Vulnerability Response Erkennungen angreifbarer Elemente aus Drittpartei-Integrationen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Zeigen Sie alle Informationen an, die von Drittpartei-Scans in erfasst werden ServiceNow AI Platform® Instanz. Zeigen Sie die zurückgegebenen Ergebnisse der Scans zu Erkennungs- und VI-Datensätzen (angreifbare Elemente) in Ihrer Instanz an, da diese Ergebnisse auf den Scannern angezeigt werden.

    Übersicht

    Die Vulnerability Response Die Anwendung unterstützt Integrationen von Drittparteien, die Daten angreifbarer Elemente aus Ihrer Unternehmensumgebung abrufen. Detaillierte Daten zu Erkennungen, d. h. einzelne, eindeutige Vorkommen von Schwachstellen, die von den Scannern Ihrer Drittanbieterintegrationen gemeldet werden, werden importiert und sowohl in den Erkennungs- als auch in den Datensätzen für angreifbare Elemente in angezeigt ServiceNow AI Platform Instanz.

    Drittpartei-Integrationen rufen Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, wie von den Scannern gemeldet. Erkennungsdaten werden mit angreifbaren Elementen gekoppelt, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn kein VI gefunden wird, wird ein neues erstellt. Erkennungen werden nur durch Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden werden.

    In vorherigen Versionen von Vulnerability Response, Erkennungen angreifbarer Elemente, die Beziehung zwischen einem CI (Asset) in Ihrer Umgebung und einer importierten Schwachstelle von einem Scanner einer Drittpartei, hat ein eindeutiges angreifbares Element in erstellt ServiceNow AI Platform Instanz.

    Die Granularität der vom Scanner bereitgestellten Originaldaten wird beibehalten. Bei Erkennungen werden die Erkennungsdaten mit angreifbaren Elementen gekoppelt. Wenn während einer Erfassung kein angreifbares Element gefunden wird, wird ein neues VI erstellt.

    Ab Version 21.1.2 von Vulnerability Response, Eine Systemeigenschaft sn_vul.show_last_open_detectionWird im Basissystem bereitgestellt. Standardmäßig ist der Wert dieser Eigenschaft auf „falsch“ festgelegt, und das aktuelle Verhalten der Zusammenfassung der Werte aus der ersten Erkennung zum VI bleibt unverändert. Wenn dieser Wert jedoch auf „wahr“ festgelegt ist, wird ein VI nach einer Erfassung automatisch mit der letzten offenen Erkennung aktualisiert. Die Felder wie IP-Adresse, SSL, Port, Protokoll, NetBIOS, und Nachweise werden für die VI-Erkennungen aktualisiert. Bei Bedarf können Sie die Erkennungsfelder anpassen, die aktualisiert werden sollen, indem Sie ändern DetectionBase Skript.

    Um die Werte für die letzte offene Erkennung anzuzeigen, navigieren Sie zu Letzte Offene Erkennung Registerkarte in der VI-Formularansicht. Um alle im letzten Jahr geöffneten VIS mit den letzten offenen Erkennungswerten zu aktualisieren, können Sie die geplante Aufgabe ausführen Update Last Open Detection Value To VITsBei Bedarf. Diese geplante Aufgabe wird auch im Basissystem bereitgestellt.

    Hinweis:
    Wenn sich ein Konfigurationselement (Configuration Item, CI) an einem erkannten Element ändert, werden die entsprechenden Aktualisierungen auch in den Erkennungen berücksichtigt. Daher können die Erkennungen von einem VI in ein anderes VI verschoben werden Basierend auf dieser Änderung und dem Wert von sn_vul.show_last_open_detectionEigenschaft, werden die Werte der Erkennungen für die Quell- und Ziel-VIS zusammengefasst.

    Unterstützte Versionen von Vulnerability Response

    Weitere Informationen zum Installieren oder Aktualisieren von Vulnerability Response Anwendung, siehe Vulnerability Response installieren.

    Unterstützte Integrationen von Drittparteien

    Eine unterstützte Integration von Drittparteien mit Ihrem Vulnerability Response Anwendung ist für die Erkennung angreifbarer Elemente erforderlich. Die folgenden Drittpartei-Integrationen werden von unterstützt Vulnerability Response Anwendung für Erkennungen angreifbarer Elemente:
    • Qualys-Host-Erkennungsintegration
    • Rapid7 Data Warehouse:
      • Integration Angreifbarer Elemente
      • Integration Der Lösung Angreifbarer Elemente
    •  Integration der Rapid7-Lösung für angreifbare Elemente (InsightVM)
      • Insight VM-Integration
      • Integration angreifbarer Elemente: API
    • Tenable Vulnerability Integration
    • Microsoft Defender Vulnerability Management

    Diese Drittpartei-Integrationen sind mit einem separaten Abonnement von verfügbar ServiceNow Store. Weitere Informationen zu diesen Integrationen finden Sie unter Vulnerability Response-Integrationen Und Security Operations Und ServiceNow Store Weitere Informationen zum Abrufen der Berechtigung.

    Informationen zum Überprüfen, ob Ihr Drittpartei-Scanner für den Import konfiguriert ist, finden Sie unter Installieren und konfigurieren Sie die Anwendung Rapid7 Integration for Security Operations Und Qualys Vulnerability Integration installieren.

    Schlüsselbegriffe für Erkennungen angreifbarer Elemente

    Schwachstelle
    Daten zu Schwachstellen in Software, Betriebssystemen und Assets, die aus internen und externen Quellen importiert wurden. Diese Daten werden importiert und mit vorhandenen Assets (Konfigurationselemente, CIs) verglichen, die in der CMDB aufgeführt sind.
    Angreifbares Element
    Ein angreifbares Element wird erstellt oder aktualisiert, wenn eine importierte Schwachstelle mit einem CI in der CMDB übereinstimmt.
    Erkennung
    Ein einzelnes, eindeutiges Vorkommen einer Schwachstelle, wie von einem Scanner gemeldet, der als Erkennung angreifbarer Elemente bezeichnet wird ServiceNow AI Platform Umgebung. Eine Erkennung enthält angereicherte Daten zu einer Schwachstelle und alle entsprechenden angreifbaren Elemente. Diese Daten werden im Erkennungsdatensatz (VID#) und in der Listenansicht angreifbarer Elemente angezeigt, die die folgenden Details enthält:
    • Zuerst gefunden (Daten)
    • Zuletzt gefunden (Datum)
    • DNS-Name
    • Net BIOSName
    • IP-Adresse
    • Port
    • Protokoll
    • Nachweis
    • SSL
    • Anzahl Ermittlungen
    Hinweis:
    Das Hinzufügen einer Business-Regel in der Erkennungstabelle wirkt sich auf die Leistung der Erfassung aus.
    Erkennungsschlüssel
    Eine Kombination von Feldern mit Hash, die eine Möglichkeit zum Identifizieren und Verknüpfen einer Erkennung mit einem angreifbaren Element bot. Erkennungsschlüssel sind integrationsspezifisch.
    Tabelle : 1. Erkennungsschlüsselkonfigurationen
    Scanner Schwachstelle Port Protokoll Asset-ID Nachweis NIC
    Qualys-IDs Ja Ja Ja Ja Nein NA
    Tenable Ja Ja Ja Ja Nein NA
    Rapid7 Ja Ja Ja Ja Ja (Groß-/Kleinschreibung wird nicht beachtet) Ja
    Hinweis:
    • Wenn der Erkennungsschlüssel nicht angegeben ist, oder für Versionen vor Vulnerability Response14.0. Der Erkennungsschlüssel ist eine Kombination aus Schwachstelleneintrag, Port, Protokoll, Asset-ID und Nachweis.
    • Ab v19.0 von Vulnerability Response, Für wird eine neue Erkennungsschlüssel-NIC hinzugefügt Rapid7 InsightVM, Der standardmäßig aktiviert ist. Vorhandene Erkennungen ohne NIC werden mit der ersten eingehenden NIC in der Nutzlast von aktualisiert Rapid7. Der Erkennungsschlüssel wird neu berechnet und in der Erkennung einschließlich NIC neu ausgefüllt. Neue Erkennungen werden erstellt, wenn ähnliche Erkennungen mit unterschiedlichen NIC-Werten erkannt werden. Diese Daten werden nicht in der Tabelle „angreifbare Elemente“ zusammengefasst. Der NIC-Wert wird in einer neuen Spalte in der Tabelle „sn_vul_Detection_key_config“ und „sn_vul_Detection“ gespeichert.
    De-dup
    Der von verwendete Prozess Vulnerability Response Anwendung der Reduzierung einzelner Erkennungen in einem einzelnen VI, wenn die Daten bestimmte hartcodierte Kriterien erfüllen.
    Externe VI-ID
    Der im Feld externe ID der VI-Tabelle gespeicherte Wert. Dieser Wert ist ein Hash, der aus der Kombination von Schlüsseln in einem VI besteht und darstellt, was es innerhalb der Anwendung einzigartig macht. Er besteht aus einem CI und einem Eintrag für angreifbare Elemente.

    Öffnen Sie gelöste angreifbare Elemente erneut

    Angreifbare Elemente auf festgelegt Gelöst In Ihrem ServiceNow AI Platform Instanz, aber nicht auf übergegangen Geschlossen/Behoben Durch die nachfolgenden Integrationsausführungen werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Geschlossene VIS mit einem Substatus von Behoben Oder Veraltet Werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die VIS mit der neuen Schwachstelle abgeglichen werden können.

    Gemäß der Skripteinbindung DetectionBase, Methode _shouldReOpenVI(), Wenn die VIT früher war Geschlossen Mit Substatus Behoben , Veraltet , Oder CI außer Betrieb genommen , Wird erneut geöffnet, und die Erkennung wird der vorhandenen VIT zugeordnet.

    Angenommen, das Datum der Schließung eines VIT liegt nach dem Datum Last_found einer Erkennung. Sie sollten davon ausgehen, dass diese VIT-Datensätze geschlossen bleiben. Wenn jedoch eine zuvor geschlossene VIT erneut geöffnet wird, bedeutet dies, dass die VIT durch eine frühere Erkennung geschlossen wurde und die Schwachstelle bei einem späteren Scan erneut gefunden wurde. Wenn eine neue Erkennung gefunden wird, die der geschlossenen VIT entspricht, die dieselbe Schwachstelle im Konfigurationselement der VIT aufweist, wird die VIT erneut geöffnet.

    Für Rapid7 Erkennungen ist jetzt auf der Rapid7-Konfigurationsseite in Ihrer Instanz eine Option verfügbar, um gelöste VIS nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden VIS auf festgelegt Gelöst Aber dann nicht zu übergegangen Geschlossen/Behoben Durch nachfolgende Scans gehen zurück zu Öffnen Nach der von Ihnen eingegebenen Anzahl von Tagen.

    Für Qualys Erkennungen, wenn der Scanner weiterhin VIS findet, die auf festgelegt wurden Gelöst Aber dann nicht zu übergegangen Geschlossen/Behoben Durch nachfolgende Scans werden diese VIS zurück zu verschoben Öffnen Wenn das Datum der letzten Suche nach dem Datum der Lösung liegt.

    Zeigen Sie Erkennungsdaten an

    Sie zeigen die aus Erkennungen angreifbarer Elemente importierten Daten im VI-Datensatz an. Weitere Informationen finden Sie unter Anzeigen Vulnerability Response Erkennungsdaten für angreifbare Elemente und Verifizieren Vulnerability Response Erkennungsdaten für angreifbare Elemente in VINTRUN-Datensätzen (Integrationsausführung).