Informationen zur Integration von Microsoft Threat and Vulnerability Management Vulnerability

  • Freigeben Version: Washingtondc
  • Aktualisiert 6. Februar 2024
  • 7 Minuten Lesedauer

    • Die Anwendung Vulnerability Response integration with Microsoft Threat and Vulnerability Management (MS TVM) verwendet Daten, die aus MS TVM importiert wurden, um Sie bei der Priorisierung und Behebung von Schwachstellen für Ihre Assets zu unterstützen. Die Anwendung ist mit einem separaten Abonnement von ServiceNow Storeverfügbar.

    Sie können die MS TVM Vulnerability-Integration verwenden, um Scanner-Daten von Drittanbietern zu Ihren Assets und Schwachstellen zu importieren. Sie können dann Berichte über Schwachstellen und angreifbare Elemente in den Vulnerability Response -Dashboards anzeigen.

    MS TVM-Integrations-Workflow, der die Installation und Konfiguration der Anwendung, die Anzeige der erfassten Daten in Ihrer Now Platform-Instanz und die automatische Priorisierung und Behebung von Schwachstellen für Ihre Assets anzeigt.

    Verfügbare Versionen

    Release-Version Versionsinformationen

    Vulnerability Response Integration mit MS TVM v2.2

    Weitere Informationen zu veröffentlichten Versionen der Vulnerability Response-Anwendung, zur Kompatibilität und zu Schemaänderungen finden Sie im Artikel Vulnerability Response Compatibility Matrix and Release Schema Changes [KB0856498] (Kompatibilitätsmatrix und Release-Schemaänderungen) in der HI Knowledge Base.

    Domänentrennung und MS TVM

    Importieren Sie Schwachstellenintegrationsdaten in eine angegebene Domäne, indem Sie einen Benutzer in dieser Domäne zuweisen, der die Integrationen ausführen soll. Informationen zum Erstellen von domänengetrennten Importen für die MS TVM Vulnerability-Integration finden Sie unter Erstellen Sie domänengetrennte Importe für eine Integration.

    Begriffe und Hauptfunktionen der Integrationen

    Angreifbare Elemente und Schwachstellen
    Ein angreifbares Element wird in Ihrer Instanz Now Platform erstellt, wenn:
    • Eine importierte Schwachstelle von einem Drittanbieter-Scanner wird mit einem vorhandenen Asset (Konfigurationselement) in Ihrem CMDBabgeglichen. Das MS TVM-Produkt bezeichnet diese Übereinstimmungen als Schwachstellen.
    • Eine importierte Schwachstelle von einem Drittanbieter-Scanner stimmt nicht mit einem vorhandenen Asset in Ihrem CMDBüberein. In diesem Fall wird auch ein nicht abgeglichenes Configuration Item (CI) mit einem angreifbaren Element erstellt.

      Verwenden Sie die Identification and Reconciliation Engine (IRE), um CIs in zwei neuen Klassen zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter Erstellen von CIs für Vulnerability Response mit der Engine „Identification and Reconciliation“..

    Schwachstelleneinträge von Drittparteien
    Schwachstelleneinträge von Drittparteien werden aus Scannern von Drittparteien wie MS TVM importiert und in der Tabelle „Schwachstelleneinträge von Drittparteien“ in Ihrer Now Platform -Instanz aufgeführt. Außerdem werden Einträge in der National Vulnerability Database (CVE) aus MS TVM importiert. Die Exploit-Informationen, die diesen beiden Eintragstypen zugeordnet sind, stammen aus MS TVM. Diese Exploit-Informationen können zur Risikoberechnung verwendet werden.
    Hinweis:
    Eine Drittpartei-Schwachstelle wird nur für Schwachstellen abgerufen, denen kein CVE zugewiesen ist. MS TVM kann einen temporären Namen für die Schwachstelle hinzufügen, z. B. TVM-XXXX-XXXX. Dieser Name wird aktualisiert, nachdem eine CVE-ID zugewiesen wurde.
    Konfigurationselement (Configuration Item, CI)
    CIs sind die vorhandenen Assets, die in Ihrem CMDBaufgeführt sind.
    Erkanntes Element
    Erkannte Elemente sind die Assets, die aus dem MS TVM-Computerimport erfasst werden und vorhandenen CIs in CMDBentsprechen.

    Wenn keine Übereinstimmung gefunden wird, wird ein CI in der CI-Klasse Nicht abgeglichen von CMDBerstellt. Aktivieren Sie das CMDB CI Class Models-Plugin. Die Identification and Reconciliation Engine (IRE) erstellt CIs mithilfe neuer Klassen. Weitere Informationen finden Sie unter Erstellen von CIs für Vulnerability Response mit der Engine „Identification and Reconciliation“.. Wenn das ursprüngliche, nicht abgeglichene CI neu klassifiziert wird, werden die erkannten Elementdatensätze aktualisiert, um diesen Status widerzuspiegeln. Erkannte Elemente geben Ihnen Einblick, wie Assets identifiziert und CIs in CMDBzugeordnet werden.

    CI-Suchregeln
    Wenn Daten aus MS TVM importiert werden, verwendet Vulnerability Response automatisch Computerdaten (Asset-Daten), um nach Übereinstimmungen in CMDBzu suchen. CI-Suchregeln werden verwendet, um CIs zu identifizieren und sie zu VI-Datensätzen hinzuzufügen, wenn VIs erstellt werden.
    Instanz
    Eine Instanz verweist auf mehrere Konten von MS TVM. Jeder Account kann eine Instanz in der MS TVM-Anwendung sein.
    Integration
    Eine Integration ist eine regelmäßige Aufgabe, die Informationen aus einer Drittanbieterquelle abruft, z. B. die Integration der MS TVM-Computer.
    Bereitstellung
    Wenn eine Integration mehrere Quellen unterstützt, wird eine einzelne Integration als Bereitstellung Ihrer Integration bezeichnet. Eine Bereitstellung bezieht sich auf die Integrationen und Produkte in Ihrer Umgebung. Beispielsweise können Sie mehrere Bereitstellungen von MS TVM in Ihrer Umgebung haben.

    Die MS TVM-Integration umfasst auch die folgenden wichtigen Funktionen:

    • Sie können die Assets in Ihrer Umgebung identifizieren und die CIs für Ihre vorhandenen erkannten Elemente, angreifbaren Elemente und Erkennungsdatensätze aktualisieren, um weitere Details zu Ihren Schwachstellen zu erhalten.
    • Sie können planen, wann die Aufträge für alle MS TVM-Integrationen ausgeführt werden sollen. Sie können geplante Aufgaben auch bei Bedarf ausführen.
    • Sie können angreifbare Elemente gruppieren.
    • Sie können CI-Suchregeln konfigurieren, um zu definieren, wie die Asset-Daten aus Drittanbieterquellen zum Identifizieren von CIs in CMDBverwendet werden.

    Erforderliche Now Platform-Rollen

    Die Integrationsaufgaben erfordern die folgenden Rollen in Ihrer Instanz Now Platform.

    Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Administrator
    Der Systemadministrator verwendet den Setup-Assistenten, um die Anwendung MS TVM zu installieren. Wenn nicht zugewiesen, weist der Administrator den Schwachstellenadministrator (sn_vul.vulnerability_admin) und andere Rollen im Setup-Assistenten zu.
    sn_vul.vulnerability_admin
    Nach der Zuweisung schließt der Schwachstellenadministrator die Konfiguration der MS TVM-Integrationen im Setup-Assistenten ab. Diese Rolle hat vollständigen Zugriff auf die Anwendung Vulnerability Response und ihre Datensätze. Der Schwachstellenadministrator konfiguriert alle Vulnerability Response Anwendungen und Regeln für installierte Drittanbieterintegrationen.
    sn_vul_msft_tvm.configure_integration

    Diese Rolle enthält die granulare Rolle sn_vul_msft_tvm.read_integration. Benutzer mit dieser Rolle können die Vulnerability Response-Integration mit der Anwendung Microsoft Threat and Vulnerability Management konfigurieren.

    sn_vul_msft_tvm.read_integration

    Benutzer mit dieser Rolle können nur die Datensätze der Vulnerability Response-Integration mit der Microsoft Threat and Vulnerability Management-Anwendung anzeigen.

    Vulnerability Response-Gruppe
    Standardmäßig ist die Gruppe Vulnerability Response im Setup-Assistenten verfügbar. Benutzer, die der Vulnerability Response-Gruppe zugewiesen sind, erben automatisch die Rollen sn_vul.read_all und sn_vul.remediation_owner.

    MS TVM-Integrationen

    Mehrere Quellen werden für alle MS TVM-Integrationen unterstützt. Sie können mehrere Instanzen der folgenden Integrationen in Ihrer Umgebung über den Setup-Assistenten in Vulnerability Responsehinzufügen und bereitstellen. Sie installieren und konfigurieren auch die Anwendung Vulnerability Response Integration with the MS TVM über den Setup-Assistenten.

    Um die MS TVM-Integrationen anzuzeigen, navigieren Sie zu Microsoft TVM-Schwachstellenintegration > Administration > Integrationen. Vulnerability Response bietet Integrationen mit MS TVM-Endpunkten, um die Daten gemäß den geplanten Zeitintervallen zu importieren. Die folgenden Integrationen sind im Basissystem enthalten.

    Tabelle : 1. MS TVM-Integrationen
    Ausführungssequenz Zeitplan Integration Beschreibung
    1 Täglich Integration von Microsoft TVM-Empfehlungen Ruft eine Liste aller umsetzbaren Sicherheitsempfehlungen zur Behebung der Schwachstellen ab.
    2 Täglich Integration von Microsoft TVM Vulnerability (CVE). Ruft eine Liste der Einträge der nationalen Schwachstellendatenbank und der Schwachstelleneinträge von Drittparteien sowie deren Exploit-Informationen ab.
    3 Täglich Microsoft TVM Machines-Integration Ruft alle Asset-Daten (Computerdaten), einschließlich Computer-Tags, aus Microsoft TVM ab und verarbeitet sie in Ihrer Instanz.
    4 Wöchentlich
    Hinweis:
    Nach der Installation wird diese Integration nach dem Computerimport automatisch ausgeführt.
    		 Microsoft TVM Machines-Schwachstellenintegration (vollständiger Import) Ruft alle offenen Schwachstellen in allen Assets ab.
    5 Täglich Microsoft TVM Machines-Schwachstellenintegration (Delta-Import) Ruft alle Informationen ab, die sich im vollständigen Import von Schwachstellen der Organisation geändert haben, einschließlich der neuen, behobenen und aktualisierten Schwachstellen.

    Angreifbare Elemente werden gemäß den von Ihnen festgelegten Gruppenregeln in Korrekturaufgaben gruppiert und basierend auf Ihren Zuweisungsregeln zur Korrektur zugewiesen. Weitere Informationen finden Sie unter Vulnerability Response Übersicht über Korrekturaufgaben und Aufgabenregeln und Vulnerability Response Übersicht über Zuweisungsregeln.

    CI-Suchregeln

    Wenn Daten aus MS TVM importiert werden, verwendet Vulnerability Response automatisch Computerdaten (Asset-Daten), um nach Übereinstimmungen in Configuration Management Database (CMDB)zu suchen. CI-Suchregeln werden verwendet, um CIs zu identifizieren und sie den VI-Datensätzen hinzuzufügen, wenn VIs erstellt werden. Weitere Informationen zur Funktionsweise von CI-Suchregeln finden Sie unter CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Schwachstellenintegrationen von Drittparteien.
    Hinweis:
    Sobald Sie eine Regel entfernt haben, können Sie sie nicht wiederherstellen. Anstatt eine vorhandene Regel zu entfernen, sollten Sie sie deaktivieren.
    Die folgenden MS TVM-Suchregeln werden mit dem Basissystem geliefert:
    • MAC_ADDRESS
    • FQDN
    • IP
    Hinweis:
    Sie können mehrere Werte für IP_ADDRESS und MAC_ADDRESS eines Assets verwenden. Eine CI-Suchregel berücksichtigt alle Werte für den Abgleich.

    Erkannte Elemente

    Sie können die CIs anzeigen, die während eines Imports aus der MS TVM Machines-Integration erkannt wurden.
    Hinweis:
    Der Standardfilter für diese Liste ist auf Nicht abgeglichenfestgelegt. Sie können alle erkannten Elemente aus einem Import anzeigen, indem Sie den Filter entfernen.
    Weitere Informationen finden Sie unter Erkannte Elemente.

    Computer-Tags

    Computer-Tags, auch als Host-Tags bezeichnet, werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie weisen Ihren Computern Tags zu.

    Alle Computer-Tags werden als Teil der MS TVM Machines-Integration importiert. Computer-Tags werden im Allgemeinen zum Filtern in Vulnerability Response Zuweisungsregeln und Regeln für Schwachstellengruppen verwendet. Die Tags werden im Formular „Erkanntes Element“ angezeigt.
    Hinweis:
    Führen Sie die MS TVM-Computerintegration aus, bevor Sie Vulnerability Response Zuweisungs- oder Korrekturaufgabenregeln in der Anwendung Vulnerability Response erstellen, damit alle Tags für diese Regeln verfügbar sind, bevor angreifbare Elemente importiert und gruppiert werden. Beachten Sie auch die folgenden Punkte zu Tags:
    • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn ein Paris-Tag erstellt wird, kann kein PARIS-Tag in der Computer-Tag-Tabelle gespeichert werden. Paris und PARIS werden vom System als dasselbe Computer-Tag betrachtet. Welches Tag zuerst importiert wird, ist das Tag, das gespeichert und erkannt wird.
    • Die Verwendung von Computer-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Gruppenschlüssel sind Spalten in der Korrekturaufgabentabelle, während Maschinen-Tags nur zur Verwendung im Bedingungsgenerator vorgesehen sind.
    • Computer-Tags werden von der globalen Systemeigenschaft sn_vul.import_host_tags gesteuert. Diese Eigenschaft ist standardmäßig auf „ true “ festgelegt. Durch das Deaktivieren von Tags werden sie in allen Now Platform® Instanzen deaktiviert.

    Nächste Schritte

    Nachdem Sie die Integration von Vulnerability Response mit Microsoft Threat and Vulnerability Management aus dem ServiceNow® Storeheruntergeladen haben, werden Installation und Konfiguration vom Setup-Assistenten in Vulnerability Responseunterstützt. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die Anwendung Vulnerability Response Integration with the MS TVM mithilfe des Setup-Assistenten.