Tenable.sc 統合の再スキャンの開始

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:8分

    • Tenable プラットフォームで再スキャンを開始し、スケジュールされたスキャンサイクル間で脆弱性一致アイテムが修正されたことを確認します。Now Platform® インスタンスから Tenable.sc 製品の脆弱性一致アイテムの再スキャンをオンデマンドで開始できます。

    始める前に

    必要なロール:sn_vul.write_all または sn_vul.write_assigned
    注:
    Tenable.sc は、エージェントベースのマシンでの再スキャンの開始をサポートしていません。

    開始する前に、スキャナーがアクティブ化されていることを確認します。次のように移動する。 脆弱性対応 > 脆弱性スキャン > スキャナー.

    このタスクについて

    ワークスペースから再スキャンを開始するには、「脆弱性対応 ワークスペースからの Tenable.io および Tenable.sc 脆弱性一致アイテムの再スキャン」を参照してください。

    クラシック環境で再スキャンを開始するには、以下の手順に従います。

    修復オーナー、IT スペシャリスト、脆弱性アナリスト、または脆弱性マネージャーは、スケジュール設定済みのフルスキャンに関連するオーバーヘッドとボリュームを削減するために、環境内の資産 (構成アイテム) の特定の脆弱性についてターゲットの再スキャンをオンデマンドで開始できます。脆弱性一致アイテム (VI)、修復タスク (RT)、サードパーティエントリー (TPE)、または Now Platform インスタンスから検出されたアイテムレコードから再スキャンを開始できます。

    再スキャンにより、修復アクティビティ、パッチ、およびその他のアクションによって構成アイテム (CI) の特定の脆弱性が正常に修正されたことを修復オーナーおよび脆弱性アナリストが確認できます。

    たとえば、3 週間に 1 回環境全体をスキャンするとします。最新のフルスキャンは 1 週間前に完了しましたが、重大な脆弱性を修正するために昨日パッチを適用しました。この脆弱性の特性を考えると、この脆弱性が修正されたことを確認するのに次のスケジュール済みスキャンまで 2 週間待つことはできません。以前のスキャン中に検出された重大な脆弱性がパッチによって正常に修正されたことを確認するために、Now Platform for Tenable.sc 脆弱性一致アイテムからターゲット再スキャンを開始できます。

    注:
    Now Platform® インスタンスから再スキャンを要求する場合、Vulnerability Response Integration with Tenable 認証情報の選択はオプションです。ServiceNow® Tenable.sc スキャン認証情報統合は、インスタンスの Tenable.sc 製品からスキャナー認証情報をインポートして更新します。この統合は毎週実行され、Tenable 認証情報データをインポートして安全に保存します。

    このインポートされたデータには、Tenable パスワードやその他の機密性の高い Tenable アカウント情報は含まれません。Tenable.sc 脆弱性統合 (Tenable.sc のオープンな脆弱性統合および修正された脆弱性統合) を構成すると、インスタンスのセットアップアシスタント内から ServiceNow® Tenable.sc スキャン認証情報統合が自動的に有効 ([アクティブ]) になります。

    ユーザーが必要に応じて Now Platform インスタンスから表示できるように、インポートする認証情報に関する次の情報に注意してください。
    • Tenable.sc アドミンユーザーロールで作成された認証情報は、すべての組織のユーザーが使用できます。
    • Tenable.sc 組織ユーザーロールで作成された認証情報は、その組織内のユーザーのみが使用できます。これらの認証情報は、インスタンスへの接続に使用されているユーザーのアカウントと共有されない限り、作成者の組織外のユーザーの Now Platform にはインポートされません。

    詳細については、Tenable.sc のドキュメントを参照してください。

    Tenable.sc アプリケーションの構成の詳細については、「セットアップアシスタントを使用した Tenable 脆弱性統合の構成」を参照してください。スキャン認証情報統合の詳細を表示するには、次に移動します: All (すべて) > Tenable 脆弱性統合 > 統合 > Tenable.sc スキャン認証情報統合.

    統合の実行中に複数のプロセスが生成され、データがページの形式で受信されます。各プロセスには、ページ形式のデータが添付された 1 つ以上のインポートキューエントリを含めることができます。これらのエントリは、1 時間の制限時間内にデータを処理する必要があります。ただしペイロードサイズが大きい場合は、処理時間が 1 時間を超えることやスタックすることがあり、その結果統合タイムアウトエラーが発生する可能性があります。タイムアウトエラーが発生しても、統合はデータの処理を続行します。この通信ミスを回避するために、 脆弱性対応のバージョン 18.2.4 以降では、キューがアクティブでデータを処理しているかどうかを示すタイムスタンプ (ハートビート) が定期的に送信されます。[キューエントリをインポート] ページの [最後の処理済みレコード] フィールドは、インポートキューにより作成または更新されるレコードの数に基づいて更新されます。インポートキューエントリが 1 時間の時間制限を超えた場合、システムは [Last Record Processed (最後の処理済みレコード)] フィールドをチェックして、経過時間が 1 時間を超えているかどうかを確認します。1 時間を超えている場合は、インポートキューエントリがスタックしており、処理のさらなる遅延を防ぐためにタイムアウトしています。
    注:
    [最後の処理済みレコード] フィールドは、次のシステムプロパティの定義に基づいて更新されます。
    • sn_sec_cmn.record_threshold_heartbeat:処理されたレコードの数を定義します。これ以降、ハートビート (タイムスタンプ) がインポートキューエントリに送信されます。
    • sn_sec_cmn.maximum_heartbeat_delay:インポートキューエントリがタイムアウトするまでの経過時間を定義します。

    手順

    1. 次のように移動する。 All (すべて) > 脆弱性対応 > 脆弱性一致アイテム.
    2. 再スキャンをトリガーする脆弱性一致アイテムレコードを見つけて開きます。
      注:
      ソースが Tenable.sc の VI の再スキャンのみを開始できます。VI リストビューの [ソース] 列、または個々のレコードの [ソース] フィールドに Tenable.sc が表示されていることを確認します。条件ビルダーを使用して、VI をソース別にグループ化できます。または、[ソース] 列が VI リストビューに表示されていない場合は、リストの左上にある [リストをカスタマイズ] アイコン (歯車アイコン) をクリックし、スラッシュバケットを使用して [ソース][利用可能] から [選択済み] に移動します。
    3. または、 All (すべて) > 脆弱性対応 > 修復タスク または 脆弱性対応 > ライブラリー > サードパーティ は、それぞれ再スキャンに使用する修復タスクまたはサードパーティのエントリーレコード用です。

      選択内容に応じて、次のレコードで [再スキャン] ボタンを使用できます。

      • 単一の VI レコードでは、VI のソースが Tenable.sc 製品で、[クローズ済み] 以外のステータスである必要があります。複数の VI レコードの場合、すべての VI のソースが Tenable.sc 製品で、[クローズ済み] 以外のステータスである必要があります。
      • RT レコードでは、修復タスクは [クローズ済み] を除くあらゆるステータスをとることが可能ですが、関連する VI はすべてソースが Tenable.sc 製品である必要があります。
      • サードパーティエントリー (TPE) レコードには、[クローズ済み] 以外のステータスでソースが Tenable.sc 製品の関連する VI レコードが少なくとも 1 つ必要です。
    4. レコードの右上にある [再スキャン] をクリックします。
      スキャナーにアクセスするためのスキャナー認証情報を選択するように求められます。これらは、Tenable.sc スキャン認証情報統合によってインポートされた認証情報です。
    5. ダイアログで、必要なフィルターと認証情報タイプを選択します。
    6. [スキャンの要求 (Request Scan)] をクリックします。

      スキャンが処理されていることを示すメッセージが表示されます。すべての再スキャンのステータスは、再スキャンの開始に使用した VI、RT、および TPE レコードの [スキャン] 関連リストでいつでも確認できます。メッセージで [詳細を表示] をクリックして再スキャンのステータスを表示し、指定されたレコードから開始された他の再スキャンを表示します。

      すべての子スキャンが正常に完了すると、親スキャンレコードの [ステータス (State)] フィールドが完了としてマークされます。子はインポートデータをスキャンします。親スキャンレコードは、子スキャンのコンテナです。

      Now Platform® インスタンスは、正常に完了するか設定された追跡期間がタイムアウトするまで、再スキャンステータスを追跡します。 タイムアウトしてもスキャンは停止しません。タイムアウトは、実際の再スキャンが停止したときではなく、Now Platform® が再スキャンステータスの追跡を停止したときです。[クローズ済み]/[修正済み] に移行した、または移行する予定のすべての VI は、Tenable.sc の修正された脆弱性統合の次のスケジュール済みインポートとともにインポートされます。