Tenable 脆弱性統合の概要

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む14読むのに数分

    • Tenable 脆弱性統合の ServiceNow エンジニアリングによって開発された Tenable との脆弱性対応の統合 アプリケーションでは、Tenable.io および Tenable.sc 製品からインポートしたデータを使用して、資産の脆弱性に優先順位を付けて修正できます。アプリケーションは ServiceNow® Store の個別のサブスクリプションで利用できます。

    注:
    コンフィグレーションコンプライアンス の v14.9 以降では、次の用語が変更されました。
    表 : 1. 用語の変更
    v14.9 より前の用語 v14.9 以降の用語
    テスト結果グループ 修復タスク
    グループルール 修復タスクルール
    ポリシー テストグループ
    Tenable 脆弱性統合では、資産と脆弱性に関するサードパーティのスキャナーデータをインポートできるように Tenable.ioTenable.sc の 2 つの Tenable 統合を採用しています。Tenable との脆弱性対応の統合 アプリケーションは、バージョン 5.13 以降の Tenable.sc 製品をサポートしています。
    • Tenable.io はクラウドベースのエンタープライズ統合です。
    • Tenable.sc は、Tenable.sc 製品と Now Platform インスタンスが同じ環境にある場合に MID Server を使用するオプションを提供するオンプレミスの統合です。
    • Tenable.sc 製品と Now Platform インスタンスが同じ環境にない場合は、MID Server を使用する必要があります。

    Tenable との脆弱性対応の統合 アプリケーションは ServiceNow Store の別のサブスクリプションで利用できます。

    Tenable Vulnerability Integrationの統合のリストと説明については、「脆弱性対応 および コンフィグレーションコンプライアンス アプリケーションとの Tenable.io 統合」および「脆弱性対応 アプリケーションとの Tenable.sc 統合」を参照してください。

    図 : 1. Tenable 脆弱性統合
    Tenable 脆弱性統合

    Washington DC の利用可能バージョン

    リリースバージョン リリースノート

    Tenable との脆弱性対応の統合 v3.5、v3.6

    互換性情報については、「KB0856498 Vulnerability Response 互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    統合に関する用語と主な機能

    脆弱性一致アイテムと脆弱性
    次の場合に Now Platform インスタンスに脆弱性一致アイテムが作成されます。
    • サードパーティのスキャナーからインポートした脆弱性が既存の資産 (CMDB の構成アイテム) と一致する。Tenable 製品では、これらの一致を [脆弱性] と呼びます。
    • サードパーティのスキャナーからインポートした脆弱性が CMDB の既存の資産と一致しない。この場合、脆弱性一致アイテムとともに一致しない CI も作成されます。

      CI が一致せず、既存の CI がホストと一致しない場合、識別および調整エンジン (IRE) を使用して CI を 2 つのクラスに作成することもできます。それ以外の場合は、一致しない CI が [不一致] CI クラスに作成されます。詳細については、「識別および調整エンジンを使用して 脆弱性対応 の CI を作成する」を参照してください。

    サードパーティ脆弱性エントリーとプラグイン
    サードパーティ脆弱性エントリーはサードパーティスキャナーからインポートされ、Now Platform インスタンスの [サードパーティ脆弱性エントリー] テーブルにリストされます。Tenable からのサードパーティ脆弱性エントリーが 脆弱性対応 に取り込まれ、CMDB にリストされている既存の資産と照合されます。Tenable では、サードパーティ脆弱性エントリーを [プラグイン] と呼びます。
    構成アイテム (CI)
    構成アイテムは、CMDB にリストされている既存の資産です。
    検出されたアイテム
    Tenable 資産インポートから取り込まれた資産は、CMDB の既存の構成アイテムと照合されます。インポートされた資産は更新されます。

    一致するものが見つからない場合は、CMDB の [一致しない CI] クラスに CI が作成されます。CMDB CI Class Models プラグインが有効の場合、識別および調整エンジン (IRE) が新しいクラスを使用して新しい CI を作成します。詳細については、「識別および調整エンジンを使用して 脆弱性対応 の CI を作成する」を参照してください。元の一致しない CI が再分類され、検出されたアイテムレコードを更新してステータスが反映されます。検出されたアイテムにより、資産がどのように識別され、CMDB の CI にマッピングされるかを把握できます。

    CI ルックアップルール
    サードパーティ統合からデータがインポートされると、Vulnerability Response はホスト (資産) データを自動的に使用して、Configuration Management Database (CMDB) で一致するものを検索します。CI ルックアップルールは CI の識別に使用され、修復に使用できるように、VI が作成されると VI レコードに追加されます。
    再スキャンと修復スキャン
    Now Platform インスタンス内の脆弱性一致アイテム、修復タスク、およびサードパーティの脆弱性エントリーレコードから、特定の構成アイテム、脆弱性グループ、またはサードパーティのエントリーでターゲットの再スキャンコマンドを開始できます。Tenable では、この再スキャンを [修復スキャン (remediation scan)] と呼びます。
    古い VI を自動的にクローズします。
    Now Platform の [古い脆弱性一致アイテムの自動クローズ (Auto-Close Stale Vulnerable Items)] モジュールを使用すると、サードパーティ統合によって最近検出されていない古い脆弱性一致アイテム (VI) をクリーンアップできます。これらの VI を [クローズ済み] に移動すると、アクティブな脆弱性一致アイテムと修復タスクの数を減らし、CMDB の資産を調整できます。Tenable との脆弱性対応の統合 との統合をすべて使用して、古い VI を自動的にクローズできます。
    インスタンス
    この用語は、Now Platform® アプリケーションの個別の発生を指します。
    統合
    統合は、Tenable.io 資産統合や Tenable.sc プラグイン統合などの統合への製品固有の参照です。これらは、インスタンスの Tenable 脆弱性統合の特定の Tenable 製品に属する個別の統合です。
    統合インスタンス
    この用語は、Tenable.io および Tenable.sc 製品によってリストされている個別の Tenable 統合を指します。
    展開
    統合でマルチソースがサポートされている場合、単一の個別の統合の存在は、統合の展開と呼ばれます。この用語は、環境全体での統合と製品を指すのに使用されます。たとえば、Tenable.io および Tenable.sc 製品のさまざまな統合を環境に複数展開する場合があります。

    Tenable.io および Tenable.sc の統合には、次の主な機能もあります。

    • 構成アセスメントの結果 (テスト結果と、ポリシー、構成テスト (コントロール)、および信頼できるソースの引用) を Tenable.io 製品で コンフィグレーションコンプライアンス アプリケーションにインポートできます。この統合が コンフィグレーションコンプライアンス アプリケーションでどのように機能するかの詳細については、「脆弱性対応 および コンフィグレーションコンプライアンス アプリケーションとの Tenable.io 統合」および「コンフィグレーションコンプライアンス の詳細」を参照してください。
    • v2.1 の Tenable Vulnerability Integration から、同じ IP アドレスを共有する環境内の資産に対して、異なるネットワークパーティション識別子を含む一意の構成アイテム (CI) を作成します。環境全体で個別の資産を特定し、検出された既存のアイテム、脆弱性一致アイテム、および検出レコードで CI を更新して、脆弱性に関する詳細を提供します。
    • すべての Tenable.io および Tenable.sc 統合でジョブを実行するタイミングをスケジュールできます。ジョブスケジュールをオンデマンドで手動実行することもできます。
    • Tenable.io を使用した資産インポートでは、資産タグを有効にして Tenable.io 環境の CMDB にリストされている資産を整理して追跡できます。
    • Tenable.io および Tenable.sc 統合では、Now Platform CMDB の構成アイテム (CI) を特定するためにサードパーティソースの資産データを使用する方法を CI ルックアップルールで定義できます。
    • Tenable.io および Tenable.sc 統合では、必要な脆弱性のみを Tenable からインポートできるように、脆弱性インポート時にインポートフィルターを設定できます。Tenable.io には、脆弱性インポートを使用して Tenable から [修正済み] の脆弱性をインポートするオプションがあります。
    • Tenable.sc には、Now Platform インスタンスの脆弱性一致アイテム、修復タスク、およびサードパーティエントリーレコードから直接オンデマンドで再スキャンを開始するオプションがあります。VI が [クローズ済み]/[修正済み] に移行しても、インスタンスでまだ更新されていない場合は、特定の構成アイテムの脆弱性が修正されていることを確認できます。「Tenable.sc 統合の再スキャンの開始」を参照してください。

    次のセクションでは、Tenable 統合の詳細について説明します。

    必要な Now Platform ロール

    統合タスクには、Now Platform インスタンスで次のロールが必要です。

    admin
    システム管理者は、セットアップアシスタントを使用して Tenable との脆弱性対応の統合 アプリケーションをインストールします。アサインされていない場合、管理者はセットアップアシスタントで脆弱性管理者 (sn_vul.vulnerability_admin) およびその他のロールをアサインします。
    sn_vul.vulnerability_admin
    アサインされると、脆弱性管理者はセットアップアシスタントで Tenable 統合の構成を比較します。このロールは、脆弱性対応 (VR) アプリケーションとそのレコードに完全にアクセスできます。脆弱性管理者は、インストールされたサードパーティ統合のすべての VR アプリケーションとルールを構成します。
    sn_vul_tenable.configure_integration
    このロールには詳細なロール sn_vul_tenable.read_integration が含まれており、このロールを持つユーザーは Tenable との脆弱性対応の統合 アプリケーションを設定できます。
    sn_vul_tenable.read_integration
    このロールを持つユーザーは、Tenable との脆弱性対応の統合 アプリケーションのレコードを表示 (読み取り) できますが、編集することはできません。
    Vulnerability Response グループ
    デフォルトで Vulnerability Response グループはセットアップアシスタントで利用可能になっています。Vulnerability Response グループにアサインされたユーザーは sn_vul.read_all および sn_vul.remediation_owner ロールを自動的に継承します。

    脆弱性一致アイテム

    脆弱性一致アイテムは、グループルール従って修復タスクにグループ化され、アサインルールに基づいて修復にアサインされます。詳細については、「脆弱性対応 修復タスクとタスクルールの概要」と「脆弱性対応 アサインルールの概要」を参照してください。

    構成アイテム (CI) ルックアップルール

    CI ルックアップルールでは、CI を識別して、それらを脆弱性一致アイテムに追加するタイミングを決定します。CI ルックアップルールの詳しい仕組みについては、「サードパーティ脆弱性統合から 脆弱性対応 構成アイテムを識別するための CI ルックアップルール」を参照してください。
    注:
    ルールは、一度削除すると元に戻せません。新しいルールを作成する場合は、既存のルールを削除せずに無効にします。
    次の Tenable.io ルックアップルールはベースシステムに付属しています。
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • HostName
    • DNS
    • IP
    次の Tenable.sc ルックアップルールはベースシステムに付属しています。
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • IP
    注:
    ip_address、mac_address、fqdns、および network_interfaces の複数の値が資産に使用されます。すべての値が照合用の CI ルックアップルールで考慮されます。IRE を使用して複数のネットワークアダプターを作成するためにすべての値が使用されます。

    一致しないクラウドリソースの分類を優先 CI クラスに構成する方法の詳細については、「」を参照してください 一致しないクラウド資産の CI クラスを更新しています

    IP アドレスを無視する新しいプロパティ

    Tenable.io では、CI ルックアップルールの一部として、複数の IP アドレスまたは複数の Mac アドレスを無視する場合に使用できるプロパティが 2 つあります。
    ignoreIPAddress
    CI のルックアップと CI の作成で無視する IP アドレスのリスト
    ignoreMacAddress
    CI のルックアップと CI の作成で無視する MAC アドレスのリスト

    検出されたアイテム

    このモジュールは、Tenable 脆弱性一致アイテム統合および Tenable 資産統合からのインポート中に検出された構成アイテムをリストします。
    注:
    このリストのデフォルトのフィルターは [不一致] に設定されています。フィルターを削除すると、インポートから検出されたすべてのアイテムを表示できます。
    [検出されたアイテム] モジュールの詳細については、「検出されたアイテム」を参照してください。

    資産タグ

    資産タグ (ホストタグとも呼ばれます) は、組織の資産の整理と追跡に使用されます。資産にタグを割り当てることができます。これにより、スキャンを開始するときに、スキャンする資産に関連付けられたタグを選択できます。資産タグモジュールを使用すると、スケジュールに基づいて Tenable.io からインスタンスに資産タグデータをダウンロードできます。資産タグを含む資産データは Tenable.io からプルされ、Tenable.io 資産変換統合変換マップを使用して変換されます。

    すべての資産タグは Tenable.io 資産統合の一部としてインポートされます。資産タグは、主に 脆弱性対応 アサインルールおよび修復タスクルールでのフィルタリングに使用されます。タグは [検出されたアイテム] フォームに表示されます。
    注:
    脆弱性対応 アプリケーションで 脆弱性対応 アサインルールまたは修復タスクルールを作成する前に Tenable.io 資産統合を実行し、脆弱性一致アイテムをインポートしてグループ化する前に、これらのルールですべてのタグを使用できるようにします。タグに関する次の点にも注意してください。
    • タグストレージでは大文字と小文字は区別されません。たとえば、San Diego の場所で資産を説明するタグを作成し [San Diego] タグを作成する場合、[SAN DIEGO] タグを作成して資産タグテーブルに保存することはできません。San DiegoSAN DIEGO は同じホストタグと見なされます。最初にインポートされたタグが格納され、以後認識されるようになります。
    • 修復タスクルールのグループキーとして資産タグを使用すると、予期しない結果になることがあります。資産タグは条件ビルダー専用です。
    • 資産タグは、グローバルシステムプロパティ sn_vul.import_asset_tags で制御されます。このプロパティはデフォルトで [true] に設定されています。タグを無効にすると、すべての Now Platform® インスタンスで無効になります。

    データ検索フィルター

    データ検索設定は、Tenable アプリケーションから Now Platform® インスタンスにインポートするデータのタイプとスコープを具体的に決定するのに役立ちます。最も一般的に使用される設定のリストについては、「Tenable 脆弱性統合のデータ検索設定」を参照してください。

    脆弱性優先評価 (VPR)

    脆弱性優先評価 (VPR) は、脆弱性対応 の新しいデフォルトのリスク算出でインポートして使用される Tenable 製品の属性です。Tenable リスクルールは、脆弱性対応 の脆弱性算出のデフォルトのリスク算出の一部として Tenable との脆弱性対応の統合 アプリケーションとともにインストールされます。

    このリスクルールデフォルトでは無効になっています。

    Tenable リスク算出ルールを有効にすると、インポートされた VPR 値が脆弱性一致アイテムのリスクスコアの計算に使用されます。このリスク算出のデフォルトの重み付け分布:VPR = 70%、資産 = 15%、ビジネス上の重要度 = 15%。この Tenable リスク算出ルールを有効にすると、データ取り込みのパフォーマンスが影響を受ける可能性があります。脆弱性対応 算出と Tenable リスク算出ルールの詳細については、「脆弱性対応 の算出と脆弱性算出ルール」を参照してください。

    インストールと構成

    ServiceNow® Store から Tenable との脆弱性対応の統合 をダウンロードすると、インストールと構成は 脆弱性対応 のセットアップアシスタントでサポートされます。詳細については、「セットアップアシスタントを使用した 脆弱性対応 の構成」を参照してください。