Rapid7 脆弱性統合の概要
ServiceNow® Rapid7 脆弱性統合 では、Rapid7 データウェアハウスまたは Rapid7 InsightVM 製品からインポートされたデータを使用して、悪意のある可能性がある脅威の影響度と優先度を判断できます。
Rapid7 Nexpose センサーがデータを収集して Rapid7 データウェアハウス (オンプレミス) または Rapid7 InsightVM (クラウドベース) 製品に自動的に送信すると、情報が継続的に分析され、関連付けられます。ServiceNow® 脆弱性対応 と簡単に統合して、脆弱性を CI およびサービスにマッピングします。Rapid7 脆弱性統合はインスタンスの脆弱性データを拡張します。
統合レコードごとに run-as ユーザーが構成されています。このユーザーのデフォルト値は VR.System です。この値は変更しないでください。
利用可能バージョン
| Zurich のリリースバージョン | リリースノート |
|---|---|
Rapid7 脆弱性統合 v13.6、13.7 |
互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。 |
ロール
- sn_vul_r7.admin:レコードの読み取り、書き込み、削除を実行できます。
- sn_vul_r7.user:レコードの読み取りおよび書き込みを実行できます。
- sn_vul_r7.read:レコードの読み取りを実行できます。
Rapid7 脆弱性統合 の統合
Rapid7 脆弱性統合を表示するには、次に移動します: .
ベースシステムには、次の統合が含まれています。
| 統合 | 説明 |
|---|---|
| Rapid7 脆弱性統合 | Rapid7 Nexpose から脆弱性データを取得し、インスタンスで処理します。 |
| Rapid7 資産リスト統合 | Rapid7 Nexpose データウェアハウスからスキャンデータを週に 1 回取得し、インスタンスの [検出されたアイテム] モジュールに保存します。[前回スキャン] の日付を使用すると、最近スキャンされていない資産を特定するのに役立ちます。脆弱性対応 の [検出されたアイテム] リストに [前回スキャン] の時間を表示します。 |
| Rapid7 カテゴリ統合 | Rapid7 Nexpose からカテゴリ情報を取得します。カテゴリは、脆弱性を高レベルで分類します。 |
| Rapid7 Exploit Integration | Rapid7 Nexpose からエクスプロイト情報を取得します。 |
| Rapid7 マルウェアキット統合 | Rapid7 Nexpose からマルウェアキット情報を取得します。 |
| Rapid7 参照統合 | CVE やベンダー固有の脆弱性の参照情報など、外部の各種法令・基準等への参照を取得します。 |
| Rapid7 ソリューション統合 | Rapid7 Nexpose からソリューションデータを取得し、特定の脆弱性に対する推奨ソリューションを提供します。 |
| Rapid7 優先ソリューション統合 | 優先されるソリューションに関する情報を取得します。 |
| Rapid7 前提条件ソリューション統合 | 他のソリューションの前提条件であるソリューションに関する情報を取得します。この統合が実行されると、Rapid7 データウェアハウスからソリューションと前提条件ソリューションのマッピングがフェッチされます。 注: この統合は、脆弱性ソリューション管理 プラグインがアクティブ化されている場合にのみ機能します。 |
| Rapid7 脆弱性ソリューションマップ統合 | ソリューションを脆弱性に関連付けるためのマッピングを取得します。 |
| Rapid7 脆弱性一致アイテム統合 | Rapid7 Nexpose から脆弱性一致アイテムデータを取得し、インスタンスで処理します。 この統合の出力は脆弱性一致アイテムです。 |
| Rapid7 脆弱性一致アイテム解決統合 | Rapid7 Nexpose でクローズ済みとマークされた脆弱性一致アイテムに関する情報を取得し、脆弱性対応 の対応する脆弱性一致アイテムをクローズします。 |
| Rapid7 サイト統合 | Rapid7 Nexpose からサイトデータを取得します。サイトは、スキャンの対象となる資産のコレクションです。 |
| Rapid7 資産リスト統合 | Rapid7 データウェアハウスからホストタグとスキャンデータを週に 1 回取得し、インスタンスの [検出されたアイテム] モジュールに保存します。[前回スキャン] の日付を使用すると、最近スキャンされていない資産を特定するのに役立ちます。脆弱性対応 の [検出されたアイテム] リストに [前回スキャン] の時間を表示します。 |
| Rapid7 包括的脆弱性一致アイテム統合 | 前回の正常な統合実行以降にスキャンされたすべての構成アイテムのすべての Rapid7 検出をインポートします。[古い脆弱性一致アイテムの自動クローズ (Auto-Close Stale Vulnerable Items)] モジュールが有効になっている場合、インポートされた最新のデータに基づいて、スキャン中に最近検出されなかった脆弱性一致アイテムが [クローズ済み] に自動的に移行します。 |
| 統合 | 説明 |
|---|---|
| Rapid7 脆弱性一致アイテム統合 — API | Rapid7 InsightVM から脆弱性一致アイテムデータを取得し、インスタンスで処理します。 |
| Rapid7 脆弱性統合 — API | Rapid7 InsightVM から参照、カテゴリ、エクスプロイト、マルウェアキット、および脆弱性データを取得し、インスタンスで処理します。 |
| Rapid7 資産リスト統合 - API | Rapid7 InsightVM からホストタグとスキャンデータを週に 1 回取得し、インスタンスの [検出されたアイテム] モジュールに保存します。[前回スキャン] の日付を使用すると、最近スキャンされていない資産を特定するのに役立ちます。脆弱性対応 の [検出されたアイテム] リストに [前回スキャン] の時間を表示します。 |
| Rapid7 包括的脆弱性一致アイテム統合 - API | 前回の正常な統合実行以降にスキャンされたすべての構成アイテムのすべての Rapid7 検出をインポートします。[古い脆弱性一致アイテムの自動クローズ (Auto-Close Stale Vulnerable Items)] モジュールが有効になっている場合、インポートされた最新のデータに基づいて、スキャン中に最近検出されなかった脆弱性一致アイテムが [クローズ済み] に自動的に移行します。 |
| Rapid7 サイト統合 | Rapid7 InsightVM 製品からサイトデータを取得します。この統合は週 1 回 00:00:00 に実行するように設定されます。 |
インポート中に、まだ存在しない CVE レコードは NVD レコードとして作成され、デフォルトで Rapid7 のサードパーティエントリーで参照されます。Rapid7 のテンプレート統合は削除できません。代わりに無効にします。
Rapid7 のサービスグラフコネクタ
バージョン 2.0 以降、Rapid7 のサービスグラフコネクタは ServiceNow® Store から入手できます。詳細については、「Service Graph Connector for Rapid7」を参照してください。
CI ルックアップルール
CI ルックアップルールにより、脆弱性一致アイテムレコードの [構成アイテム] フィールドの入力方法が決定します。
CI ルックアップルールの詳しい仕組みについては、「脆弱性対応 サードパーティ脆弱性統合の構成アイテムを識別するための CI ルックアップルール」を参照してください。
検出されたアイテム
[検出されたアイテム] モジュールの詳細については、脆弱性対応 の「検出されたアイテム」を参照してください。
ホストタグ
ホストタグは、Rapid7 資産リスト統合 - Rapid7 InsightVM の API 統合の一部としてインポートされます。これらは、主に Rapid7 InsightVM の 脆弱性対応 アサインおよび修復タスクルールでのフィルタリングに使用されます。これらは [検出されたアイテム] フォームに表示されます。
- タグストレージでは大文字と小文字は区別されません。[San Diego] タグが作成されると、[SAN DIEGO] タグを [ホストタグ] テーブルに格納できなくなります。「San Diego」と「SAN DIEGO」は同じホストタグと見なされます。最初にインポートされたタグが優先されます。
- 修復タスクルールのグループキーとしてホストタグを使用すると、予期しない結果になることがあります。ホストタグは、条件ビルダー専用です。
- ホストタグは、グローバルシステムプロパティ sn_vul.import_host_tags で制御されます。このプロパティはデフォルトで [true] に設定されています。タグをオフにすると、すべてのインスタンスでオフになります。
サイト
サイトは、スキャンの対象となる資産のコレクションです。サイトは、ターゲット資産、スキャンテンプレート、1 つ以上のスキャンエンジン、およびその他のスキャン関連の設定 (スケジュールやアラートなど) で構成されます。サイトは Rapid7 アプリケーションによって管理されます。
構成中に Rapid7 脆弱性統合サイトをフィルタリングすると、インポート中にサイト別に資産を分類して要求できます。フィルタリングのインポートについては、「Rapid7 サイト別のフィルタリング」を参照してください。
Rapid7 データウェアハウスと Rapid7 InsightVM サイト統合は、週次のスケジュール済みジョブとしてサイトをインポートします。
インポートされたサイトをリストで表示するには、 .
スキャンによってクローズされていない解決済みの脆弱性一致アイテムの再オープン
ServiceNow AI Platform インスタンスで [解決済み] に設定されていても後続の統合実行によって [クローズ済み]/[修正済み] に移行されていない脆弱性一致アイテムは、再スキャン中に検出された場合に再オープンされます。
Rapid7 検出の場合、インスタンスの [Rapid7 構成] ページで、解決済みの VI を経過時間別に再オープンするオプションが利用可能になりました。有効にすると、[解決済み] に設定されていても、後続のスキャンで [クローズ済み]/[修正済み] に移行しなかった VI は、入力した日数後に [オープン] に戻ります。
識別および調整エンジン (IRE) を使用した CI の作成
既存の CI がサードパーティのスキャナーからインポートされたホストと一致しない場合、識別および調整エンジン (IRE) を使用して新しい CI を作成できます。新しいクラスを使用して CI を作成するには、CMDB CI クラスモデルプラグインを有効にします。これを行わない場合は、一致しない CI が [不一致] CI クラスに作成されます。詳細については、「識別および調整エンジンを使用して 脆弱性対応 の CI を作成する」を参照してください。一致しないクラウドリソースの分類を優先 CI クラスに構成する方法の詳細については、「一致しないクラウド資産の CI クラスの更新」を参照してください。
脆弱性一致アイテムの再スキャン
Rapid7 プラットフォームで再スキャンを開始し、スケジュールされたスキャンサイクル間で脆弱性一致アイテムが修正されたことを確認します。「Rapid7 脆弱性統合の再スキャンの開始」を参照してください。
ストアでアプリを要求する
ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。
Rapid7 ソリューション管理
脆弱性ソリューション管理 プラグインをアクティブにすると、Rapid7 データウェアハウスと Rapid7 InsightVM の両方の Rapid7 ソリューションが脆弱性ソリューション [sn_vul_solution] テーブルに入力されます。ただし、脆弱性ソリューション管理 プラグインをアクティブ化していない場合、Rapid7 脆弱性統合はそのまま機能し、カスタム [sn_vul_r7_solution] テーブルのソリューションをインポートします。詳細については、「Rapid7 ソリューション管理」を参照してください。