Tenable 취약성 통합에 대한 수정 사항 임포트

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 선택적 수정을 구성하고 특히 Tenable Vulnerability Integration의 Tenable Vulnerabilities 임포트 통합을 위해 일부 데이터를 간소화합니다 ServiceNow® .

    시작하기 전에

    필요한 역할: sn_vul.vulnerability_admin

    이 태스크 정보

    이 작업 세트에는 에 대한 Now Platform코딩 및 고급 지식이 필요합니다.

    다음 단계에 따라 Tenable 취약성 통합을 위해 도메인 분리된 임포트를 생성합니다. 다음 예는 Tenable.io Open Vulnerabilities 통합에 대한 것이지만 이 컨텐츠는 다른 Tenable 통합에 적용할 수 있습니다.

    프로시저

    1. 도메인을 생성합니다.
    2. 생성하는 모든 도메인에 대해 사용자를 생성하고 해당 도메인에 사용자를 할당합니다.

      이 사용자를 Tenable.io 의 도메인에 대한 run_as 자리 표시자로 간주하십시오.

    3. 취약성 통합을 엽니다.
      사용자는 VR과 동일합니다. 전역 도메인의 시스템 사용자이며 sn_vul.tenable_configure_integration, import_admin 및 sn_vul.vulnerability_write 역할이 있어야 합니다. 이 사용자는 데이터 소스, 변환 맵 및 취약성 데이터에 액세스해야 합니다.
      주:
      이 사용자는 이 역할과 관련된 것으로 간주합니다. 사용자는 다른 목적이 없어야 합니다.
    4. 각 도메인에서 다음 아래에 있는 예약된 취약성 데이터 소스 프로세서를 복사하여 예약된 작업을 생성합니다. 시스템 정의 > 예약된 작업.
    5. 이름에 도메인을 추가하여 예약된 작업을 식별합니다.
    6. run_as 사용자를 이전 단계에서 만든 사용자로 변경합니다.
      주:
      run_as 사용자 도메인에서 통합이 실행되도록 다음 UI 작업을 편집합니다.
      UI 작업 편집
    7. Tenable.io Open Vulnerabilities Integration에서 지금 실행 UI 작업을 편집하여 이 코드 블록을 파일의 맨 위에 추가합니다.
      //sys id below is of Tenable.io integration if(current.sys_id == "4df3f18d53730010d7f1ddeeff7b12a9"){ current.run_as = gs.getUserID (); }
      주:
      run_as 사용자 도메인에서 통합이 실행되도록 다음 스크립트 포함을 편집합니다.
    8. VulnerabilityIntegrationUtils 스크립트 포함 메서드 addIntegrationRun을 편집하여 강조 표시된 코드를 추가합니다.
      강조 표시된 코드 추가
    9. VulnerabilityIntegrationUtils 스크립트 포함 메서드 addProcessRun을 편집하여 강조 표시된 코드를 추가합니다.
      강조 표시된 코드 추가
    10. DataSourceVulnReportRefreshProcessor 스크립트 포함 메서드 _processFromDataSourceGroups 편집하여 원래 코드인 원래 _processFromDataSourcesGroups 코드를 편집된 _processFromDataSourcesGroups 코드로 변경합니다.
    11. VulnerabilityDSAttachmentManager 스크립트 포함 메서드 queueItem을 편집하여 강조 표시된 코드 블록 queueItem, _getNext _processQueueEntry 함수를 추가합니다.

      도메인 분리된 호스트 탐지를 임포트할 준비가 되었습니다.

      임포트하기 전에 계산기 비활성화

      사용하지 않는 경우 기본 계산기를 사용하지 않도록 설정하려면 다음 단계를 따르십시오. 취약성 계산기를 사용하지 않는 경우 정의한 다른 계산기 외에 기본 계산기를 사용하지 않도록 설정하는 것이 가장 좋습니다. 취약성 계산기는 취약한 항목 기록에 액세스할 때마다 실행되며 인스턴스 성능에 영향을 줄 수 있습니다.

      필요한 역할: sn_vul.vulnerability_admin.

    12. 다음으로 이동 모두 > 취약성 > 관리 > 취약성 계산기.
    13. 취약성 영향 그룹을 엽니다.
    14. 점수 및 서비스 기반 영향 계산기를 엽니다.
    15. 활성 필드의 선택을 취소하여 계산기를 비활성화합니다.
    16. 업데이트를 클릭합니다.

      기본 계산기를 사용하지 않도록 설정했습니다.

      초기 임포트 전에 알림 기반 비즈니스 규칙을 사용하지 않도록 설정

      초기 기록 임포트 전에 알림 관련 비즈니스 규칙을 비활성화하려면 다음 단계를 따르십시오. 기록을 처음 임포트하는 동안 특정 알림 관련 비즈니스 규칙이 많은 알림을 생성하여 성능에 영향을 줄 수 있습니다. 이러한 비즈니스 규칙은 임포트 중에 비활성화되도록 수정해야 합니다.

      필요한 역할은 sn_vul.vulnerability_admin입니다.

    17. 다음으로 이동 모두 > 시스템 정의 > 비즈니스 규칙.
    18. 영향을 받는 CI 알림을 검색합니다.
    19. 비즈니스 규칙을 열고 다음 조건을 current.sys_class_name != “sn_vul_vulnerable_item" 삽입합니다.
    20. 업데이트를 클릭합니다.
    21. 다음 비즈니스 규칙에 대해 이 절차를 반복합니다.
      • 영향을 받는 비용 센터 알림
      • 영향을 받는 그룹 알림
      • 영향을 받는 위치 알림
      주:
      초기 기록 임포트가 완료되면 이러한 비즈니스 규칙을 다시 활성화할 수 있습니다. 그러나 비활성화된 상태로 두는 것이 좋습니다. 이는 많은 수의 알림을 생성하고 인스턴스 성능에 영향을 줄 수 있습니다.
      초기 시작 날짜 수정

      초기 시작 날짜를 수정하려면 다음 단계를 수행합니다. 설정 도우미를 사용하여 설치하는 동안 Tenable 통합의 초기 시작 날짜를 설정합니다. 다음 단계에 표시된 대로 설정 도우미 또는 기본 통합에서 시작 날짜를 재설정할 수 있습니다.

    22. 다음으로 이동 모두 > 유지 가능 취약성 통합 > 관리 > 통합.
    23. 통합을 클릭합니다.
    24. 통합 세부 정보를 클릭합니다.
    25. 시작 시간 필드를 과거 값으로 설정하면 해당 시간 이후 스캔 및 탐지된 모든 취약성이 탐지됩니다.

      설정 도우미를 사용하여 Tenable을 구성한 경우 시작 시간 필드는 처음에 오늘 날짜로부터 3개월 전까지, 그리고 그 이후에는 오늘 날짜로 미리 채워집니다. 참고: 이 값을 과거 최대 한 달로 설정하는 것이 좋습니다. 이렇게 하면 많은 양의 데이터가 Tenable API 속도 제한을 초과하지 않고 실행 시간 제한이 트리거되지 않습니다.

    26. 제출 또는 업데이트를 클릭합니다.
    27. 옵션: Execute Now(지금 실행)를 클릭하여 즉시 실행합니다.