • L’application Intégration de Réponse aux vulnérabilités à Tenable développée par ServiceNow l’ingénierie pour Tenable Vulnerability Integration utilise des données importées des Tenable.io produits et Tenable.sc pour vous aider à hiérarchiser et à corriger les vulnérabilités de vos actifs. L’application est disponible avec un abonnement distinct à partir du ServiceNow® Storefichier .

    Remarque :
    À partir de la version 14.9 de Conformité de la configuration, les termes suivants ont été renommés :
    Tableau 1. Changements de terminologie
    Terminologie antérieure à la version 14.9 Terminologie à partir de la version 14.9
    Groupe de résultats des tests Tâche de rattrapage
    Règle de groupe Règles de la tâche de rattrapage
    Politique Groupe de tests
    L’intégration de vulnérabilité Tenable utilise deux intégrations Tenable.io Tenable et Tenable.sc, pour importer des données d’analyseurs tiers concernant vos actifs et vos vulnérabilités. L’application Intégration de Réponse aux vulnérabilités à Tenable prend en charge le produit à partir de la Tenable.sc version 5.13.
    • Tenable.io est une intégration d’entreprise basée sur le cloud.
    • Tenable.sc est une intégration locale qui vous donne la possibilité d’utiliser un serveur MID si le produit et votre Tenable.scNow Platform instance se trouvent dans le même environnement.
    • Si le produit et votre Tenable.scNow Platform instance ne se trouvent pas dans le même environnement, vous devez utiliser un serveur MID.

    L’application Intégration de Réponse aux vulnérabilités à Tenable est disponible sur le ServiceNow Store avec un abonnement séparé.

    Pour obtenir des listes et des descriptions des intégrations dans , consultez Tenable Vulnerability IntegrationTenable.ioIntégrations avec les applications ET Réponse aux vulnérabilitésConformité de la configuration et Tenable.scIntégrations avec l’application Réponse aux vulnérabilités.

    Figure 1. Intégration de vulnérabilité tenable
    Workflow d’intégration de vulnérabilité tenable.

    Versions disponibles pour Xanadu

    Version Notes de publication

    Intégration de Réponse aux vulnérabilités à Tenable v3.5, v3.6

    Pour plus d’informations sur la compatibilité, consultez Matrice de compatibilité de KB0856498 Vulnerability Response et Changements de schéma de mise en production

    Termes et fonctionnalités clés des intégrations

    Éléments vulnérables et vulnérabilités
    Un élément vulnérable est créé dans votre instance lorsque :Now Platform
    • Une vulnérabilité importée à partir d’un scanner tiers est mise en correspondance avec un actif existant (un élément de configuration dans votre CMDB). Le produit Tenable qualifie ces correspondances de vulnérabilités.
    • Une vulnérabilité importée à partir d’un scanner tiers ne correspond pas à un actif existant dans votre CMDB. Dans ce cas, un CI sans correspondance est également créé ainsi qu’un élément vulnérable.

      Pour les CI sans correspondance, vous pouvez également utiliser le moteur Identification et réconciliation (IRE) pour créer des CI dans deux nouvelles classes lorsqu’un CI existant ne peut pas être mis en correspondance avec un hôte. Dans le cas contraire, des CI sans correspondance sont créés dans les classes de CI sans correspondance. Pour plus d'informations, consultez Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et rapprochement.

    Entrées et modules d’extension de vulnérabilité tiers
    Les entrées de vulnérabilité tierces sont importées à partir d’analyseurs tiers et répertoriées dans la table Entrées de vulnérabilité tierces de votre Now Platform instance. Les entrées de vulnérabilité tierces de Tenable sont ingérées et mises en Réponse aux vulnérabilités correspondance avec les actifs existants répertoriés dans votre CMDBfichier . Tenable fait référence aux entrées de vulnérabilité tierces en tant que modules d’extension.
    Élément de configuration (CI)
    Les éléments de configuration sont les actifs existants répertoriés dans votre CMDBfichier .
    Élément détecté
    Les ressources ingérées à partir de l’importation d’actif Tenable sont mises en correspondance avec des éléments de configuration existants dans votre CMDB. Les actifs importés sont mis à jour.

    Si aucune correspondance n’est trouvée, un CI est créé dans la classe CI sans correspondance du CMDB. Si le module d’extension Modèles de classe CI CMDB est activé, le moteur Identification et réconciliation (IRE) crée de nouveaux CI à l’aide de nouvelles classes. Pour plus d'informations, consultez Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et rapprochement. Si le CI d’origine, sans correspondance, est reclassé, les enregistrements d’éléments détectés sont mis à jour pour refléter l’état. Les éléments détectés vous donnent une visibilité sur la façon dont les actifs sont identifiés et mappés aux CI dans le CMDB.

    Règles de recherche de CI
    Lorsque les données sont importées à partir d’une intégration tierce, Vulnerability Response utilise automatiquement les données de l’hôte (actif) pour rechercher des correspondances dans la base de données de gestion des configurations (CMDB). Les règles de recherche de CI sont utilisées pour identifier les CI et les ajouter aux enregistrements de VI lorsque des VI sont créés pour vous aider à y remédier.
    Nouvelle analyse et analyse de rattrapage
    Vous pouvez lancer une commande de nouvelle analyse ciblée sur un élément de configuration, une tâche de rattrapage ou une entrée de tiers spécifique directement à partir des enregistrements d’élément vulnérable, de tâche de rattrapage et d’entrée de vulnérabilité tiers dans votre Now Platform instance. Tenable fait référence à cette nouvelle analyse en tant qu’analyse de rattrapage.
    Fermer automatiquement les VI plus anciens
    Le module Fermer automatiquement les éléments vulnérables périmés de votre Now Platform, vous pouvez nettoyer les éléments vulnérables (VI) anciens et périmés qui n’ont pas été trouvés récemment par vos intégrations tierces. Le déplacement de ces VI vers Fermé vous aide à réduire le nombre d’éléments vulnérables actifs et de tâches de rattrapage, ainsi qu’à rapprocher les actifs dans votre CMDB. Vous pouvez utiliser toutes les intégrations avec le Intégration de Réponse aux vulnérabilités à Tenable pour fermer automatiquement les VI périmés.
    Instance
    Ce terme fait référence à une occurrence distincte de votre Now Platform® application.
    Intégration
    Une intégration est une référence spécifique à un produit d’une intégration, comme l’intégration des actifs ou l’intégration Tenable.io du module d’extension Tenable.sc . Il s’agit des intégrations distinctes qui appartiennent à des produits Tenable spécifiques dans l’intégration de vulnérabilité Tenable de votre instance.
    Instance d'intégration
    Ce terme désigne les intégrations Tenable distinctes répertoriées par leur Tenable.io et Tenable.sc leurs produits.
    Déploiement
    Lorsqu’une intégration prend en charge plusieurs sources, une existence d’intégration unique et distincte est appelée déploiement de votre intégration. Le terme est utilisé pour désigner la ou les intégrations et les produits dans votre environnement. Par exemple, vous pouvez avoir plusieurs déploiements de diverses intégrations des produits et Tenable.ioTenable.sc dans votre environnement.

    Les Tenable.io intégrations et Tenable.sc incluent également les fonctionnalités clés suivantes :

    • Les résultats de l’évaluation de configuration, c’est-à-dire les résultats des tests, ainsi que les politiques, les tests de configuration (contrôles) et les citations avec des sources de référence peuvent être importés dans l’application Conformité de la configuration avec le Tenable.io produit. Consultez Tenable.ioIntégrations avec les applications ET Réponse aux vulnérabilitésConformité de la configuration et Explorer Conformité de la configuration pour en savoir plus sur le fonctionnement de cette intégration avec l’application Conformité de la configuration .
    • À partir de la version 2.1 du , créez des éléments de Tenable Vulnerability Integrationconfiguration (CI) uniques qui incluent différents identificateurs de partition de réseau pour les actifs de votre environnement qui partagent la même adresse IP. Identifiez les actifs distincts dans votre environnement et mettez à jour les CI sur vos enregistrements existants d’élément détecté, d’élément vulnérable et de détection pour vous donner plus de détails sur vos vulnérabilités.
    • Vous pouvez planifier le moment où vous souhaitez que les tâches s’exécutent pour toutes les Tenable.io intégrations and Tenable.sc . Vous pouvez également exécuter manuellement des travaux planifiés sur demande.
    • Pour les importations d’actifs avec Tenable.io, vous pouvez activer les balises d’actif pour organiser et suivre les actifs répertoriés dans CMDB votre Tenable.io environnement.
    • Les Tenable.io intégrations et Tenable.sc vous permettent de configurer des règles de recherche de CI pour définir la manière dont les données d’actifs de sources tierces sont utilisées pour identifier les éléments de configuration (CI) dans votre Now Platform CMDB.
    • Les Tenable.io intégrations et Tenable.sc vous permettent de définir des filtres d’importation sur l’importation des vulnérabilités afin d’importer uniquement les vulnérabilités de Tenable que vous souhaitez. Pour Tenable.io, vous avez la possibilité d’importer des vulnérabilités corrigées de Tenable avec l’importation des vulnérabilités.
    • Pour Tenable.sc, vous pouvez lancer de nouvelles analyses sur demande directement à partir d’enregistrements d’éléments vulnérables, de tâches de rattrapage et d’entrées tierces dans votre Now Platform instance. Si des VI sont passés à l’état Fermé/Fixe , mais ne sont pas encore mis à jour dans votre instance, vous pouvez vérifier que les vulnérabilités sur des éléments de configuration spécifiques ont été corrigées. Consultez Lancer une nouvelle analyse pour l’intégration Tenable.sc.

    Les sections suivantes répertorient plus d’informations sur les intégrations Tenable.

    Rôles Now Platform requis

    Les tâches d’intégration nécessitent les rôles suivants dans votre Now Platform instance.

    administrateur
    L’administrateur système utilise l’Assistant de configuration pour installer l’application Intégration de Réponse aux vulnérabilités à Tenable . Si elle n’est pas affectée, l’administrateur affecte l’administrateur de vulnérabilité (sn_vul.vulnerability_admin) et d’autres rôles dans l’Assistant de configuration.
    sn_vul.vulnerability_admin
    Une fois cette affectation effectuée, l’administrateur de vulnérabilité termine la configuration des intégrations Tenable dans l’assistant de configuration. Ce rôle dispose d’un accès complet à l’application Réponse aux vulnérabilités (VR) et à ses enregistrements. L’administrateur de vulnérabilité configure toutes les applications et toutes les règles de réalité virtuelle pour les intégrations tierces installées.
    sn_vul_tenable.configure_integration
    Ce rôle contient le rôle granulaire sn_vul_tenable.read_integration et les utilisateurs dotés de ce rôle peuvent configurer l’application Intégration de Réponse aux vulnérabilités à Tenable .
    sn_vul_tenable.read_integration
    Les utilisateurs disposant de ces rôles peuvent afficher (lire) mais pas modifier les enregistrements de l’application Intégration de Réponse aux vulnérabilités à Tenable .
    Groupe Vulnerability Response
    Par défaut, le groupe Vulnerability Response est disponible dans l’Assistant de configuration. Les utilisateurs affectés au groupe Vulnerability Response héritent automatiquement des rôles sn_vul.read_all et sn_vul.remediation_owner.

    Éléments vulnérables

    Les éléments vulnérables sont regroupés en tâches de rattrapage en fonction des règles de tâche de rattrapage et affectés pour le rattrapage en fonction de vos règles d’affectation. Pour plus d'informations, consultez Réponse aux vulnérabilités Tâches de rattrapage et vue d’ensemble des règles de tâche de rattrapage et Réponse aux vulnérabilités Vue d’ensemble des règles d’affectation.

    Règles de recherche d’éléments de configuration (CI)

    Les règles de recherche de CI identifient les CI et déterminent quand les ajouter à un élément vulnérable. Pour plus d’informations sur le fonctionnement des règles de recherche de CI, reportez-vous à Règles de recherche de CI pour identifier les éléments de configuration à partir d’intégrations de Réponse aux vulnérabilités vulnérabilité tierces.
    Remarque :
    Les règles, une fois supprimées, ne peuvent pas être récupérées. Plutôt que de supprimer les règles existantes, désactivez-les lorsque vous en créez de nouvelles.
    Les règles de recherche suivantes Tenable.io sont fournies avec le système de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • Nom d'hôte
    • DNS
    • IP
    Les règles de recherche suivantes Tenable.sc sont fournies avec le système de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • IP
    Remarque :
    Plusieurs valeurs pour ip_address, mac_address, FQDNS et network_interfaces sont utilisées pour un actif. Toutes les valeurs sont prises en compte dans les règles de recherche de CI pour la correspondance. Toutes les valeurs sont utilisées pour créer plusieurs cartes réseau à l’aide d’IRE.

    Pour en savoir plus sur la configuration de la catégorisation des ressources cloud inégalées dans votre classe CI préférée, reportez-vous à la section Mise à jour de la classe CI pour les actifs cloud sans correspondance.

    Nouvelles propriétés pour ignorer les adresses IP

    Dans Tenable.io, deux propriétés sont disponibles si vous souhaitez ignorer plusieurs adresses IP ou plusieurs adresses Mac dans le cadre de vos règles de recherche de CI :
    ignoreIPAddress
    Une liste d’adresses IP à ignorer pour la recherche de CI et la création de CI.
    ignoreMacAddress
    Une liste d’adresses MAC à ignorer pour la recherche de CI ou la création de CI.

    Éléments détectés

    Ce module répertorie les éléments de configuration détectés lors de l’importation à partir des intégrations d’éléments vulnérables Tenable et d’actifs Tenable.
    Remarque :
    Le filtre par défaut de cette liste est défini sur Sans correspondance. Vous pouvez afficher tous les éléments détectés à partir d’une importation en supprimant le filtre.
    Pour plus d’informations sur le module Éléments détectés, reportez-vous à la section Éléments détectés.

    Balises d'actifs

    Les balises d’actif (également appelées balises d’hôte) sont utilisées pour organiser et suivre les actifs de votre organisation. Vous pouvez affecter des balises à vos ressources. Ensuite, lors du lancement des analyses, vous pouvez sélectionner des balises associées aux ressources que vous souhaitez analyser. Le module Balises d’actif vous permet de télécharger les données des balises d’actif Tenable.io depuis votre instance de manière planifiée. Les données d’actif Tenable.io qui incluent des balises d’actif sont extraites et transformées à l’aide des cartes de transformation d’intégration Tenable.io Asset Transform .

    Toutes les balises d’actif sont importées dans le cadre de l’intégration d’actif Tenable.io . Les balises d’actifs sont généralement utilisées pour le filtrage dans Réponse aux vulnérabilités les règles d’affectation et les règles de tâche de rattrapage. Les balises sont affichées dans le formulaire Élément détecté.
    Remarque :
    Exécutez l’intégration Tenable.io des actifs avant de créer Réponse aux vulnérabilités des règles d’affectation ou des règles de tâche de rattrapage dans l’application afin que toutes les balises soient disponibles pour ces règles avant que Réponse aux vulnérabilités les éléments vulnérables ne soient importés et regroupés. Notez également les points suivants concernant les balises :
    • Le stockage des balises n’est pas sensible à la casse. Par exemple, si vous créez une balise pour décrire les actifs de votre emplacement San Diego, et que vous créez la balise San Diego , vous ne pouvez pas également créer une balise SAN DIEGO et la stocker dans la table Balise d’actif. San Diego et SAN DIEGO sont considérés comme étant la même balise d’actif par le système. La balise importée en premier est celle qui est stockée et reconnue à l’avenir.
    • L’utilisation de balises d’actifs en tant que clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les balises d’actif sont destinées à être utilisées uniquement dans le générateur de conditions.
    • Les balises d’actifs sont contrôlées par la propriété système globale sn_vul.import_asset_tags. Cette propriété est définie sur vrai par défaut. La désactivation des balises les désactive dans toutes les Now Platform® instances.

    Filtres de récupération de données

    Les paramètres de récupération de données vous aident à déterminer spécifiquement le type et le périmètre des données que vous souhaitez importer de l’application Tenable vers votre Now Platform® instance. Pour obtenir la liste des paramètres les plus couramment utilisés, reportez-vous à la section Paramètres de récupération de données pour Tenable Vulnerability Integration.

    Évaluation de priorité de vulnérabilité (VPR)

    L’évaluation de priorité de vulnérabilité (VPR) est un attribut du produit Tenable qui est importé et utilisé avec un nouveau calculateur de risque par défaut dans Réponse aux vulnérabilités. La règle de risque Tenable est installée avec l’application dans le Intégration de Réponse aux vulnérabilités à Tenable cadre du calculateur de risque par défaut dans les calculateurs de vulnérabilité à partir de Réponse aux vulnérabilités.

    Cette règle de risque est désactivée par défaut.

    En activant la règle du calculateur de risque Tenable, les valeurs VPR importées sont utilisées pour calculer le score de risque pour les éléments vulnérables. Distribution de pondération par défaut pour ce calculateur de risque : VPR = 70 %, Actif = 15 % et Criticité opérationnelle = 15 %. L’activation de cette règle du calculateur de risque Tenable peut avoir un impact sur vos performances d’ingestion de données. Pour en savoir plus sur Réponse aux vulnérabilités les calculateurs et la règle du calculateur de risque Tenable, reportez-vous à la section Réponse aux vulnérabilités Calculateurs et règles du calculateur de vulnérabilité.

    Installation et configuration

    Après avoir téléchargé le Intégration de Réponse aux vulnérabilités à Tenable à partir du , l’installation ServiceNow® Storeet la configuration sont prises en charge par l’assistant de configuration dans Réponse aux vulnérabilités. Consultez Configuration Réponse aux vulnérabilités à l’aide de l’assistant de configuration pour plus d'informations.