Configurer l’intégration de vulnérabilité tenable à l’aide de l’assistant de configuration

Gestion de la sécurité Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Xanadu

ft:clusterId

security

bundleId

security

workflow

Technology

Configurer l’intégration de vulnérabilité tenable à l’aide de l’assistant de configuration

Rversion finale: Xanadu

Mis à jour 1 août 2024

10 minutes de lecture

Une fois l’application Intégration de Réponse aux vulnérabilités à Tenable installée, configurez-la à l’aide de l’Assistant de configuration.

Avant de commencer

Utilisez les sections suivantes pour compléter les instructions et invites fournies dans l’assistant de configuration pour l’intégration Intégration de Réponse aux vulnérabilités à Tenable .

Vérifiez que vous avez déjà installé l’application avant de commencer. Pour plus d'informations, consultez Installer Réponse aux vulnérabilités des applications tierces à l’aide de l’Assistant de configuration.
Reportez-vous à la section Préparation de l’intégration Tenable Vulnerability pour plus d’informations avant de configurer le Tenable pour Réponse aux vulnérabilitésfichier .
Vérifiez que vous disposez de toutes les informations d’identification d’un compte tiers. Il est nécessaire de modifier certaines applications tierces.

Rôles requis : administrateur système (admin) pour l’installation, administrateur de vulnérabilité (sn_vul.vulnerability_admin) ou sn_vul.admin (obsolète) et configurer l’intégration (sn_vul_tenable.configure_integrations) pour la configuration.

Procédure

Si ce n’est pas le cas, accédez à Tout > Réponse aux vulnérabilités > Administration > Assistant de configuration > Configuration de l'intégration > Intégrations de scanners.

Les Tenable.io intégrations et Tenable.sc s’affichent.

Tenable est une intégration multi-sources, et vous pouvez avoir plusieurs déploiements de la même intégration tierce. Les paramètres de votre intégration tierce d’origine sont utilisés comme modèle pour les paramètres de chaque nouvelle intégration.

Remarque :
Si vous supprimez l'intégration de vulnérabilité d'origine, vous devez sélectionner une autre intégration à utiliser comme modèle. Envisagez de désactiver l’intégration au lieu de la supprimer. Les intégrations créées à partir de modèles désactivés sont désactivées par défaut.

Les données de chaque intégration tierce sont identifiées de manière unique et disponibles dans une seule instance de Réponse aux vulnérabilités.
À droite de l’intégration Tenable que vous souhaitez configurer, cliquez sur Modifier.
Renseignez les champs du formulaire Informations d’identification de compte.
- Tenable.io nécessite l’accès Administrateur avec un attribut d’autorisation supérieur ou égal à 64.
  Remarque :
  À partir de la version 3.8 de Vulnerability Response Integration with Tenable, l’accès aux Tenable.io ne nécessite plus de privilèges d’administrateur. Un utilisateur de base avec un attribut d’autorisation égal à 16 peut également accéder au produit.
- Tenable.sc nécessite l’accès Analyste ou Gestionnaire de sécurité.
1. Sélectionnez votre produit Tenable.
2. Saisissez le nom de votre compte Tenable.
3. Dans le champ URL de l’instance, saisissez l’URL de votre plateforme Tenable.
4. Sélectionnez une méthode d’authentification.
  En fonction de votre version de , vous disposez de Tenable.scdeux options d’authentification :
  1. À partir de la version 5.13 de , sélectionnez Authentification de Tenable.scclé API. Saisissez vos clés d’accès et secrètes Tenable.
  2. Avant la version 5.13, l’authentification utilisateur était prise en charge par votre Now Platform® instance et était requise. Entrez votre nom d’utilisateur et votre Now Platform mot de passe.
  Seule l’authentification par clé API est prise en charge pour Tenable.sc. Saisissez vos clés d’accès et secrètes Tenable.
5. Facultatif : Sélectionnez un MID Server
  Si votre Now Platform instance et votre Tenable.sc application ne se trouvent pas au même emplacement, choisissez un Serveur MID configuré dans la liste de choix. Pour plus d’informations, reportez-vous à la section Serveur MID.
  - À partir des versions 15.0 et 3.0 de Réponse aux vulnérabilités , Tenable Vulnerability Integrationvous pouvez activer le Async_request paramètre comme décrit dans la section Paramètres de récupération de données pour Tenable Vulnerability Integration. Une certaine configuration avec Tenable est requise si vous souhaitez effectuer des appels synchrones. Contactez le produit Tenable pour obtenir de l’aide. Ce paramètre, une fois activé, est applicable pour toutes les intégrations de Tenable.sc et il y a un délai d’expiration de 30 secondes. Pour afficher les scripts correctifs, accédez à Définition du système > Scripts correctifs.
  - Pour les clients existants, un script correctif est disponible si vous utilisez des appels asynchrones.
  Si votre Now Platform instance et votre Tenable.sc application sont toutes deux sur site, bien que cela ne soit pas obligatoire, vous pouvez sélectionner un serveur MID configuré dans la liste de choix.
  Remarque :
  Que vous choisissiez d’utiliser un serveur MID ou non, les intégrations expirent au bout de cinq minutes et un message s’affiche en l’absence de réponse du serveur.
  En cas d’erreur de délai d’expiration, vérifiez que vous avez saisi les informations d’identification et l’URL correctes dans l’Assistant de configuration.
Cliquez sur Suivant pour enregistrer vos changements et passer au premier formulaire d’intégration.
Le formulaire Configuration de l’importation d’actifs s’affiche.
Sur ce formulaire, activez ou désactivez l’intégration de l’importation d’actifs, déterminez la date de début initiale pour les actifs que vous souhaitez importer et planifiez l’exécution de l’importation d’actifs Tenable.
Pour Tenable.io
- L’intégration des actifs peut être utilisée avec l’intégration des résultats de conformité et du Tenable.io remplissage des résultats de conformité pour importer des données d’évaluation de configuration sécurisée concernant vos actifs dans l’application Conformité de la configuration .
- La version 12.2 de l’application Conformité de la configuration est requise sur votre instance si vous souhaitez importer et afficher ces données d’évaluation de configuration sécurisée.
  Consultez la rubrique Conformité de la configuration Données importées pour en savoir plus sur les données qui sont importées avec ces intégrations et où elles sont publiées.
- Les Tenable.io intégrations Résultats de conformité et Renvoi des résultats de conformité ne sont pas activées par défaut. Si vous les activez, vous préférerez peut-être utiliser les paramètres de calendrier par défaut fournis. Consultez les étapes ci-dessous pour savoir comment localiser et activer les intégrations pour le Tenable Vulnerability Integration.
- Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables pour le Tenable.io produit à partir de votre instance. L’intégration Tenable.io du modèle et l’intégration des informations d’identification Tenable.io de numérisation doivent être activées avant de lancer de nouvelles analyses.
Par défaut, ces intégrations sont désactivées. Lorsque vous saisissez vos informations d’identification pour Tenable.io, toutes les Tenable.io intégrations sont automatiquement activées. Pour activer ou désactiver manuellement ces intégrations :
1. Accédez à la Intégration de vulnérabilité tenable > Administration > Intégrations.
2. Dans la liste qui s’affiche, localisez les enregistrements d’intégration Tenable.io souhaités.
3. Ouvrez chaque enregistrement et cochez la case Actif pour activer l’intégration.
4. Cliquez sur Mettre à jour pour enregistrer vos modifications.
5. Revenez à l’assistant de configuration pour poursuivre la configuration avec Tenable Vulnerability IntegrationRéponse aux vulnérabilités.
- Pour l’intégration Tenable.io , vous avez également la possibilité d’activer et de désactiver l’importation des balises d’actif. Les balises d’actif sont importées par défaut et utilisées pour organiser et suivre les actifs répertoriés dans votre CMDB dans l’environnement Tenable.io .
- Pour les produits et Tenable.sc , si vous sélectionnez Activer la Tenable.iorecherche par partition réseau sous Rechercher par partition réseau, vous pouvez créer des CI individuels à l’aide du moteur Identification et réconciliation (IRE) pour vos actifs qui ont la même adresse IP. Voir Mettre à jour les éléments de configuration avec l’identificateur de partition de réseau pour le Tenable Vulnerability Integration et Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et rapprochement pour plus d’informations.
- En haut de l’écran, en regard du lien d’importation d’actifs, cliquez sur le lien Règles de recherche de CI pour afficher les règles de recherche d’éléments de configuration (CI) par défaut. Les règles de Recherche de CI définissent de quelle manière les données d’actif de sources tierces sont utilisées pour identifier les éléments de configuration (CI) dans la Now Platform CMDB. Vous pouvez ajouter des règles de recherche ou modifier les règles de recherche de CI par défaut sur cette page. Pour plus d'informations, consultez Règles de recherche de CI pour identifier les éléments de configuration à partir d’intégrations de Réponse aux vulnérabilités vulnérabilité tierces.
- Cliquez sur Importer des actifs maintenant pour importer des données à la demande.
- Le lien Paramètres avancés vous dirige vers l’enregistrement d’intégration d’actif. À partir de la version 3.3, vous pouvez ajouter des paramètres pris en charge par le Tenable.io produit pour vos requêtes planifiées afin de vous aider à filtrer les données de vulnérabilité que vous importez avec les actifs et les Tenable.io intégrations de vulnérabilités fixes et ouvertes. Voir Définir des paramètres de filtre supplémentaires pour Tenable.io les importations pour plus d’informations.
Cliquez sur Suivant pour enregistrer vos modifications et passer au formulaire suivant.
Le formulaire Configuration de l’importation des modules d’extension s’affiche.
Dans ce formulaire, activez ou désactivez l’importation des modules d’extension (entrées de vulnérabilité tierces), déterminez la date de début initiale des modules d’extension que vous souhaitez importer et planifiez l’exécution de l’importation des modules d’extension Tenable.
Si vous souhaitez importer l’ensemble des modules d’extension, des vulnérabilités et des actifs, ne renseignez pas la date de démarrage initiale.
- Cliquez sur Importer les modules d’extension maintenant pour importer des données à la demande.
- Le lien Paramètres avancés vous dirige vers l’enregistrement d’intégration des modules d’extension.
- Pour l’importation des vulnérabilités, vous pouvez planifier et définir les niveaux de gravité des Tenable.io vulnérabilités que vous souhaitez ingérer. Déterminez une date afin que seules les vulnérabilités créées ou mises à jour à partir d’une date spécifique soient importées.
- Pour l’intégration Tenable.sc , vous pouvez déterminer un filtre de requête et une date afin que seules les vulnérabilités créées ou mises à jour à partir d’une date spécifique soient importées.
Cliquez sur Suivant pour enregistrer vos modifications et passer au formulaire suivant.
Le formulaire Configuration de l’importation des vulnérabilités s’affiche. Activez ou désactivez l’intégration et déterminez la date de début initiale des vulnérabilités que vous souhaitez importer.
Pour le Tenable.io produit :
- Importez uniquement les vulnérabilités et les éléments vulnérables associés qui correspondent aux conditions de votre choix avec le filtre Sévérité.
- Pour l’intégration des Tenable.io actifs, Last Scan Time est importée et mise à jour uniquement pour les actifs présentant des vulnérabilités.
- Activez l’option Vulnérabilités corrigées pour afficher les VI pour les enregistrements de détection fixes. Si ce marqueur est activé dans l’Assistant de configuration, de nouveaux VI sont créés pour les détections à l’état Fixe qui n’existent pas déjà dans votre instance. Lorsqu’elle est activée, cette fonctionnalité peut avoir un impact négatif sur vos performances d’ingestion.
- Le lien Paramètres avancés en regard de Filtres d’importation vous dirige vers l’enregistrement d’intégration des vulnérabilités.
- Cliquez sur le lien Importer les calendriers en haut pour configurer la fréquence à laquelle les vulnérabilités sont ingérées et activer l’intégration.
Pour le Tenable.sc produit :
- Importez uniquement les vulnérabilités et les VI associés qui correspondent aux filtres de condition définis par une requête Tenable dans la plateforme Tenable. Consultez la documentation Tenable pour plus d’informations sur les requêtes Tenable.
  Le filtre de requête Tenable que vous sélectionnez dans l’assistant de configuration s’applique également à l’intégration Tenable.sc des actifs. Seuls les actifs présentant les vulnérabilités qui correspondent aux conditions du filtre de requête sont importés.
- Activez l’option Vulnérabilités corrigées pour afficher les VI pour les enregistrements de détection fixes. Si ce marqueur est actif dans l’Assistant de configuration, de nouveaux VI sont créés pour les détections à l’état Fixe qui n’existent pas déjà dans votre instance. Lorsqu’elle est active, cette fonctionnalité peut avoir un impact négatif sur vos performances d’ingestion.
- Pour inclure l’identificateur de partition de réseau dans la recherche d’adresse IP, sélectionnez Activer la recherche par partition de réseau case à cocher de la Rechercher par partition réseau section. Pour plus d'informations, consultez Mettre à jour les éléments de configuration avec l’identificateur de partition de réseau pour le Tenable Vulnerability Integration.
- Cliquez sur Importer les calendriers en haut pour configurer la fréquence à laquelle les vulnérabilités sont ingérées et activer l’intégration.
- Le lien Paramètres avancés en regard de Filtres d’importation vous dirige vers l’enregistrement d’intégration des vulnérabilités.
- L’intégration ServiceNow® Tenable.sc des informations d’identification de numérisation est activée (active) automatiquement à partir de l’assistant de configuration de votre instance lorsque vous configurez les Tenable.sc intégrations de vulnérabilités (Tenable.sc intégrations de vulnérabilités ouvertes et fixes).
  Cette intégration importe et met à jour les informations d’identification du scanner à partir Tenable.sc du produit dans votre instance. Cette intégration s’exécute chaque semaine pour importer et stocker en toute sécurité vos données d’informations d’identification Tenable. Accédez à la Intégration de vulnérabilité tenable > Intégrations > Intégration des informations d’identification Tenable.sc Scan pour afficher plus d’informations sur l’intégration des informations d’identification de numérisation.
Cliquez sur Terminer pour enregistrer vos modifications et terminer la configuration dans l’Assistant de configuration.

Que faire ensuite

(Facultatif) Accédez à Tout > Réponse aux vulnérabilités > Administration > Calculateurs de vulnérabilités > Calculateur de risque par défaut > Règle de risque tenable pour activer la règle de risque Tenable.

Dans le formulaire Règle du calculateur de vulnérabilité qui s’affiche, cochez la case Actif pour l’activer.

La règle de risque Tenable est installée avec l’application dans le Intégration de Réponse aux vulnérabilités à Tenable cadre du calculateur de risque par défaut dans les calculateurs de vulnérabilité à partir de Réponse aux vulnérabilités. L’évaluation de priorité de vulnérabilité (VPR) est un attribut du produit Tenable qui est importé et utilisé avec le nouveau calculateur de risque par défaut. Cette règle de risque est désactivée par défaut. En activant la règle du calculateur de risque Tenable, les valeurs VPR importées sont utilisées pour calculer le score de risque pour les éléments vulnérables. Distribution de pondération par défaut pour ce calculateur de risque : VPR = 70 %, Actif = 15 % et Criticité opérationnelle = 15 %. L’activation de cette règle du calculateur de risque Tenable peut avoir un impact sur vos performances d’ingestion de données.

Reportez-vous à la rubrique Réponse aux vulnérabilités Calculateurs et règles du calculateur de vulnérabilité.