Importar modificações para a integração de vulnerabilidade da Tenable

Versão de lançamento: Washingtondc

Atualizado 6 de fev. de 2024

4 min. de leitura

Configure modificações opcionais e simplifique alguns dos dados especificamente para a integração de importação de vulnerabilidades da Tenable na ServiceNow® Integração de vulnerabilidade da Tenable.

Antes de Iniciar

Função necessária: sn_vul.vulnerability_admin

Por Que e Quando Desempenhar Esta Tarefa

Este conjunto de tarefas requer codificação e conhecimento avançado sobre o Now Platform.

Siga estas etapas para criar importações separadas por domínio para as integrações de vulnerabilidades da Tenable. O exemplo a seguir é para a integração Tenable.io Open Vulnerabilities, mas este conteúdo é aplicável às outras integrações da Tenable.

Procedimento

Crie um domínio.
Para cada domínio criado, crie um usuário e atribua o usuário a esse domínio.

Pense neste usuário como um espaço reservado run_as para o domínio em Tenable.io.
Abra a integração de vulnerabilidades.
O usuário é o equivalente ao usuário VR.System no domínio global e deve ter as seguintes funções: sn_vul.tenable_configure_integration, import_admin e sn_vul.vulnerability_write. Este usuário requer acesso a fontes de dados, mapas de transformação e dados de vulnerabilidade.
Nota:
Considere este usuário como específico para esta função. O usuário não deve ter nenhuma outra finalidade
Em cada domínio, crie um trabalho programado copiando o Processador de Fonte de Dados de Vulnerabilidade Programada encontrado em Definição do Sistema > Trabalhos programados.
Anexe o domínio ao nome para identificar o trabalho programado.
Altere o usuário run_as para o usuário que você criou na etapa anterior.

Nota:
Edite a seguinte ação de IU para que a integração seja executada no domínio do usuário run_as.
Edite a ação de IU Executar agora na integração de vulnerabilidades em aberto da Tenable.io para adicionar este bloco de código à parte superior do arquivo.
//sys id below is of Tenable.io integration if(current.sys_id == "4df3f18d53730010d7f1ddeeff7b12a9"){ current.run_as = gs.getUserID (); }
Nota:
Edite as inclusões de script a seguir para que a integração seja executada no domínio do usuário run_as.
Edite o método de inclusão de script VulnerabilityIntegrationUtils addIntegrationRun para adicionar o código realçado.
Edite o método de inclusão de script VulnerabilityIntegrationUtils addProcessRun para adicionar o código realçado.
Edite o método de inclusão de script DataSourceVulnReportRefreshProcessor _processFromDataSourceGroups para mudar este código original: Código _processFromDataSourcesGroups original para código _processFromDataSourcesGroups editado.
Edite o método de inclusão de script VulnerabilityDSAttachmentManager, queueItem, para adicionar os seguintes blocos de código realçados queueItem, _getNext, _processQueueEntry.

Você está pronto para importações de detecção de host separadas por domínio.
Desabilitar calculadoras antes da importação
Siga estas etapas para desabilitar a calculadora padrão se não for usada. Se você não usar calculadoras de vulnerabilidade, é melhor desabilitar as calculadoras padrão, além de quaisquer outras que você tenha definido. As calculadoras de vulnerabilidade são executadas sempre que um registro de item vulnerável é acessado e pode afetar o desempenho da instância.

Função necessária: sn_vul.vulnerability_admin.
Navegar até Todos > Vulnerabilidade > Administração > Calculadoras de vulnerabilidade.
Abra o grupo Impacto de vulnerabilidade.
Abra a calculadora de pontuação e impacto baseado em serviço.
Desmarque o campo Ativo para desativar a calculadora.
Clique em Atualizar.

Você desativou a calculadora padrão.
Desabilitar regras de negócios baseadas em notificação antes da importação inicial
Siga estas etapas para desabilitar Desabilitar regras de negócios relacionadas à notificação antes da importação de registro inicial. Durante a importação inicial de registros, determinadas regras de negócios relacionadas à notificação podem gerar muitas notificações, afetando o desempenho. Essas regras de negócios devem ser modificadas para desativá-las durante a importação.

A função necessária é sn_vul.vulnerability_admin.
Navegar até Todos > Definição do Sistema > Regras de negócios.
Pesquise notificações de IC afetado.
Abra a regra de negócios e insira a seguinte condição: current.sys_class_name != “sn_vul_vulnerable_item".
Clique em Atualizar.
Repita este procedimento para as seguintes regras de negócios:
- Notificações de centro de custos afetado
- Notificações do grupo afetado
- Notificações de local afetado
Nota:
Após a conclusão da importação do registro inicial, você terá a opção de reativar essas regras de negócio. No entanto, considere deixá-los desabilitados. Eles podem gerar um grande número de notificações e afetar o desempenho da sua instância.
Modificar uma data de início inicial
Siga estas etapas para modificar uma data de início inicial. Durante a instalação usando o Assistente de configuração, você define uma data de início inicial para as integrações da Tenable. Você pode redefinir essa data de início no Assistente de configuração ou na integração primária, conforme mostrado nas etapas a seguir.
Navegar até Todos > Integração de vulnerabilidade Tenable > Administração > Integrações.
Clique em qualquer integração.
Clique em Detalhes da integração.
Defina o campo Hora de início com um valor no passado, para que todas as vulnerabilidades verificadas e detectadas desde essa hora sejam detectadas.

Se você configurou o Tenable usando o Assistente de configuração, o campo Hora de início será preenchido previamente, inicialmente para três meses antes da data de hoje e, subsequentemente, para a data de hoje. Observação: considere definir o valor como no máximo um mês no passado. Isso evita que uma grande quantidade de dados exceda as limitações de taxa da API da Tenable, bem como aciona os tempos limites de execução.
Clique em Enviar ou Atualizar.
Opcional: Clique em Executar agora para executar imediatamente.