Konfigurieren Sie die Eigenschaften Fortify Vulnerability Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Bevor Sie die Integration in Ihrer Instanz ausführen, müssen die Installations- und Konfigurationsschritte abgeschlossen sein, damit das Produkt Fortify ordnungsgemäß in die Funktion Application Vulnerability Response von Vulnerability Responseintegriert wird. Diese Anwendung ist als separates Abonnement verfügbar.

    Vorbereitungen

    Erforderliche Rolle: App-Sec Manager

    Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setup-Aufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.

    Hinweis:
    Dieser Prozess gilt nur für Anwendungen, die in Produktionsinstanzen heruntergeladen werden. Wenn Sie Anwendungen in Test- und Entwicklungsumgebungsinstanzen herunterladen, sind keine Berechtigungen erforderlich. Fahren Sie mit Aktivieren Sie eine Anwendung ServiceNow Store .fort.
    Setupaufgaben Beschreibung
    Vergewissern Sie sich, dass die Anwendung Vulnerability Response installiert und aktiviert ist.

    Um zu überprüfen, ob diese Anwendung aktiviert ist, navigieren Sie zu Abonnement-Management > Abonnements in Ihrer Instanz zur Verfügung. In der Liste werden die Abonnements angezeigt, die Ihr Unternehmen erworben hat.

    Wenn die Anwendung nicht installiert und aktiviert ist, finden Sie weitere Informationen unter Vulnerability Response installieren.
    Vergewissern Sie sich, dass die Anwendung Vulnerability Response Integration with Fortify installiert und aktiviert ist.

    Um zu überprüfen, ob diese Anwendung aktiviert ist, navigieren Sie zu Abonnement-Management > Abonnements in Ihrer Instanz zur Verfügung. In der Liste werden die Abonnements angezeigt, die Ihr Unternehmen erworben hat.

    Wenn die Anwendung nicht installiert und aktiviert ist, finden Sie weitere Informationen unter ServiceNow Vulnerability Response Integration with Fortifyinstallieren.
    Vergewissern Sie sich, dass Sie über die erforderlichen Rollen ServiceNow für Ihre Instanz verfügen. Die folgenden Rollen sind für die Installation, Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Wenn noch nicht zugewiesen, installiert der Systemadministrator [admin] die App und weist Benutzer der App-Sec Manager-Gruppe zu.
    • Der App-Sec-Manager überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.

    Halten Sie für Fortify Vulnerability IntegrationIhre API-ID und Ihren API-Schlüssel bereit.

    Wenden Sie sich an Fortify, um die API-ID und den API-Schlüsselzu erhalten.

    Prozedur

    1. Melden Sie sich bei der Instanz an, in der Sie die Schwachstellenintegrationen der Anwendung Fortify installieren möchten.
    2. Navigieren Sie zum ServiceNow Store.
    3. Suchen Sie in [ ServiceNow Storenach der Anwendung Vulnerability Response integration with Fortify.
    4. Klicken Sie auf die Anwendungskachel.
      Über die Anwendung, die Sie installieren, werden detaillierte Informationen angezeigt.
      Hinweis:
      Ziehen Sie in Betracht, die Abschnitte Sonstige Anforderungen und Abhängigkeiten zu lesen.
    5. Klicken Sie auf App anfordern und geben Sie Ihre Now Support-Anmeldeinformationen ein.
    6. Klicken Sie auf Abrufen.
    7. Geben Sie Instanzname und den Reason for the Instance (Grund für die Instanz) ein und klicken Sie auf Validate Instance (Instanz validieren).
    8. Klicken Sie auf Anforderung.
      Sie erhalten eine E-Mail mit detaillierten Installationsanweisungen.
    9. Navigieren zu Systemanwendungen > Anwendungen.
    10. Suchen Sie nach der Anwendung, wählen Sie sie aus und klicken Sie auf Installieren.
      Ihre Anwendung wird automatisch in Ihrer Instanz installiert.
    11. Navigieren Sie nach Abschluss der Installation zu Fortify-Schwachstellenintegration > FoD-Konfiguration.
    12. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Fortify on Demand-Konfigurationsformular
      Feld Beschreibung
      API-Stamm-URL Fortify-Instanz-URL des Anwenders.
      API Key Eindeutiger Bezeichner, der an die Fortify -API gesendet wird.
      Geheimer API-Schlüssel Von Fortifybereitgestellter geheimer Clientschlüssel.
      DAST einbeziehen Option zum Einbeziehen von Schwachstellen aus DAST-Scans. DAST-Scans identifizieren Schwachstellen im Verhalten der gesamten Anwendung.
      SAST einbeziehen Option zum Einbeziehen von Schwachstellen aus SAST-Scans. SAST-Scans identifizieren Schwachstellen im Code.
      Selektierung von Ausnahmen und falsch positiven Meldungen in ServiceNow (ab v20.0 von Vulnerability Response) Wählen Sie Optionen aus, um die Workflows für Ausnahmenverwaltung und Falschmeldungen für AVIs mit ServiceNow automatisch beim Import zu verwalten. Diese Optionen sind standardmäßig aktiviert. Ein Beispiel für einen Anwendungsfall finden Sie unter Statuszuordnung für Zurückstellungen und Falschmeldungen in verwalten Application Vulnerability Response.
      Verwalten Sie Ausnahmen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs selektieren möchten, die für den Status „Zurückgestellt“ markiert sind.

      AVIs mit Quellstatus, die in Ihrer Instanz normalerweise einem Status „Zurückgestellt“ zugeordnet sind, werden stattdessen „ Offen“ zugeordnet.

      Sie fordern eine Ausnahme aus dem AVI-Datensatz an.

      Verwalten Sie Falschmeldungen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs mit Quellstatus selektieren möchten, die als Falsch positiv oder Potenziell falsch positivmarkiert sind.

      AVIs mit diesen Quellstatus, die in Ihrer Instanz normalerweise dem Status Geschlossen zugeordnet sind, werden Offenzugeordnet.

      Sie fordern ein falsch positives Ergebnis aus dem AVI-Datensatz an.
      • Deaktivieren Sie eine oder beide Checkboxen, wenn Sie die von Ihrem Scanner importierten Quellstatus beibehalten möchten.
      • Diese AVIs werden beim Import den Zielstatus und Zielgrundstatus zugeordnet, aber nicht von den Ausnahme- und falsch positiven Workflows selektiert. Die Aktionen „ Anforderungsausnahme “ und „ Falsch positiv “ sind in AVIs nicht sichtbar.
      Selektierung in ServiceNow (vor v20.0 von Vulnerability Response) Verwalten Sie die Selektierung von Anwendungsschwachstellen in der Instanz ServiceNow.
      • Aktivieren Sie die Checkbox, um die AVIs in ServiceNowzu selektieren. Wenn diese Option ausgewählt ist, werden AVIs im Status „Offen“ importiert. Sie können dann eine Ausnahme anfordern oder die AVI als falsch positiv markieren.
      • Um den Quellstatus beizubehalten, d. h. den vom Scanner importierten Status, stellen Sie sicher, dass das Kontrollkästchen nicht aktiviert ist.
      Hinweis:
      Die Optionen Als falsch positiv markieren und Ausnahme anfordern sind nur für AVIs verfügbar, die innerhalb von ServiceNowselektiert werden.
    13. Klicken Sie auf Anmeldeinformationen speichern und testen.

    Nächste Maßnahme

    Wenn Ihre Umgebung domänengetrennte Importe erfordert, finden Sie weitere Informationen unter Erstellen Sie domänengetrennte Importe für eine Integration.

    Bei der Erstinstallation finden Sie weitere Anweisungen unter Application Vulnerability Response konfigurieren.

    Informationen zu Änderungen nach der Erstinstallation finden Sie unter Fortify Vulnerability Integration Änderung und Aktivitäten.