Configurando chaves de granularidade da imagem do contêiner para Resposta a vulnerabilidades de contêiner
Você pode configurar as chaves geradas Resposta a vulnerabilidades de contêiner descobertas (itens vulneráveis do contêiner) para ajudar você a determinar como e quando elas são criadas a partir de dados de vulnerabilidade do contêiner importados.
Visão geral das chaves de vulnerabilidade da imagem do contêiner e como elas geram descobertas
Quando as imagens do contêiner são verificadas em busca de vulnerabilidades, um recurso de granularidade controla como as descobertas (itens vulneráveis do contêiner ou CVITs) são criadas com base nas chaves que você pode configurar para a aplicação Resposta a vulnerabilidades do contêiner.
Cada integração do verificador de vulnerabilidades de contêiner de terceiros tem seu próprio registro na tabela Configurar chaves de vulnerabilidade de imagem [sn_vul_container_image_vulnerability_keys] em seu ServiceNow AI Platform instância. Por padrão, uma descoberta (CVIT) é criada combinando o repositório de imagens, vulnerabilidade e dados de imagem importados por um produto de scanner.
A granularidade de chave pode ajudar você a exibir e atribuir descobertas em um nível mais granular por serviço.
Função necessária: sn_vul_container.configure_vi_granulity
Termos usados para granularidade de chave:
- Vulnerabilidade
-
Exposições comuns a vulnerabilidades CVE/CWE importadas, enumeração de pontos fracos comuns e outros dados de vulnerabilidade de terceiros usados para criar descobertas (CVITs) em sua instância.
- CVIT
- Um item vulnerável de contêiner (também conhecido como descoberta), que é gerado por padrão usando dados de imagem, repositório de imagens e vulnerabilidade para sua configuração de chave.
- Cluster
- Dados importados sobre um grupo de máquinas ou nós de trabalho que executam aplicações em contêiner.
- Namespace
- Nomes exclusivos importados de recursos para isolá-los em um único cluster.
- Serviço
- Contêineres de dependências de aplicações que permitem gerenciar e implantar aplicações em contêineres. Neste contexto para granularidade e configuração de chave:
- Ambiente do Elastic Container Service (ECS) - Cluster e serviço são opções para configuração de chave.
- Ambiente do Elastic Kubernetes Service (EKS) - Namespace, cluster e serviço são opções para configuração de chave.
Cada chave do produto tem um registro exclusivo na lista. As hierarquias de configuração de chave a seguir para os ambientes ECS e EKS compartilham a mesma configuração de granularidade localizada em .
Se você quiser configurar a granularidade da chave, faça suas mudanças e atualize o registro antes de importar dados com suas integrações de terceiros.
AWS Serviço de contêiner elástico (Elastic Container Service)
Os ambientes de ECS são organizados em clusters e serviços, em que um cluster pode conter vários serviços.
- Clusters
- Serviços
Se você definir a granularidade da chave para que ela seja definida para adicionar o componente Cluster (caixa de seleção Cluster selecionada no registro Configurar granularidade de VI de chaves de vulnerabilidade de imagem), uma descoberta (CVIT) será criada por cluster. Se você selecionar Cluster e. Serviço As opções para a chave, uma descoberta (Cvit) é criada para cada combinação exclusiva de cluster/serviço, permitindo que a propriedade de correção seja atribuída em um nível mais granular por serviço.
Por exemplo, digamos que seu ambiente tenha dois clusters, Cluster 1 e Cluster 2, e quatro serviços: Serviço 1, Serviço 2, Serviço 3 e Serviço 4. As seleções de chave CVITs criadas por você são mostradas na tabela a seguir.
Os dados de cluster e serviço podem ser obtidos da carga do scanner ( Informações do scanner ) Ou Descoberta da ServiceNow ( Informações da Descoberta ). Esta opção pode afetar como os CVITs são criados, dependendo das suas seleções de chave.
| Fonte de dados | Caixa de seleção Cluster marcada | Caixa de seleção Serviço marcada | CVITs criados |
|---|---|---|---|
| Informações do scanner | x | São criados dois CVITs, um para cada cluster, Cluster 1 e Cluster 2. | |
| Informações do scanner | x | x | Vários CVITS (4) são criados para oferecer suporte a dois clusters e quatro serviços:
|
| Descoberta Nota: Se a Descoberta for selecionada como a fonte de dados, a fonte da verdade dos clusters e serviços virá da Descoberta da ServiceNow, não da carga do scanner. |
x | Um CVIT foi criado para o cluster 3. Se a Descoberta encontrar apenas o Cluster 3 para esta imagem, somente um CVIT será gerado, independentemente do que o scanner sabe. |
Por padrão, Informações da Descoberta está selecionado. Se você quiser Informações da Descoberta Como fonte de dados da chave, o trabalho agendado [Preencher relacionamentos de imagem] é executado diariamente para pré-importar detalhes do cluster e do serviço, e você deve programar suas execuções de integração de terceiros para iniciar pelo menos quatro horas após a conclusão bem-sucedida desse trabalho agendado para garantir que os dados de pré-importação estejam disponíveis. Este trabalho é ativado por padrão diariamente, mas você deve definir a programação para ele antes das importações agendadas de integração de terceiros.
A propriedade do sistema [sn_vul_container.image_relationship_mapping_months] define quantos meses atrás (1-12) sua integração de scanner de terceiros pesquisa atualizações de imagem de contêiner ao processar mapeamentos de relacionamento. Esses dados são usados para filtrar imagens pelo campo [sys_updated_on].
A configuração padrão é de três meses (90 dias). A menos que você mude esse valor, depois de configurar a importação de integração do scanner, o mapeamento de relacionamento será criado para imagens que são verificadas nos últimos 90 dias por padrão e presentes em imagens de contêiner descobertas.
Preenchimento de dados
Antes, o ECS era compatível com a versão 30,3 ( USEM E v2.18 (Core), havia dois conjuntos de colunas na tabela Item vulnerável do contêiner [sn_vul_container_image_vulnerable_item] para dados preenchidos:
- As colunas Namespace de imagem e clusters de imagem serão exibidas se Informações do scanner a fonte de dados está selecionada para a configuração de chave.
- Kubernetes namespaces, clusters do Kubernetes e serviços do Kubernetes, se o. Informações da Descoberta a fonte de dados está selecionada para a configuração de chave.
- Namespace de cluster (scanner) (scanner) e Serviço (scanner) se o. Informações do scanner a fonte de dados está selecionada para a configuração de chave.
- Cluster (Descoberta), Namespace (Descoberta) e Serviço (Descoberta) se o. Informações da Descoberta a fonte de dados está selecionada para a configuração de chave.
No registro de imagem do contêiner do Docker do CMDB na tabela Imagem do contêiner descoberto [sn_vul_container_image], somente Informações do scanner é preenchido diretamente com os nomes das colunas listados acima.
Você pode exibir dados baseados em descoberta (cluster/namespace/serviço) abrindo o registro de imagem do Docker no registro de imagem do contêiner descoberto. Neste registro, exiba a seção de itens/relações relacionados para os dados preenchidos por Informações da Descoberta .
AWS EKS (elástico Kubernetes Serviço)
Nos registros Configurar chaves de vulnerabilidade de imagem, há três chaves adicionais que você pode adicionar à chave padrão para ambientes EKS:
- Namespace
- Registro
- Serviço
Os ambientes EKS têm uma hierarquia de três níveis: Clusters/namespaces/serviços. Se você selecionar todos os três níveis (cluster, namespace e serviço), as descobertas serão geradas com a granularidade mais compatível. A opção para selecionar a Fonte de dados como Informações do scanner ou Informações da Descoberta É compatível com EKS.
Por exemplo, digamos que você tenha Cluster 1, Namespace 1 e dois serviços, Serviço 1 e Serviço 2. Se você selecionar todos os três níveis, dois CVITs serão criados para a granularidade mais compatível, um para cada serviço.
Se, por outro lado, você selecionar Cluster 1 e Namespace 1 para este exemplo, um CVIT será criado para um namespace.