Konfigurieren Sie Fortify Vulnerability Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Bevor Sie die Integration auf Ihrer Instanz ausführen, müssen die Installations- und Konfigurationsschritte abgeschlossen werden, damit der ausgeführt werden kann FortifyDas Produkt ist ordnungsgemäß in integriert Application Vulnerability ResponseFunktion von Vulnerability Response. Diese Anwendung ist als separates Abonnement verfügbar.

    Vorbereitungen

    Erforderliche Rollen: App-SEC-Manager

    Füllen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setup-Aufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.

    Hinweis:
    Dieser Prozess gilt nur für Anwendungen, die in Produktionsinstanzen heruntergeladen werden. Wenn Sie Anwendungen in nicht-Produktions- oder Entwicklungsinstanzen herunterladen, müssen Sie keine Berechtigungen abrufen. Fahren Sie mit fort Aktivieren Sie ein ServiceNow StoreAnwendung.
    Richten Sie Aufgaben ein Beschreibung
    Überprüfen Sie, ob Vulnerability ResponseAnwendung ist installiert und aktiviert.

    Navigieren Sie zu , um zu überprüfen, ob diese Anwendung aktiviert ist Abonnement-Management > Abonnements In Ihrer Instanz. In der Liste werden die Abonnements angezeigt, die Ihre Organisation erworben hat.

    Wenn die Anwendung nicht installiert und aktiviert ist, siehe, Vulnerability Response installieren.
    Überprüfen Sie, ob Vulnerability ResponseIntegration mit FortifyAnwendung ist installiert und aktiviert.

    Navigieren Sie zu , um zu überprüfen, ob diese Anwendung aktiviert ist Abonnement-Management > Abonnements In Ihrer Instanz. In der Liste werden die Abonnements angezeigt, die Ihre Organisation erworben hat.

    Wenn die Anwendung nicht installiert und aktiviert ist, siehe, Installieren Sie ServiceNowIntegration der Schwachstellenantwort mit Fortify.
    Stellen Sie sicher, dass Sie über die erforderlichen verfügen ServiceNowRollen für Ihre Instanz. Die folgenden Rollen sind für die Installation, Konfiguration und Verifizierung der erwarteten Ergebnisse erforderlich:
    • Wenn nicht bereits zugewiesen, installiert der Systemadministrator [Administrator] die App und weist Anwender der App-SEC-Manager-Gruppe zu.
    • Der App-SEC-Manager überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.

    Für Fortify Vulnerability Integration, Haben Sie API-ID Und API-Schlüssel Bereit.

    Kontakt FortifyUm zu erhalten API-ID Und API-Schlüssel .

    Prozedur

    1. Melden Sie sich bei der Instanz an, die Sie installieren möchten FortifyIntegrationen von Anwendungsschwachstellen auf.
    2. Navigieren Sie zu ServiceNow Store.
    3. In ServiceNow Store, Suchen Sie nach Vulnerability ResponseIntegration mit FortifyAnwendung.
    4. Klicken Sie auf die Anwendungskachel.
      Detaillierte Informationen zur Anwendung, die Sie installieren, werden angezeigt.
      Hinweis:
      Erwägen Sie, zu lesen Andere Anforderungen Und Abhängigkeiten Abschnitte, falls zutreffend.
    5. Klicken Sie Auf App Anfordern Und geben Sie ein Now SupportAnmeldeinformationen.
    6. Klicken Sie auf Abrufen.
    7. Geben Sie ein Instanzname Und Grund für die Instanz , Und klicken Sie auf Instanz Validieren .
    8. Klicken Sie Auf Anforderung .
      Sie erhalten eine E-Mail mit detaillierten Installationsanweisungen.
    9. Navigieren zu Systemanwendungen > Anwendungenan.
    10. Suchen Sie die Anwendung, wählen Sie sie aus, und klicken Sie auf Installieren .
      Ihre Anwendung wird automatisch auf Ihrer Instanz installiert.
    11. Navigieren Sie nach Abschluss der Installation zu Fortify-Schwachstellenintegration > FoD-Konfigurationan.
    12. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Fortify on Demand-Konfigurationsformular
      Feld Beschreibung
      API-Stamm-URL Fortify-Instanz-URL des Anwenders.
      API-Schlüssel Eindeutiger Bezeichner, der an gesendet wird FortifyAPI.
      Geheimer API-Schlüssel Geheimer Clientschlüssel bereitgestellt von Fortify.
      DAST einbeziehen Option zum Einbeziehen von Schwachstellen aus DAST-Scans. DAST-Scans identifizieren Schwachstellen im Verhalten Ihrer Gesamtanwendung.
      SAST einbeziehen Option zum Einbeziehen von Schwachstellen aus SAST-Scans. SAST-Scans identifizieren Schwachstellen im Code.
      Wählen Sie Optionen zum Verwalten der Ausnahmemanagement und „falsch positiv“ für Avis mit aus ServiceNowWorkflows automatisch beim Import. Diese Optionen sind standardmäßig aktiviert. Ein Beispiel für einen Anwendungsfall finden Sie unter Verwalten der Statuszuordnung für Zurückstellungen und falsch positive Ergebnisse in Application Vulnerability Response.
      Verwalten Sie Ausnahmen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte Avis selektieren möchten, die für markiert sind Zurückgestellt status.

      Avis mit Quelle status, die normalerweise einem zugeordnet sind Zurückgestellt status in Ihrer Instanz werden stattdessen zugeordnet Offen .

      Sie Fordern Sie eine Ausnahme an Aus dem AVI-Datensatz.

      Verwalten Sie falsch positive Ergebnisse in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte Avis mit selektieren möchten Quelle status markiert als Falsch Positiv Oder Potenziell Falsch Positiv .

      Avis mit diesen Quelle status, die normalerweise einem zugeordnet sind Geschlossen status in Ihrer Instanz sind zugeordnet Offen .

      Sie fordern an Falsch positiv Aus dem AVI-Datensatz.
      • Deaktivieren Sie eines oder beide Kontrollkästchen, wenn Sie beibehalten möchten Quelle status, die von Ihrem Scanner importiert wurden.
      • Diese Avis werden den status „Ziel“ und „Ziel-Grund“ zugeordnet, wenn sie importiert werden, werden jedoch nicht von den Ausnahmen- und falsch positiven Workflows selektiert. Die Ausnahme anfordern Und Falsch Positiv Aktionen sind in Avis nicht sichtbar.
      Selektierung in ServiceNow (vor v20.0 der Schwachstellenantwort) Verwalten Sie Ihre Anwendungsschwachstellen-Selektierung in ServiceNowInstanz:
      • Aktivieren Sie das Kontrollkästchen, um die Avis innerhalb von zu selektieren ServiceNow. Wenn diese Option ausgewählt ist, werden Avis im Status „Offen“ importiert. Sie können dann eine Ausnahme anfordern oder die AVI als falsch positiv markieren.
      • Um den Quellstatus beizubehalten, d. h. den vom Scanner importierten Status, stellen Sie sicher, dass das Kontrollkästchen nicht aktiviert ist.
      Hinweis:
      Die Als falsch positiv markieren Und Ausnahme Anfordern Optionen sind nur für Avis verfügbar, in denen selektiert wird ServiceNow.
    13. Wählen Sie Aus Anmeldeinformationen speichern und testen .

    Nächste Maßnahme

    Wenn Ihre Umgebung domänengetrennte Importe erfordert, finden Sie unter Erstellen Sie domänengetrennte Importe für eine Integration.

    Informationen zur Erstinstallation finden Sie unter Application Vulnerability Response konfigurierenFür weitere Anweisungen.

    Änderungen finden Sie nach der Erstinstallation unter Fortify Vulnerability Integration Änderung und Aktivitäten.