Lancer une nouvelle analyse pour l’intégration Tenable.sc

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Vérifiez que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés en lançant de nouvelles analyses dans la plateforme Tenable. Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables pour le Tenable.sc produit à partir de votre Now Platform® instance.

    Avant de commencer

    Rôles requis : sn_vul.write_all ou sn_vul.write_assigned
    Remarque :
    Tenable.sc ne prend pas en charge le lancement d’une nouvelle analyse sur les ordinateurs basés sur des agents.

    Vérifiez que votre scanner est activé avant de commencer. Accédez à la Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.

    Pourquoi et quand exécuter cette tâche

    Pour lancer une nouvelle analyse à partir des espaces de travail, reportez-vous à Analyser Tenable.io à nouveau les Tenable.sc éléments vulnérables depuis les Vulnerability Response espaces de travail.

    Suivez les étapes répertoriées ci-dessous pour lancer une nouvelle analyse dans l’environnement classique.

    Pour aider à réduire les frais généraux et le volume liés aux analyses complètes planifiées, les propriétaires de correction, les spécialistes informatiques, les analystes de vulnérabilités ou les gestionnaires de vulnérabilités peuvent lancer de nouvelles analyses ciblées à la demande pour rechercher des vulnérabilités spécifiques sur les actifs (éléments de configuration) de leurs environnements. Vous pouvez lancer de nouvelles analyses à partir d’éléments vulnérables (VI), de tâches de correction (RT), d’entrées tierces (TPE) ou d’enregistrements d’éléments détectés depuis votre Now Platform instance.

    Les nouvelles analyses permettent à vos propriétaires de rattrapage et à vos analystes de vulnérabilité de vérifier que vos activités de rattrapage, correctifs et autres actions ont corrigé avec succès des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    Par exemple, l’ensemble de votre environnement est analysé toutes les trois semaines. L’analyse complète la plus récente a été terminée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines la prochaine analyse planifiée pour vérifier qu’elle a été corrigée. Pour vérifier que votre correctif a corrigé avec succès une vulnérabilité critique détectée lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform recherche Tenable.sc d’éléments vulnérables.

    Remarque :
    Lorsque vous demandez une nouvelle analyse à partir de votre Now Platform® instance, la sélection des informations d’identification Vulnerability Response Integration with Tenable est facultative. L’intégration ServiceNow® Tenable.sc des informations d’identification de l’analyse importe et met à jour les informations d’identification du scanner à partir Tenable.sc du produit dans votre instance. Cette intégration s’exécute chaque semaine pour importer et stocker en toute sécurité vos données d’identification Tenable.

    Notez que ces données importées n’incluent pas les mots de passe Tenable ou d’autres informations sensibles sur le compte Tenable. L’intégration ServiceNow® Tenable.sc des informations d’identification de l’analyse est activée (active) automatiquement à partir de l’assistant de configuration de votre instance lorsque vous configurez les Tenable.sc intégrations de vulnérabilités (Tenable.sc intégrations de vulnérabilités ouvertes et corrigées).

    Notez les informations suivantes sur les informations d’identification que vous importez afin que vos utilisateurs puissent les voir au besoin à partir de votre Now Platform instance :
    • Les informations d’identification créées avec le Tenable.sc rôle d’utilisateur administrateur sont disponibles pour les utilisateurs de toutes vos organisations.
    • Les informations d’identification créées avec le rôle d’utilisateur Tenable.sc organisationnel ne sont disponibles que pour les utilisateurs au sein de cette organisation. Ces informations d’identification ne sont pas importées dans le Now Platform pour les utilisateurs extérieurs à l’organisation du créateur, à moins qu’elles ne soient partagées avec le compte de l’utilisateur utilisé pour se connecter à l’instance.

    Consultez le site Web de la Tenable.sc documentation pour plus d’informations.

    Consultez Configurer l’intégration de vulnérabilité Tenable à l’aide de l’assistant de configuration pour plus d’informations sur la configuration de l’application Tenable.sc . Pour afficher plus d’informations sur l’intégration des informations d’identification de numérisation, accédez à Tout > Intégration de vulnérabilité tenable > Intégrations > Intégration des informations d’identification d’analyse Tenable.sc.

    Lors de l’exécution de l’intégration, plusieurs processus sont générés et les données sont reçues sous forme de pages. Chaque processus peut contenir une ou plusieurs entrées de file d’attente d’importation avec des données jointes dans les pages. Ces entrées doivent traiter les données dans le délai d’une heure. Toutefois, si la taille de la charge utile est importante, le temps de traitement peut dépasser une heure ou rester bloqué, ce qui entraîne une erreur de délai d’expiration d’intégration. L’intégration continue de traiter les données malgré l’erreur de délai d’expiration. Pour éviter cette mauvaise communication, à partir de la version 18.2.4 de , des horodatages (intervalles de Vulnerability Responsetravail) sont envoyés périodiquement pour indiquer si la file d’attente est active et traite des données. Le champ Dernier enregistrement traité de la page Entrée de file d’attente d’importation est mis à jour en fonction du nombre d’enregistrements créés ou mis à jour par la file d’attente d’importation. Si une entrée de file d’attente d’importation dépasse la limite de temps d’une heure, le système vérifie le champ Dernier enregistrement traité pour voir s’il date également de plus d’une heure. Si c’est le cas, cela indique que l’entrée de file d’attente d’importation est bloquée et qu’elle a expiré pour éviter tout retard supplémentaire dans le traitement.
    Remarque :
    Le champ Dernier enregistrement traité est mis à jour en fonction de ce qui est défini dans les propriétés système suivantes :
    • sn_sec_cmn.record_threshold_heartbeat: définit le nombre d’enregistrements traités, après quoi les intervalles de mise à jour (horodatage) sont envoyés à l’entrée de file d’attente d’importation.
    • sn_sec_cmn.maximum_heartbeat_delay: définit le délai après lequel l’entrée de file d’attente d’importation doit expirer.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez lancer une nouvelle analyse et ouvrez-le.
      Remarque :
      Vous pouvez uniquement lancer de nouvelles analyses pour les VI avec Tenable.sc la source comme source. Verify Tenable.sc s’affiche dans la colonne Source des vues de listes de VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le créateur de condition pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue de listes VI, en haut à gauche de la liste, cliquez sur l’icône Personnaliser la liste (icône d’engrenage) et utilisez la zone de liste double pour déplacer la source de Disponible à Sélectionné.
    3. Vous pouvez également accéder à Tout > Réponse aux vulnérabilités > Tâches de remédiation ou Réponse aux vulnérabilités > Bibliothèques > Tiers pour la tâche de rattrapage ou les enregistrements d’entrée de tiers, respectivement, que vous souhaitez utiliser pour la nouvelle analyse.

      Selon votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un seul enregistrement de VI, le VI doit provenir du Tenable.sc produit et être dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI doivent provenir du produit Tenable.sc et être dans un état autre que Fermé.
      • Sur un enregistrement RT, la tâche de rattrapage peut être dans n’importe quel état autre que Fermé, et tous les VI associés doivent provenir du Tenable.sc produit.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement Tenable.sc de VI associé du produit dans un état autre que Fermé.
    4. En haut à droite de l’enregistrement, cliquez sur Analyser à nouveau.
      Vous êtes invité à choisir les informations d’identification du scanner pour accéder au scanner. Il s’agit des informations d’identification importées par l’intégration des informations d’identification d’analyse Tenable.sc .
    5. Dans la boîte de dialogue, sélectionnez les filtres et les types d’informations d’identification souhaités.
    6. Cliquez sur Demander une analyse.

      Un message s’affiche indiquant que votre scan est en cours de traitement. L’état de toutes les nouvelles analyses peut être consulté à tout moment sous les listes connexes à l’analyse des enregistrements VI, RT, TPE que vous avez utilisés pour lancer les nouvelles analyses. Dans le message, cliquez sur Afficher les détails pour afficher l’état de la nouvelle analyse et afficher toutes les autres analyses lancées à partir d’un enregistrement donné.

      Le champ État de l’enregistrement d’analyse parent est marqué comme terminé une fois que toutes les analyses enfants sont terminées avec succès. Les analyses enfants importent les données. L’enregistrement d’analyse parent est un conteneur pour les analyses enfants.

      Votre Now Platform® instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine avec succès ou jusqu’à ce que la période de suivi définie expire, selon la première éventualité. Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état Now Platform® de votre nouvelle analyse a cessé, et non à la date à laquelle la nouvelle analyse s’est arrêtée. Tous les VI qui sont passés ou qui passeront à l’état Fermé/Fixe sont importés avec la prochaine importation planifiée de l’intégration des vulnérabilités Tenable.sc corrigées.