Noções básicas sobre a integração de vulnerabilidade do Microsoft Threat and Vulnerability Management

  • Versão de lançamento: Washingtondc
  • Atualizado 6 de fev. de 2024
  • 9 min. de leitura

    • A integração do Vulnerability Response com a aplicação Microsoft Threat and Vulnerability Management (MS TVM) usa dados importados do MS TVM para ajudá-lo a priorizar e corrigir vulnerabilidades de seus ativos. A aplicação está disponível com uma assinatura separada do ServiceNow Store.

    Você pode usar a integração de vulnerabilidade do MS TVM para importar dados do scanner de terceiros sobre seus ativos e vulnerabilidades. Você pode exibir relatórios sobre vulnerabilidades e itens vulneráveis nos painéis Vulnerability Response.

    Fluxo de trabalho de integração do MS TVM que exibe a instalação e a configuração da aplicação, a exibição dos dados ingeridos em sua instância da Now Platform e a priorização e correção automática de vulnerabilidades dos seus ativos.

    Versões disponíveis

    Versão de lançamento Notas de versão

    Vulnerability Response Integração com MS TVM v2.2

    Para obter mais informações sobre as versões lançadas da aplicação Vulnerability Response, compatibilidade e mudanças de esquema, consulte o artigo Matriz de compatibilidade do Vulnerability Response e mudanças de esquema de versão [KB0856498] na Base de conhecimento HI.

    Domain Separation e MS TVM

    Importe dados de integração de vulnerabilidade para um domínio especificado atribuindo um usuário nesse domínio para executar as integrações. Para criar importações separadas por domínio para a integração de vulnerabilidade do MS TVM, consulte Criar importações separadas por domínio para uma integração.

    Termos e principais recursos das integrações

    Itens vulneráveis e vulnerabilidades
    Um item vulnerável é criado na sua instância Now Platform quando:
    • Uma vulnerabilidade importada de um scanner de terceiros é correspondida a um ativo existente (item de configuração) no seu CMDB). O produto MS TVM se refere a essas correspondências como vulnerabilidades.
    • Uma vulnerabilidade importada de um scanner de terceiros não corresponde a um ativo existente no seu CMDB. Nesse caso, um item de configuração (IC) incompatível também é criado com um item vulnerável.

      Use o Mecanismo de Identificação e Reconciliação (IRE) para criar ICs em duas novas classes quando um IC existente não puder ser correspondido com um host. Caso contrário, ICs incompatíveis serão criados nas classes de IC incompatíveis. Para obter mais informações, consulte Criando ICs para Vulnerability Response usando o mecanismo de Identificação e Reconciliação.

    Entradas de vulnerabilidade de terceiros
    As entradas de vulnerabilidade de terceiros são importadas de scanners de terceiros, como o MS TVM, e são listadas na tabela Entradas de vulnerabilidade de terceiros na instância Now Platform. Além disso, as entradas do banco de dados de vulnerabilidades nacionais (CVEs) são importadas do MS TVM. As informações de exploração associadas a esses dois tipos de entradas vêm do MS TVM. Essas informações de exploração podem ser usadas para cálculo de risco.
    Nota:
    Uma vulnerabilidade de terceiros é recuperada somente para vulnerabilidades que não têm um CVE atribuído a elas. O MS TVM pode adicionar um nome temporário para a vulnerabilidade, por exemplo, TVM-XXXX-XXXX. Este nome é atualizado depois que um ID de CVE é atribuído.
    IC (Configuration Item, item de configuração)
    ICs são os ativos existentes listados em CMDB.
    Item descoberto
    Itens descobertos são os ativos ingeridos da importação da máquina MS TVM que correspondem aos ICs existentes no seu CMDB.

    Se uma correspondência não for encontrada, um IC será criado na classe de IC incompatível do CMDB. Habilite o plug-in CMDB CI Class Models, o Mecanismo de Identificação e Reconciliação (IRE) cria ICs usando novas classes. Para obter mais informações, consulte Criando ICs para Vulnerability Response usando o mecanismo de Identificação e Reconciliação. Se o IC original incompatível for reclassificado, os registros do item descoberto serão atualizados para refletir esse estado. Os itens descobertos fornecem visibilidade de como os ativos são identificados e mapeados para ICs no CMDB.

    Regras de pesquisa de IC
    Quando os dados são importados do MS TVM, Vulnerability Response usa automaticamente os dados da máquina (ativo) para pesquisar correspondências no CMDB. As regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de IV quando os IVs são criados.
    Instância
    Uma instância se refere a várias contas do MS TVM. Cada conta pode ser uma instância na aplicação MS TVM.
    Integração
    Uma integração é um trabalho programado que recupera informações de uma fonte de terceiros, como a integração das máquinas MS TVM.
    Implantação
    Quando uma integração oferece suporte a várias origens, uma única existência de integração é chamada de implantação da sua integração. Uma implantação se refere às integrações e produtos em seu ambiente. Por exemplo, você pode ter várias implantações do MS TVM em seu ambiente.

    A integração do MS TVM também inclui os seguintes recursos principais:

    • Você pode identificar os ativos em seu ambiente e atualizar os ICs em seus itens descobertos existentes, itens vulneráveis e registros de detecção para fornecer mais detalhes sobre suas vulnerabilidades.
    • Você pode programar quando deseja que os trabalhos sejam executados para todas as integrações do MS TVM. Você também pode executar trabalhos programados sob demanda.
    • Você pode agrupar itens vulneráveis.
    • Você pode configurar regras de pesquisa de IC para definir como os dados de ativo de fontes de terceiros são usados para identificar ICs em seu CMDB.

    Funções necessárias de Now Platform

    As tarefas de integração exigem as seguintes funções na sua instância Now Platform.

    Persona e funções granulares estão disponíveis para ajudá-lo a gerenciar o que usuários e grupos podem ver e fazer na aplicação Vulnerability Response. Para obter uma atribuição inicial das funções de persona no Assistente de configuração, consulte Atribua as funções de persona Vulnerability Response usando o Assistente de configuração. Para obter mais informações sobre como gerenciar funções granulares, consulte Gerenciar persona e funções granulares para Vulnerability Response.

    admin
    O administrador do sistema usa o Assistente de configuração para instalar a aplicação MS TVM. Se não for atribuído, o administrador atribuirá o administrador de vulnerabilidade (sn_vul.vulnerability_admin) e outras funções no Assistente de configuração.
    sn_vul.vulnerability_admin
    Depois de atribuído, o administrador de vulnerabilidade conclui a configuração das integrações do MS TVM no Assistente de configuração. Esta função tem acesso completo à aplicação Vulnerability Response e seus registros. O administrador de vulnerabilidades configura todas as Vulnerability Response aplicações e regras para integrações de terceiros instaladas.
    sn_vul_msft_tvm.configure_integration

    Esta função contém a função granular sn_vul_msft_tvm.read_integration. Usuários com esta função podem configurar a integração do Vulnerability Response com a aplicação Microsoft Threat and Vulnerability Management.

    sn_vul_msft_tvm.read_integration

    Usuários com esta função só podem exibir a integração do Vulnerability Response com os registros da aplicação Microsoft Threat and Vulnerability Management.

    Grupo do Vulnerability Response
    Por padrão, o grupo do Vulnerability Response está disponível no Assistente de configuração. Os usuários atribuídos ao grupo Vulnerability Response herdam as funções sn_vul.read_all e sn_vul.remediation_owner automaticamente.

    Integrações do MS TVM

    Várias origens são compatíveis com todas as integrações do MS TVM. Você pode adicionar e implantar várias instâncias das seguintes integrações em seu ambiente do Assistente de configuração em Vulnerability Response. Você também instala e configura a integração Vulnerability Response com a aplicação MS TVM no Assistente de configuração.

    Para exibir as integrações do MS TVM, navegue até Integração de vulnerabilidade Microsoft VTM > Administração > Integrações. Vulnerability Response fornece integrações com endpoints do MS TVM para importar os dados de acordo com os intervalos de tempo programados. As integrações a seguir estão incluídas no sistema de base.

    Tabela 1. Integrações do MS TVM
    Sequência de execução Programação Integração Descrição
    1 Diariamente Integração de recomendações do Microsoft TVM Recupera uma lista de todas as recomendações de segurança acionáveis para corrigir as vulnerabilidades.
    2 Diariamente Integração de vulnerabilidade do Microsoft TVM (CVE) Recupera uma lista das entradas do banco de dados de vulnerabilidades nacionais e entradas de vulnerabilidades de terceiros, bem como suas informações de exploração.
    3 Diariamente Integração de máquinas com Microsoft TVM Recupera todos os dados do ativo (máquina), incluindo marcadores de máquina, do Microsoft TVM e os processa em sua instância.
    4 Semanalmente
    Nota:
    Após a instalação, esta integração é executada automaticamente após a importação das máquinas.
    		 Integração de vulnerabilidades de máquinas com Microsoft TVM (importação completa) Recupera todas as vulnerabilidades em aberto em todos os ativos.
    5 Diariamente Integração de vulnerabilidades de máquinas com Microsoft TVM (importação delta) Recupera todas as informações que foram alteradas na importação de vulnerabilidades completa da organização, incluindo as vulnerabilidades novas, corrigidas e atualizadas.

    Itens vulneráveis são agrupados em tarefas de correção de acordo com as regras de grupo que você definiu e são atribuídos para correção com base em suas regras de atribuição. Para obter mais informações, consulte Vulnerability Response tarefas de correção e regras de tarefa visão geral e Vulnerability Response visão geral de regras de atribuição.

    Regras de pesquisa de IC

    Quando os dados são importados do MS TVM, Vulnerability Response usa automaticamente os dados da máquina (ativo) para pesquisar correspondências no Configuration Management Database (CMDB). As regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de IV quando os IVs são criados. Para obter mais informações sobre como funcionam as regras de pesquisa de IC, consulte Regras de pesquisa de IC para identificar itens de configuração de Vulnerability Response integrações de vulnerabilidade de terceiros.
    Nota:
    Depois de remover uma regra, não será possível recuperá-la. Em vez de remover uma regra existente, você deve desabilitá-la.
    As seguintes regras de pesquisa do MS TVM são enviadas com o sistema de base:
    • MAC_ADDRESS
    • FQDN
    • IP
    Nota:
    Você pode usar vários valores para o IP_ADDRESS e o MAC_ADDRESS de um ativo. Uma regra de pesquisa de IC considera todos os valores para correspondência.

    Itens descobertos

    Você pode ver os ICs que foram detectados durante uma importação da integração do MS TVM Machines.
    Nota:
    O filtro padrão desta lista é definido como Incompatível. Você pode exibir todos os itens descobertos de uma importação removendo o filtro.
    Para obter mais informações, consulte Itens Descobertos.

    Marcadores de máquina

    Os marcadores de máquina, também conhecidos como marcadores de host, são usados para organizar e rastrear os ativos em sua organização. Você atribui marcadores às suas máquinas.

    Todos os marcadores de máquina são importados como parte da integração de máquinas MS TVM. Os marcadores de máquina geralmente são usados para filtragem em regras de atribuição Vulnerability Response e regras de grupo de vulnerabilidade. Os marcadores são exibidos no formulário Item descoberto.
    Nota:
    Execute a integração do MS TVM Machine antes de criar Vulnerability Response regras de tarefa de atribuição ou correção na aplicação Vulnerability Response para que todos os marcadores estejam disponíveis para essas regras antes que os itens vulneráveis sejam importados e agrupados. Observe também os seguintes pontos sobre marcadores:
    • O armazenamento de marcador não faz distinção entre maiúsculas e minúsculas. Se um marcador Paris for criado, um marcador PARIS não poderá ser armazenado na tabela de marcadores da máquina. Paris e PARIS são considerados o mesmo marcador de máquina pelo sistema. O marcador que for importado primeiro será o marcador armazenado e reconhecido.
    • Usar marcadores de máquina como uma chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. As chaves de grupo são colunas na tabela de tarefas de correção, enquanto os marcadores de máquina devem ser usados somente no construtor de condição.
    • Os marcadores de máquina são controlados pela propriedade do sistema global sn_vul.import_host_tags. Esta propriedade é definida como verdadeira por padrão. Desabilitar os marcadores os desabilita em todas as Now Platform® instâncias.

    O que fazer a seguir

    Depois de baixar a integração Vulnerability Response com o Microsoft Threat and Vulnerability Management do ServiceNow® Store, a instalação e a configuração são compatíveis com o Assistente de configuração em Vulnerability Response. Para obter mais informações, consulte Instalar e configurar a aplicação Vulnerability Response Integration with the MS TVM usando o Assistente de configuração.