Rapid7 Vulnerability Integration verstehen

  • Freigeben Version: Washingtondc
  • Aktualisiert 26. Januar 2024
  • 9 Minuten Lesedauer

    • ServiceNow® Rapid7 Vulnerability Integration verwendet Daten, die aus dem Data Warehouse von Rapid7 oder den Produkten von Rapid7 InsightVM ] importiert wurden, um die Auswirkungen und Priorität potenziell böswilliger Bedrohungen zu bestimmen.

    Sensoren vonRapid7 Nexpose erfassen Daten und senden sie automatisch an die Produkte von Rapid7 Data Warehouse (lokal) oder Rapid7 InsightVM (cloud-basiert), die die Informationen kontinuierlich analysieren und korrelieren. Die Lösung lässt sich problemlos in ServiceNow® Vulnerability Response integrieren, um Schwachstellen in CIs und Services zuzuordnen. Rapid7 Vulnerability Integration erweitert die Schwachstellendaten in Ihrer Instanz.

    Rapid7 -Integrationen sind Einstiegspunkte, die mit dem Data Warehouse oder den Produkten von Rapid7 InsightVMRapid7 interagieren und als regelmäßige Aufgaben aufgerufen werden. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenkorrektur, indem die Instanz mit anderen Schwachstellenverwaltungssystemen synchronisiert wird. Die geplanten Aufgaben werden automatisch und in der angegebenen Reihenfolge ausgeführt. Sie können einzelne regelmäßige Aufgaben auch manuell ausführen.
    Hinweis:
    Wenn Sie sowohl Rapid7 Data Warehouse als auch Rapid7 InsightVM als Quellen für Ihre Daten verwenden, besteht die Gefahr doppelter Schwachstellendatensätze.
    Hinweis:
    Bei der Migration vom Data Warehouse -Integrationstyp zum InsightVM- Typ können Sie Ihre vorhandenen Data Warehouse-Datensätze deduplizieren. Weitere Informationen finden Sie unter Deduplizieren Sie Rapid7 Vulnerability Integration Data Warehouse-Datensätze.
    Wenn Sie mehrere Bereitstellungen der Schwachstellenintegration Rapid7 InsightVM haben, können Sie für jede Bereitstellung eine Integration hinzufügen. Assets, die durch mehrere Drittanbieterbereitstellungen und ihre Schwachstellen identifiziert wurden, werden konsolidiert und mit Ihrer CMDB abgeglichen. Diese Konsolidierung erfolgt auch dann, wenn sich Scan-Prozesse zwischen mehreren Bereitstellungen überschneiden. Daten aus jeder Bereitstellung werden identifiziert und sind in einer einzigen Instanz von Vulnerability Responseverfügbar.
    Hinweis:
    Sie können die ursprüngliche Schwachstellenintegration nicht löschen, aber Sie können sie deaktivieren. Aus deaktivierten Vorlagen erstellte Integrationen sind standardmäßig deaktiviert.

    Für jeden Integrationsdatensatz ist ein „Ausführen als“-Benutzer konfiguriert. Der Standardwert für diesen Benutzer ist VR.System. Ändern Sie diesen Wert nicht.

    Verfügbare Versionen

    Release-Version für Washington DC Releasehinweise

    Rapid7 Vulnerability Integration v13.6, 13.7

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response Compatibility Matrix and Release Schema Changes

    Rollen

    Rapid7 Aufgaben zur Integration von Schwachstellen umfassen die folgenden Rollen.
    • sn_vul_r7.admin: Kann Datensätze lesen, schreiben und löschen.
    • sn_vul_r7.user: Kann Datensätze lesen und schreiben.
    • sn_vul_r7.read: Kann Datensätze lesen.

    Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Rapid7 Vulnerability Integration-Integrationen

    Um Rapid7 Vulnerability Integrationanzuzeigen, navigieren Sie zu Rapid7 > Administration > Integrationen.

    Die folgenden Integrationen sind im Basissystem enthalten.

    Tabelle : 1. Rapid7 Data Warehouse-Integrationen
    Integration Beschreibung
    Rapid7 Vulnerability Integration Ruft Schwachstellendaten von Rapid7 Nexpose ab und verarbeitet sie in Ihrer Instanz.
    Rapid7 Integration von Asset-Listen Ruft Scan-Daten einmal pro Woche aus Rapid7 Nexpose Data Warehouse ab und speichert sie im Modul „Erkannte Elemente“ in Ihrer Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht gescannt wurden, anhand des Datums des letzten Scans. Zeigen Sie die Zeit des letzten Scans in der Liste „Erkannte Elemente“ in Vulnerability Responsean.
    Rapid7 Kategorieintegration Ruft Kategorieinformationen aus Rapid7 Nexposeab. Kategorien bieten eine allgemeine Klassifizierung für Schwachstellen.
    Rapid7 Exploit-Integration Ruft Exploit-Informationen von Rapid7 Nexposeab.
    Rapid7 Malware-Kit-Integration Ruft Malware-Kit-Informationen von Rapid7 Nexposeab.
    Rapid7 Referenzintegration Ruft Verweise auf externe regulatorische Dokumente wie CVEs oder herstellerspezifische Schwachstellenreferenzen ab.
    Rapid7 Lösungsintegration Ruft Lösungsdaten aus Rapid7 Nexposeab, die empfohlene Lösungen für bestimmte Schwachstellen bereitstellen.
    Rapid7 Lösungsintegration ersetzen Ruft Informationen darüber ab, welche Lösungen durch andere Lösungen ersetzt werden.
    Rapid7 Erforderliche Lösungsintegration Ruft Informationen zu den Lösungen ab, die Voraussetzungen für andere Lösungen sind. Wenn diese Integration ausgeführt wird, wird die Zuordnung von Lösungen und erforderlichen Lösungen aus dem Data Warehouse Rapid7 abgerufen.
    Hinweis:
    Diese Integration funktioniert nur, wenn das Plugin Vulnerability Solution Management aktiviert ist.
    Rapid7 Integration der Schwachstellen-Lösungszuordnung Ruft die Zuordnung ab, um Lösungen mit Schwachstellen zu verknüpfen.
    Rapid7 Integration von angreifbaren Elementen Ruft Daten zu angreifbaren Elementen aus Rapid7 Nexpose ab und verarbeitet sie in Ihrer Instanz.

    Die Ausgaben dieser Integration sind angreifbare Elemente.
    Rapid7 Integration der Lösung angreifbarer Elemente

    Ruft Informationen darüber ab, welche angreifbaren Elemente in Rapid7 Nexpose als geschlossen markiert sind, und schließt die entsprechenden angreifbaren Elemente in Vulnerability Response.
    Rapid7 Site-Integration Ruft Site-Daten aus Rapid7 Nexposeab. Eine Site ist eine Sammlung von Assets, die gescannt werden sollen.
    Rapid7 Integration von Asset-Listen Ruft Host-Tags und Scan-Daten einmal pro Woche aus dem Data Warehouse Rapid7 ab und speichert sie im Modul „Erkannte Elemente“ in Ihrer Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht gescannt wurden, anhand des Datums des letzten Scans. Zeit des letzten Scans in der Liste „Erkannte Elemente“ in Vulnerability Responseanzeigen
    Rapid7 Umfassende Integration von angreifbaren Elementen Importiert alle Rapid7-Erkennungen für alle Konfigurationselemente, die seit der letzten erfolgreichen Integrationsausführung gescannt wurden. Basierend auf den aktuellen importierten Daten werden angreifbare Elemente, die kürzlich bei Scans nicht gefunden wurden, automatisch auf „Geschlossen“ gesetzt, wenn das Modul „Veraltete angreifbare Elemente automatisch schließen“ aktiviert ist.
    Tabelle : 2. Rapid7 InsightVM-Integrationen
    Integration Beschreibung
    Rapid7 Integration von angreifbaren Elementen – API Ruft Daten zu angreifbaren Elementen von Rapid7 InsightVM ab und verarbeitet sie in Ihrer Instanz.
    Rapid7 Vulnerability Integration -API Ruft Referenz-, Kategorie-, Exploit-, Malware-Kit- und Schwachstellendaten von Rapid7 InsightVM ab und verarbeitet sie in Ihrer Instanz.
    Rapid7 Asset-Listen-Integration – API Ruft Host-Tags und Scan-Daten einmal pro Woche von Rapid7 InsightVM ab und speichert sie im Modul „Erkannte Elemente“ in Ihrer Instanz. Hilft bei der Identifizierung von Assets, die in letzter Zeit nicht gescannt wurden, anhand des Datums des letzten Scans. Zeigen Sie die Zeit des letzten Scans in der Liste „Erkannte Elemente“ in Vulnerability Responsean.
    Rapid7 Umfassende Integration von angreifbaren Elementen – API Importiert alle Rapid7-Erkennungen für alle Konfigurationselemente, die seit der letzten erfolgreichen Integrationsausführung gescannt wurden. Basierend auf den aktuellen importierten Daten werden angreifbare Elemente, die kürzlich bei Scans nicht gefunden wurden, automatisch auf „Geschlossen“ gesetzt, wenn das Modul „Veraltete angreifbare Elemente automatisch schließen“ aktiviert ist.
    Rapid7 Site-Integration Ruft Site-Daten aus dem Produkt Rapid7 InsightVM ab. Diese Integration wird wöchentlich um 00:00:00 Uhr ausgeführt.

    Während des Imports werden noch nicht vorhandene CVE-Datensätze als NVD-Datensätze erstellt und standardmäßig in Einträgen von Drittanbietern für Rapid7 referenziert. Die Vorlagenintegration für Rapid7 kann nicht gelöscht werden. Deaktivieren Sie sie stattdessen.

    Der Service Graph Connector für Rapid7

    Ab Version 2.0 ist Service Graph Connector für Rapid7 über den ServiceNow® Storeverfügbar. Weitere Informationen finden Sie unter Service Graph Connector for Rapid7.

    CI-Suchregeln

    CI-Suchregeln bestimmen, wie das Feld Configuration Item in einem Datensatz für angreifbare Elemente ausgefüllt wird.

    Weitere Informationen zur Funktionsweise von CI-Suchregeln finden Sie unter CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Schwachstellenintegrationen von Drittparteien.

    Informationen zum Erstellen oder Bearbeiten von Suchregeln finden Sie unter Erstellen Sie eine Vulnerability Response-CI-Suchregel.
    Hinweis:
    Regeln können nach dem Entfernen nicht wiederhergestellt werden. Anstatt vorhandene Regeln zu entfernen, deaktivieren Sie sie, wenn Sie neue Regeln erstellen.

    Erkannte Elemente

    Dieses Modul listet Konfigurationselemente auf, die während des Imports aus Rapid7 Integrationen angreifbarer Elemente (Data Warehouse oder InsightVM-API) und der Rapid7 Asset List Integration-API erkannt wurden. Die Rapid7 Asset List Integration – API importiert alle Rapid7-Assets, die seit der letzten Integrationsausführung auf Schwachstellen gescannt wurden. Die Rapid7 Data Warehouse-Asset-Listen-Integration ist enthalten.
    Hinweis:
    Der Standardfilter für diese Liste ist auf Nicht abgeglichenfestgelegt. Sie können alle erkannten Elemente aus einem Import anzeigen, indem Sie den Filter entfernen.

    Weitere Informationen zum Modul „Erkannte Elemente“ finden Sie unter Erkannte Elemente in Vulnerability Response.

    Host-Tags

    Host-Tags werden als Teil der Rapid7 Asset-Listen-Integration – API-Integration für Rapid7 InsightVMimportiert. Sie werden hauptsächlich zum Filtern in Vulnerability Response Zuweisungs- und Korrekturaufgabenregeln in Rapid7 InsightVMverwendet. Sie werden im Formular „Erkanntes Element“ angezeigt.

    Host-Tags
    Hinweis:
    Die API-Integration von Rapid7 Asset List integration sollte vor dem Erstellen von Zuweisungs- oder Korrekturaufgabenregeln in Vulnerability Response ausgeführt werden, damit alle Tags in den Regeln vorhanden sein können und bevor angreifbare Elemente importiert und gruppiert werden.
    • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn ein San Diego -Tag erstellt wird, kann kein SAN DIEGO -Tag in der Host-Tag-Tabelle gespeichert werden. „San Diego“ und „SAN DIEGO“ werden als dasselbe Host-Tag betrachtet. Das zuerst importierte Tag hat den Vorzug.
    • Die Verwendung von Host-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Host-Tags werden von der globalen Systemeigenschaft sn_vul.import_host_tags gesteuert. Diese Eigenschaft ist standardmäßig auf „true“ festgelegt. Wenn Sie Tags deaktivieren, werden sie in allen Instanzen deaktiviert.

    Sites

    Eine Site ist eine Sammlung von Assets, die gescannt werden sollen. Eine Site besteht aus Ziel-Assets, einer Scan-Vorlage, einer oder mehreren Scan Engines und anderen scanbezogenen Einstellungen wie Zeitplänen oder Warnungen. Sites werden von Rapid7 -Anwendungen verwaltet.

    Rapid7 Vulnerability Integration Mit der Site-Filterung während der Konfiguration können Sie Assets während des Imports nach Site kategorisieren und anfordern. Weitere Informationen zum Filtern von Importen finden Sie unter Filtern nach Rapid7 Sites.

    Die Integrationen von Rapid7 Data Warehouse und Rapid7 InsightVM Sites importieren Sites als wöchentliche geplante Aufgabe.

    Um die importierten Sites in einer Liste anzuzeigen, navigieren Sie zu Rapid7 > Sites.

    Öffnen Sie aufgelöste angreifbare Elemente erneut, die nicht durch Scans geschlossen wurden

    Angreifbare Elemente, die in Ihrer Instanz Now Platform auf „Gelöst“ festgelegt, aber durch die nachfolgenden Integrationsausführungen nicht in „Geschlossen/Korrigiert“ geändert wurden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Für Erkennungen von Rapid7 ist jetzt auf der Rapid7-Konfigurationsseite in Ihrer Instanz eine Option verfügbar, um aufgelöste AEs nach Alter erneut zu öffnen. Wenn diese Option aktiviert ist, werden VIs, die auf „Gelöst“ gesetzt sind, aber dann nicht durch nachfolgende Scans auf „Geschlossen/Korrigiert“ gesetzt wurden, nach der von Ihnen eingegebenen Anzahl von Tagen wieder auf „Offen“ gesetzt.

    CIs mit der Identification and Reconciliation Engine (IRE) erstellen

    Sie können die Identification and Reconciliation Engine verwenden, um neue CIs zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann, der von einem Drittanbieter-Scanner importiert wurde. Aktivieren Sie das Plugin „CMDB CI Class Models“, um CIs mit den neuen Klassen zu erstellen. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter Erstellen von CIs für Vulnerability Response mit der Engine „Identification and Reconciliation“.. Weitere Informationen zum Konfigurieren der Kategorisierung nicht abgeglichener Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets wird aktualisiert.

    Scannen Sie angreifbare Elemente erneut

    Initiieren Sie erneute Scans auf der Rapid7 -Plattform, um sicherzustellen, dass Ihre angreifbaren Elemente zwischen geplanten Scan-Zyklen korrigiert wurden. Weitere Informationen finden Sie unter Initiieren Sie einen erneuten Scan für die Rapid7 Schwachstellenintegration.

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Rapid7 Lösungsmanagement

    Wenn Sie das Plugin Rapid7Vulnerability Solution Management aktiviert haben, werden die Lösungen Rapid7 sowohl für das Data Warehouse von [] als auch für [ Rapid7 InsightVM in die Tabelle „Lösungen für Schwachstellen“ [sn_vul_solution] gefüllt. Wenn Sie jedoch das Plugin Rapid7 Vulnerability IntegrationVulnerability Solution Management nicht aktiviert haben, funktioniert [] unverändert und importiert die Lösungen in die benutzerdefinierte Tabelle [sn_vul_r7_solution]. Weitere Informationen finden Sie unter Rapid7 Lösungsmanagement.