Réponse aux vulnérabilités Détections d’éléments vulnérables à partir d’intégrations tierces

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 7 minutes de lecture

    • Affichez toutes les informations collectées par les analyses tierces dans votre Now Platform® instance. Affichez les résultats renvoyés des analyses sur les enregistrements de détection et d’éléments vulnérables (VI) dans votre instance tels que ces résultats sont affichés sur les scanners.

    Vue d'ensemble

    L’application Réponse aux vulnérabilités prend en charge les intégrations tierces qui récupèrent les données des éléments vulnérables de votre environnement d’entreprise. Les données détaillées sur les détections, c’est-à-dire les occurrences uniques et distinctes de vulnérabilités signalées par les analyseurs de vos intégrations tierces, sont importées et affichées sur les enregistrements de détection et d’éléments vulnérables de votre instance Now Platform.

    Les intégrations tierces récupèrent les données de détection des éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners. Les données de détection sont associées aux éléments vulnérables et l’état du VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par les données trouvées directement par un scanner.

    Dans les versions précédentes des détections d’éléments Réponse aux vulnérabilitésvulnérables, la relation entre un CI (actif) de votre environnement et une vulnérabilité importée à partir d’un scanner tiers a créé un élément vulnérable unique dans votre instance Now Platform.

    La granularité des données d’origine fournies par le scanner est préservée. Avec les détections, les données de détection sont associées à des éléments vulnérables. Lors d’une ingestion, un nouvel élément vulnérable est créé si aucun élément vulnérable n’est trouvé.

    À partir de la version 21.1.2 de Réponse aux vulnérabilités, une propriété sn_vul.show_last_open_detection système est fournie dans le système de base. Par défaut, la valeur de cette propriété est définie sur faux, et le comportement actuel d’agrégation des valeurs de la détection initiale à l’élément vulnérable reste inchangé. Toutefois, s’il est défini sur vrai, un élément vulnérable est automatiquement mis à jour avec la dernière détection ouverte après une ingestion. Les champs tels que Adresse IP, SSL, Port, Protocole, NetBIOS et Preuve sont mis à jour pour les détections de VI. Si nécessaire, vous pouvez personnaliser les champs de détection qui doivent être mis à jour en modifiant le script DetectionBase .

    Pour afficher les valeurs de la dernière détection ouverte, accédez à l’onglet Dernière détection ouverte sur la vue de formulaire VI. Pour mettre à jour tous les VI ouverts au cours de l’année écoulée avec les dernières valeurs de détection ouvertes, vous pouvez exécuter la tâche Update Last Open Detection Value To VITs planifiée sur demande. Cette tâche planifiée est également fournie dans le système de base.

    Remarque :
    Lorsqu’un élément de configuration (CI) change sur un élément détecté, les mises à jour correspondantes sont également reflétées dans les détections. Par conséquent, les détections peuvent être déplacées d’un élément vulnérable à un autre. En fonction de ce changement et de la valeur de la sn_vul.show_last_open_detection propriété, les valeurs des détections sont déployées sur les VI source et cible.

    Versions prises en charge de Réponse aux vulnérabilités

    Pour plus d’informations sur l’installation ou la mise à jour de l’application Réponse aux vulnérabilités , reportez-vous à la section Installer Réponse aux vulnérabilités.

    Intégrations tierces prises en charge

    Une intégration tierce prise en charge à votre Réponse aux vulnérabilités application est requise pour les détections d’éléments vulnérables. Les intégrations tierces suivantes sont prises en charge par l’application pour les Réponse aux vulnérabilités détections d’éléments vulnérables :
    • Intégration de la détection d’hôte Qualys
    • Entrepôt de données Rapid7 :
      • Intégration d’élément vulnérable
      • Intégration de résolution de l’élément vulnérable
    • Intégration de résolution d’élément vulnérable Rapid7 (InsightVM)
      • Intégration de VM Aperçu
      • Intégration de l’élément vulnérable : API
    • Tenable Vulnerability Integration
    • Gestion des menaces et des vulnérabilités par Microsoft Defender

    Ces intégrations tierces sont disponibles avec un abonnement distinct de .ServiceNow Store Pour plus d’informations sur ces intégrations, consultez Intégrations de Réponse aux vulnérabilités et Opérations de sécurité et le ServiceNow Store pour plus d’informations sur l’obtention d’une autorisation.

    Pour vérifier que votre scanner tiers est configuré pour l’importation, reportez-vous aux rubriques Installer et configurer l’application Rapid7 Integration pour Security Operations et Installer Qualys Vulnerability Integration.

    Termes clés pour les détections d’éléments vulnérables

    Vulnérabilité
    Données sur les faiblesses des logiciels, des systèmes d’exploitation et des actifs importés de sources internes et externes. Ces données sont importées et comparées aux actifs existants (éléments de configuration, CI) répertoriés dans la CMDB.
    Élément vulnérable
    Un élément vulnérable est créé ou mis à jour lorsqu’une vulnérabilité importée correspond à un CI dans la CMDB.
    Détection
    Une occurrence unique et distincte d’une vulnérabilité signalée par un scanner appelée détection d’élément vulnérable dans l’environnement Now Platform . Une détection comprend des données enrichies sur une vulnérabilité et tous les éléments vulnérables correspondants. Ces données sont affichées sur l’enregistrement de détection (VID#) et la vue de liste des éléments vulnérables, qui incluent les détails suivants :
    • Premier trouvé (données)
    • Dernière occurrence trouvée (date)
    • Nom DNS
    • Nom du BIOS réseau
    • Adresse IP
    • Port
    • Protocole
    • Preuve
    • SSL
    • Durées trouvées
    Remarque :
    L’ajout d’une règle métier sur la table de détection aura un impact sur les performances de l’ingestion.
    Clé de détection
    Combinaison hachée de champs qui permet d’identifier et de lier une détection à un élément vulnérable. Les clés de détection sont spécifiques à l’intégration.
    Tableau 1. Configurations des clés de détection
    Scanner Vulnérabilité Port Protocole ID de l'actif Preuve Carte réseau
    Qualys Oui Oui Oui Oui Non N/A
    Tenable Oui Oui Oui Oui Non N/A
    Rapid7 Oui Oui Oui Oui Oui (il n’est pas sensible à la casse) Oui
    Remarque :
    • Si la clé de détection n’est pas spécifiée, ou pour les versions antérieures à Réponse aux vulnérabilités 14.0, elle est une combinaison d’entrée de vulnérabilité, de port, de protocole, d’ID d’actif et de preuve.
    • À partir de la version 19.0 sur Réponse aux vulnérabilités, une nouvelle clé de détection NIC est ajoutée pour Rapid7 InsightVM, qui est activée par défaut. Les détections existantes sans carte réseau sont mises à jour avec la première carte réseau entrante dans la charge utile à partir de Rapid7. La clé de détection est recalculée et remplie à nouveau sur la carte réseau incluant la détection. De nouvelles détections sont créées si des détections similaires sont observées avec des valeurs de carte réseau différentes. Ces données ne sont pas déployées sur la table Élément vulnérable. La valeur de carte réseau est stockée dans une nouvelle colonne sur la table sn_vul_detection_key_config et sn_vul_detection.
    De dup
    Processus utilisé par l’application Réponse aux vulnérabilités de la réduction des détections individuelles en un seul VI lorsque les données répondent à certains critères codés en dur.
    ID externe VI
    Valeur stockée dans le champ ID externe de la table des VI. Cette valeur est un hachage composé de la combinaison de clés au sein d’un VI qui représente ce qui le rend unique dans l’application. Il est composé d’un CI et d’une entrée vulnérable.

    Rouvrir les éléments vulnérables résolus

    Les éléments vulnérables définis sur Résolu dans votre Now Platform instance, mais pas transitionnés à l’état Fermé/Corrigé par les exécutions d’intégration suivantes sont rouverts s’ils sont détectés lors des nouvelles analyses.

    Les VI fermés avec un sous-état fixe ou périmé sont rouverts si une nouvelle détection est créée et que les VI peuvent être mis en correspondance avec la nouvelle vulnérabilité.

    Selon le script include, DetectionBase, méthode , _shouldReOpenVI()si le VIT était précédemment fermé avec le sous-état Fixe, Périmé ou CI désactivé, il est rouvert et la détection est mappée au VIT existant.

    Par exemple, supposons que la date de fermeture d’un VIT est postérieure à la date de last_found d’une détection. On peut s’attendre à ce que ces enregistrements VIT restent fermés. Toutefois, si vous voyez un VIT précédemment fermé rouvert, cela signifie que le VIT a été fermé par une détection antérieure et que la vulnérabilité a été retrouvée lors d’une analyse ultérieure. Lorsqu’une nouvelle détection correspond au VIT fermé qui présente la même vulnérabilité sur l’élément de configuration du VIT, le VIT est rouvert.

    Pour Rapid7 les détections, une option est maintenant disponible sur la page de configuration Rapid7 de votre instance pour rouvrir les VI résolus par âge. Si cette option est activée, les VI définis sur Résolu , mais ne sont pas transitionnés à l’état Fermé/Corrigé par les analyses suivantes et reviennent à l’état Ouvert après le nombre de jours que vous entrez.

    En ce Qualys qui concerne les détections, si le scanner continue de trouver des VI qui ont été définis sur Résolu , mais qui ne sont pas passés à l’état Fermé/Corrigé par les analyses suivantes, ces VI retournent à l’état Ouvert lorsque la dernière date trouvée est postérieure à la date de résolution.

    Afficher les données de détection

    Vous affichez les données importées à partir des détections d’éléments vulnérables sur l’enregistrement du VI. Pour plus d'informations, consultez Afficher les Réponse aux vulnérabilités données de détection des éléments vulnérables et Vérifier les Réponse aux vulnérabilités données de détection d’éléments vulnérables sur les enregistrements de l’exécution de l’intégration (VINTRUN).