Tenable 脆弱性統合のインポートの変更

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • ServiceNow® Tenable 脆弱性統合の Tenable 脆弱性インポート統合に特化したオプションの変更を構成し、一部のデータを簡素化します。

    始める前に

    必要なロール:sn_vul.vulnerability_admin

    このタスクについて

    この一連のタスクには、Now Platform に関するコーディングと高度な知識が必要です。

    Tenable 脆弱性統合のドメインセパレーションインポートを作成するには、次の手順に従います。次の例は、Tenable.io のオープンな脆弱性統合用ですが、この内容は他の Tenable 統合にも適用できます。

    手順

    1. ドメインを作成します。
    2. 作成するドメインごとに、ユーザーを作成してそのドメインにアサインします。

      このユーザーは、Tenable.io のドメインの run_as プレースホルダーと考えてください。

    3. 脆弱性統合を開きます。
      ユーザーは、グローバルドメイン内の VR.System ユーザーに相当し、ロール sn_vul.tenable_configure_integration、import_admin、および sn_vul.vulnerability_write が必要です。このユーザーには、データソース、変換マップおよび脆弱性データへのアクセスが必要です。
      注:
      このユーザーをこのロールに固有のものと見なします。ユーザーに他の目的はありません
    4. 各ドメインで、下にあるスケジュール設定済みの脆弱性データソースプロセッサーをコピーして、スケジュール済みジョブを作成します。 システム定義 > スケジュール済みジョブ.
    5. スケジュール済みジョブを識別する名前にドメインを追加します。
    6. run_as ユーザーを前のステップで作成したユーザーに変更します。
      注:
      次の UI アクションを編集して、統合が run_as ユーザードメインで実行されるようにします。
      UI アクションの編集
    7. Tenable.io のオープンな脆弱性統合の [今すぐ実行] UI アクションを編集して、このコードブロックをファイルの先頭に追加します。
      //sys id below is of Tenable.io integration if(current.sys_id == "4df3f18d53730010d7f1ddeeff7b12a9"){ current.run_as = gs.getUserID (); }
      注:
      次のスクリプトインクルードを編集して、統合が run_as ユーザードメインで実行されるようにします。
    8. VulnerabilityIntegrationUtils スクリプトインクルードメソッド addIntegrationRun を編集して、ハイライト表示されたコードを追加します。
      ハイライト表示されたコードの追加
    9. VulnerabilityIntegrationUtils スクリプトインクルードのメソッド addProcessRun を編集して、ハイライト表示されたコードを追加します。
      ハイライト表示されたコードの追加
    10. DataSourceVulnReportRefreshProcessor スクリプトインクルードメソッド _processFromDataSourceGroups を編集して、元のコード _processFromDataSourcesGroups コードを Edited _processFromDataSourcesGroups コードに変更します。
    11. VulnerabilityDSAttachmentManager スクリプトインクルードメソッドの queueItem を編集して、ハイライト表示されたコードブロックの queueItem、_getNext、_processQueueEntry 関数を追加します。

      ドメインセパレーションされたホスト検出インポートの準備ができました。

      インポート前に算出を無効にする

      使用しない場合は、次の手順に従ってデフォルトの算出を無効にします。脆弱性算出を使用しない場合は、定義した他の脆弱性算出に加えて、デフォルトの算出を無効にすることをお勧めします。脆弱性算出は、脆弱性一致アイテムレコードにアクセスするたびに実行され、インスタンスのパフォーマンスに影響を与える可能性があります。

      必要なロール:sn_vul.vulnerability_admin。

    12. 移動先 すべて > 脆弱性 > 管理 > 脆弱性の算出.
    13. [脆弱性影響 (Vulnerability Impact)] グループを開きます。
    14. スコアとサービスに基づく影響の算出を開きます。
    15. [アクティブ] フィールドの選択を解除して、産出を非アクティブ化します。
    16. [更新] をクリックします。

      デフォルトの算出を無効にしました。

      最初のインポート前に通知ベースのビジネスルールを無効にします。

      次の手順に従い、レコードの最初のインポート前に通知関連のビジネスルールを無効にします。レコードの最初のインポート中に、特定の通知関連のビジネスルールによって大量の通知が生成され、パフォーマンスが影響を受ける可能性があることを確認します。これらのビジネスルールは、インポート中に無効になるように変更する必要があります。

      必要なロール:sn_vul.vulnerability_admin

    17. 移動先 すべて > システム定義 > ビジネスルール.
    18. [影響を受ける CI 通知 (Affected ci notifications)] を検索します。
    19. ビジネスルールを開き、条件「 current.sys_class_name != “sn_vul_vulnerable_item"」を挿入します。
    20. [更新] をクリックします。
    21. 次のビジネスルールについてこの手順を繰り返します。
      • 影響を受けるコストセンター通知
      • 影響を受けるグループ通知
      • 影響を受ける場所の通知
      注:
      最初のレコードのインポートが完了した後、これらのビジネスルールを再度有効にすることができます。ただし、無効にしておくことを検討してください。大量の通知が生成され、インスタンスのパフォーマンスに影響を与える可能性があります。
      最初の開始日の変更

      最初の開始日を変更するには、次の手順に従います。セットアップアシスタントを使用してインストール中に、Tenable 統合の最初の開始日を設定します。その開始日は、次のステップに示すように、セットアップアシスタントまたはプライマリ統合からリセットできます。

    22. 移動先 すべて > Tenable 脆弱性統合 > 管理 > 統合.
    23. 統合をクリックします。
    24. [統合の詳細] をクリックします。
    25. [開始時間] フィールドを過去の値に設定すると、その時間以降にスキャンおよび検出されたすべての脆弱性が検出されます。

      セットアップアシスタントを使用して Tenable を構成した場合、[開始時間] フィールドには、最初に今日の日付の 3 か月前、その後は今日の日付が事前に入力されます。注意:過去最大 1 か月前の値を設定することを検討してください。これにより、大量のデータで Tenable API レート制限を超えることがなくなり、実行タイムアウトがトリガーされなくなります。

    26. [送信] または [更新] をクリックします。
    27. オプション: [今すぐ実行] をクリックして、今すぐ実行します。