Tenable 脆弱性統合の概要

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：14分

Tenable 脆弱性統合の ServiceNow エンジニアリングによって開発された脆弱性対応と Tenable の統合アプリケーションでは、Tenable.io および Tenable.sc 製品からインポートしたデータを使用して、資産の脆弱性に優先順位を付けて修正できます。アプリケーションは ServiceNow® Store の個別のサブスクリプションで利用できます。

注:

コンフィグレーションコンプライアンスの v14.9 以降では、次の用語が変更されました。

表 : 1. 用語の変更
v14.9 より前の用語	v14.9 以降の用語
テスト結果グループ	修復タスク
グループルール	修復タスクルール
ポリシー	テストグループ

Tenable 脆弱性統合では、資産と脆弱性に関するサードパーティのスキャナーデータをインポートできるように Tenable.io と Tenable.sc の 2 つの Tenable 統合を採用しています。脆弱性対応と Tenable の統合アプリケーションは、バージョン 5.13 以降の Tenable.sc 製品をサポートしています。

Tenable.io はクラウドベースのエンタープライズ統合です。
Tenable.sc は、Tenable.sc 製品と Now Platform インスタンスが同じ環境にある場合に MID サーバーを使用するオプションを提供するオンプレミスの統合です。
Tenable.sc 製品と Now Platform インスタンスが同じ環境にない場合は、MID サーバーを使用する必要があります。

脆弱性対応と Tenable の統合アプリケーションは ServiceNow Store の別のサブスクリプションで利用できます。

Tenable Vulnerability Integrationの統合のリストと説明については、「脆弱性対応およびコンフィグレーションコンプライアンスアプリケーションとの Tenable.io 統合」および「脆弱性対応アプリケーションとの Tenable.sc 統合」を参照してください。

Tenable 脆弱性統合ワークフロー。 — 図 : 1. Tenable 脆弱性統合

Xanadu の利用可能バージョン


リリースバージョン	リリースノート
脆弱性対応と Tenable の統合 v3.5、v3.6	互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。

統合に関する用語と主な機能

脆弱性一致アイテムと脆弱性

次の場合に Now Platform インスタンスに脆弱性一致アイテムが作成されます。

サードパーティのスキャナーからインポートした脆弱性が既存の資産 (CMDB の構成アイテム) と一致する。Tenable 製品では、これらの一致を [脆弱性] と呼びます。
サードパーティのスキャナーからインポートした脆弱性が CMDB の既存の資産と一致しない。この場合、脆弱性一致アイテムとともに一致しない CI も作成されます。
CI が一致せず、既存の CI がホストと一致しない場合、識別および調整エンジン (IRE) を使用して CI を 2 つのクラスに作成することもできます。それ以外の場合は、一致しない CI が [不一致] CI クラスに作成されます。詳細については、「識別および調整エンジンを使用して脆弱性対応の CI を作成する」を参照してください。

サードパーティ脆弱性エントリーとプラグイン

サードパーティ脆弱性エントリーはサードパーティスキャナーからインポートされ、Now Platform インスタンスの [サードパーティ脆弱性エントリー] テーブルにリストされます。Tenable からのサードパーティ脆弱性エントリーが脆弱性対応に取り込まれ、CMDB にリストされている既存の資産と照合されます。Tenable では、サードパーティ脆弱性エントリーを [プラグイン] と呼びます。

構成アイテム (CI)

構成アイテムは、CMDB にリストされている既存の資産です。

検出されたアイテム

Tenable 資産インポートから取り込まれた資産は、CMDB の既存の構成アイテムと照合されます。インポートされた資産は更新されます。

一致するものが見つからない場合は、CMDB の [一致しない CI] クラスに CI が作成されます。CMDB CI クラスモデルプラグインが有効の場合、識別および調整エンジン (IRE) が新しいクラスを使用して新しい CI を作成します。詳細については、「識別および調整エンジンを使用して脆弱性対応の CI を作成する」を参照してください。元の一致しない CI が再分類され、検出されたアイテムレコードを更新してステータスが反映されます。検出されたアイテムにより、資産がどのように識別され、CMDB の CI にマッピングされるかを把握できます。

CI ルックアップルール

サードパーティ統合からデータがインポートされると、脆弱性対応はホスト (資産) データを自動的に使用して、Configuration Management Database (CMDB) で一致するものを検索します。CI ルックアップルールは CI の識別に使用され、修復に使用できるように、VI が作成されると VI レコードに追加されます。

再スキャンと修復スキャン

Now Platform インスタンス内の脆弱性一致アイテム、修復タスク、およびサードパーティの脆弱性エントリーレコードから、特定の構成アイテム、修復タスク、またはサードパーティのエントリーでターゲットの再スキャンコマンドを開始できます。Tenable では、この再スキャンを [修復スキャン (remediation scan)] と呼びます。

古い VI を自動的にクローズします。

Now Platform の [古い脆弱性一致アイテムの自動クローズ (Auto-Close Stale Vulnerable Items)] モジュールを使用すると、サードパーティ統合によって最近検出されていない古い脆弱性一致アイテム (VI) をクリーンアップできます。これらの VI を [クローズ済み] に移動すると、アクティブな脆弱性一致アイテムと修復タスクの数を減らし、CMDB の資産を調整できます。脆弱性対応と Tenable の統合との統合をすべて使用して、古い VI を自動的にクローズできます。

インスタンス

この用語は、Now Platform® アプリケーションの個別の発生を指します。

統合

統合は、Tenable.io 資産統合や Tenable.sc プラグイン統合などの統合への製品固有の参照です。これらは、インスタンスの Tenable 脆弱性統合の特定の Tenable 製品に属する個別の統合です。

統合インスタンス

この用語は、Tenable.io および Tenable.sc 製品によってリストされている個別の Tenable 統合を指します。

展開

統合でマルチソースがサポートされている場合、単一の個別の統合の存在は、統合の展開と呼ばれます。この用語は、環境全体での統合と製品を指すのに使用されます。たとえば、Tenable.io および Tenable.sc 製品のさまざまな統合を環境に複数展開する場合があります。

Tenable.io および Tenable.sc の統合には、次の主な機能もあります。

構成アセスメントの結果 (テスト結果と、ポリシー、構成テスト (コントロール)、および信頼できるソースの引用) を Tenable.io 製品でコンフィグレーションコンプライアンスアプリケーションにインポートできます。この統合がコンフィグレーションコンプライアンスアプリケーションでどのように機能するかの詳細については、「脆弱性対応およびコンフィグレーションコンプライアンスアプリケーションとの Tenable.io 統合」および「コンフィグレーションコンプライアンスの詳細」を参照してください。
v2.1 の Tenable Vulnerability Integration から、同じ IP アドレスを共有する環境内の資産に対して、異なるネットワークパーティション識別子を含む一意の構成アイテム (CI) を作成します。環境全体で個別の資産を特定し、検出された既存のアイテム、脆弱性一致アイテム、および検出レコードで CI を更新して、脆弱性に関する詳細を提供します。
すべての Tenable.io および Tenable.sc 統合でジョブを実行するタイミングをスケジュールできます。スケジュール済みジョブをオンデマンドで手動実行することもできます。
Tenable.io を使用した資産インポートでは、資産タグを有効にして Tenable.io 環境の CMDB にリストされている資産を整理して追跡できます。
Tenable.io および Tenable.sc 統合では、Now Platform CMDB の構成アイテム (CI) を特定するためにサードパーティソースの資産データを使用する方法を CI ルックアップルールで定義できます。
Tenable.io および Tenable.sc 統合では、必要な脆弱性のみを Tenable からインポートできるように、脆弱性インポート時にインポートフィルターを設定できます。Tenable.io には、脆弱性インポートを使用して Tenable から [修正済み] の脆弱性をインポートするオプションがあります。
Tenable.sc には、Now Platform インスタンスの脆弱性一致アイテム、修復タスク、およびサードパーティエントリーレコードから直接オンデマンドで再スキャンを開始するオプションがあります。VI が [クローズ済み]/[修正済み] に移行しても、インスタンスでまだ更新されていない場合は、特定の構成アイテムの脆弱性が修正されていることを確認できます。「Tenable.sc 統合の再スキャンの開始」を参照してください。

次のセクションでは、Tenable 統合の詳細について説明します。

必要な Now Platform ロール

統合タスクには、Now Platform インスタンスで次のロールが必要です。

admin: システムアドミニストレーターは、セットアップアシスタントを使用して脆弱性対応と Tenable の統合アプリケーションをインストールします。アサインされていない場合、アドミニストレーターはセットアップアシスタントで脆弱性アドミン (sn_vul.vulnerability_admin) およびその他のロールをアサインします。
sn_vul.vulnerability_admin: アサインされると、脆弱性アドミニストレーターはセットアップアシスタントで Tenable 統合の構成を比較します。このロールは、脆弱性対応 (VR) アプリケーションとそのレコードに完全にアクセスできます。脆弱性アドミニストレーターは、インストールされたサードパーティ統合のすべての VR アプリケーションとルールを構成します。
sn_vul_tenable.configure_integration: このロールには詳細なロール sn_vul_tenable.read_integration が含まれており、このロールを持つユーザーは脆弱性対応と Tenable の統合アプリケーションを設定できます。
sn_vul_tenable.read_integration: このロールを持つユーザーは、脆弱性対応と Tenable の統合アプリケーションのレコードを表示 (読み取り) できますが、編集することはできません。
脆弱性対応グループ: デフォルトで脆弱性対応グループはセットアップアシスタントで利用可能になっています。脆弱性対応グループにアサインされたユーザーは sn_vul.read_all および sn_vul.remediation_owner ロールを自動的に継承します。

脆弱性一致アイテム

脆弱性一致アイテムは、修復タスクルールに従って修復タスクにグループ化され、アサインルールに基づいて修復にアサインされます。詳細については、「脆弱性対応修復タスクとタスクルールの概要」と「脆弱性対応アサインルールの概要」を参照してください。

構成アイテム (CI) ルックアップルール

CI ルックアップルールでは、CI を識別して、それらを脆弱性一致アイテムに追加するタイミングを決定します。CI ルックアップルールの詳しい仕組みについては、「脆弱性対応サードパーティ脆弱性統合の構成アイテムを識別するための CI ルックアップルール」を参照してください。

注:

ルールは、一度削除すると元に戻せません。新しいルールを作成する場合は、既存のルールを削除せずに無効にします。

次の Tenable.io ルックアップルールはベースシステムに付属しています。

MAC_ADDRESS
FQDN
NetBIOS
HostName
DNS
IP

次の Tenable.sc ルックアップルールはベースシステムに付属しています。

MAC_ADDRESS
FQDN
NetBIOS
IP

注:

ip_address、mac_address、fqdns、および network_interfaces の複数の値が資産に使用されます。すべての値が照合用の CI ルックアップルールで考慮されます。IRE を使用して複数のネットワークアダプターを作成するためにすべての値が使用されます。

一致しないクラウドリソースの分類を優先 CI クラスに構成する方法の詳細については、「一致しないクラウド資産の CI クラスの更新」を参照してください。

IP アドレスを無視する新しいプロパティ

Tenable.io では、CI ルックアップルールの一部として、複数の IP アドレスまたは複数の Mac アドレスを無視する場合に使用できるプロパティが 2 つあります。

ignoreIPAddress: CI のルックアップと CI の作成で無視する IP アドレスのリスト
ignoreMacAddress: CI のルックアップと CI の作成で無視する MAC アドレスのリスト

検出されたアイテム

このモジュールは、Tenable 脆弱性一致アイテム統合および Tenable 資産統合からのインポート中に検出された構成アイテムをリストします。

注:

このリストのデフォルトのフィルターは [不一致] に設定されています。フィルターを削除すると、インポートから検出されたすべてのアイテムを表示できます。

[検出されたアイテム] モジュールの詳細については、「検出されたアイテム」を参照してください。

資産タグ

資産タグ (ホストタグとも呼ばれます) は、組織の資産の整理と追跡に使用されます。資産にタグを割り当てることができます。これにより、スキャンを開始するときに、スキャンする資産に関連付けられたタグを選択できます。資産タグモジュールを使用すると、スケジュールに基づいて Tenable.io からインスタンスに資産タグデータをダウンロードできます。資産タグを含む資産データは Tenable.io からプルされ、Tenable.io 資産変換統合変換マップを使用して変換されます。

すべての資産タグは Tenable.io 資産統合の一部としてインポートされます。資産タグは、主に脆弱性対応アサインルールおよび修復タスクルールでのフィルタリングに使用されます。タグは [検出されたアイテム] フォームに表示されます。

注:

脆弱性対応アプリケーションで脆弱性対応アサインルールまたは修復タスクルールを作成する前に Tenable.io 資産統合を実行し、脆弱性一致アイテムをインポートしてグループ化する前に、これらのルールですべてのタグを使用できるようにします。タグに関する次の点にも注意してください。

タグストレージでは大文字と小文字は区別されません。たとえば、San Diego の場所で資産を説明するタグを作成し [San Diego] タグを作成する場合、[SAN DIEGO] タグを作成して資産タグテーブルに保存することはできません。San Diego と SAN DIEGO は同じホストタグと見なされます。最初にインポートされたタグが格納され、以後認識されるようになります。
修復タスクルールのグループキーとして資産タグを使用すると、予期しない結果になることがあります。資産タグは条件ビルダー専用です。
資産タグは、グローバルシステムプロパティ sn_vul.import_asset_tags で制御されます。このプロパティはデフォルトで [true] に設定されています。タグを無効にすると、すべての Now Platform® インスタンスで無効になります。

データ検索フィルター

データ検索設定は、Tenable アプリケーションから Now Platform® インスタンスにインポートするデータのタイプとスコープを具体的に決定するのに役立ちます。最も一般的に使用される設定のリストについては、「Tenable 脆弱性統合のデータ検索設定」を参照してください。

脆弱性優先評価 (VPR)

脆弱性優先評価 (VPR) は、脆弱性対応の新しいデフォルトのリスク算出でインポートして使用される Tenable 製品の属性です。Tenable リスクルールは、脆弱性対応の脆弱性算出のデフォルトのリスク算出の一部として脆弱性対応と Tenable の統合アプリケーションとともにインストールされます。

このリスクルールデフォルトでは無効になっています。

Tenable リスク算出ルールを有効にすると、インポートされた VPR 値が脆弱性一致アイテムのリスクスコアの計算に使用されます。このリスク算出のデフォルトの重み付け分布：VPR = 70%、資産 = 15%、ビジネス上の重要度 = 15%。この Tenable リスク算出ルールを有効にすると、データ取り込みのパフォーマンスが影響を受ける可能性があります。脆弱性対応算出と Tenable リスク算出ルールの詳細については、「脆弱性対応の算出と脆弱性算出ルール」を参照してください。

インストールと構成

ServiceNow® Store から脆弱性対応と Tenable の統合をダウンロードすると、インストールと構成は脆弱性対応のセットアップアシスタントでサポートされます。詳細については、「セットアップアシスタントを使用した脆弱性対応の構成」を参照してください。