Noções básicas sobre a integração de vulnerabilidade da Tenable

  • Versão de lançamento: Washingtondc
  • Atualizado 6 de fev. de 2024
  • 12 min. de leitura

    • A aplicação Integração do Vulnerability Response com Tenable desenvolvida pela engenharia ServiceNow para o Tenable Vulnerability Integration usa dados importados dos produtos Tenable.io e Tenable.sc para ajudar você a priorizar e corrigir vulnerabilidades de seus ativos. A aplicação está disponível com uma assinatura separada do ServiceNow® Store.

    Nota:
    A partir da v14.9 de Configuration Compliance, os seguintes termos foram renomeados:
    Tabela 1. Mudanças na terminologia
    Terminologia anterior à v14.9 Terminologia v14.9 em diante
    Grupo de resultados de testes Tarefa de Correção
    Regras de Grupo Regras de tarefa de correção
    Política Grupo de teste
    A integração de vulnerabilidade da Tenable emprega duas integrações da Tenable, Tenable.io e Tenable.sc, para importar dados do scanner de terceiros sobre seus ativos e vulnerabilidades. A aplicação Integração do Vulnerability Response com Tenable oferece suporte ao produto Tenable.sc a partir da versão 5.13.
    • Tenable.io é uma integração empresarial baseada em nuvem.
    • Tenable.sc é uma integração no local que oferece a opção de usar um MID Server se o produto Tenable.sc e sua instância Now Platform estiverem no mesmo ambiente.
    • Se o produto Tenable.sc e sua instância Now Platform não estiverem no mesmo ambiente, você precisará usar um MID Server.

    A aplicação Integração do Vulnerability Response com Tenable está disponível no ServiceNow Store com uma assinatura separada.

    Para obter listas e descrições das integrações no Tenable Vulnerability Integration, consulte Tenable.io integrações com as aplicações Vulnerability Response e Configuration Compliance e Tenable.sc integrações com a aplicação Vulnerability Response.

    Figura 1. Integração de vulnerabilidade Tenable
    Fluxo de trabalho de integração de vulnerabilidade da Tenable.

    Versões disponíveis para Washington DC

    Versão de lançamento Notas de versão

    Integração do Vulnerability Response com Tenable v3.5, v3.6

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Termos e principais recursos das integrações

    Itens vulneráveis e vulnerabilidades
    Um item vulnerável é criado na sua instância Now Platform quando:
    • Uma vulnerabilidade importada de um scanner de terceiros é correspondida a um ativo existente (um item de configuração em CMDB). O produto Tenable se refere a essas correspondências como vulnerabilidades.
    • Uma vulnerabilidade importada de um scanner de terceiros não corresponde a um ativo existente no seu CMDB. Nesse caso, um IC incompatível também é criado junto com um item vulnerável.

      Para ICs incompatíveis, você também pode usar o Mecanismo de Identificação e Reconciliação (IRE) para criar ICs em duas novas classes quando um IC existente não puder ser correspondido com um host. Caso contrário, ICs incompatíveis serão criados nas classes de IC incompatíveis. Para obter mais informações, consulte Criando ICs para Vulnerability Response usando o mecanismo de Identificação e Reconciliação.

    Entradas de vulnerabilidade de terceiros e plug-ins
    As entradas de vulnerabilidade de terceiros são importadas de scanners de terceiros e listadas na tabela Entradas de vulnerabilidade de terceiros na sua instância Now Platform. As entradas de vulnerabilidade de terceiros da Tenable são ingeridas em Vulnerability Response e correspondidas aos ativos existentes listados em CMDB. A Tenable se refere às entradas de vulnerabilidade de terceiros como plug- ins.
    IC (Configuration Item, item de configuração)
    Itens de configuração são os ativos existentes listados em seu CMDB.
    Item descoberto
    Os ativos ingeridos da importação de ativos da Tenable são correspondidos aos itens de configuração existentes em seu CMDB. Os ativos importados são atualizados.

    Se uma correspondência não for encontrada, um IC será criado na classe de IC incompatível do CMDB. Se o plug-in CMDB CI Class Models estiver habilitado, o Mecanismo de Identificação e Reconciliação (IRE) criará novos ICs usando novas classes. Para obter mais informações, consulte Criando ICs para Vulnerability Response usando o mecanismo de Identificação e Reconciliação. Se o IC original incompatível for reclassificado, os registros de item descoberto serão atualizados para refletir o estado. Os itens descobertos fornecem visibilidade de como os ativos são identificados e mapeados para ICs no CMDB.

    Regras de pesquisa de IC
    Quando os dados são importados de uma integração de terceiros, o Vulnerability Response usa automaticamente os dados do host (ativo) para pesquisar correspondências no Configuration Management Database (CMDB). As regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de IV quando os IVs são criados para ajudá-lo na correção.
    Nova verificação e verificação de correção
    Você pode iniciar um comando de nova verificação direcionado em um item de configuração específico, grupo de vulnerabilidade ou entrada de terceiros diretamente do item vulnerável, tarefa de correção e registros de entrada de vulnerabilidade de terceiros em sua instância Now Platform. A Tenable se refere a esta nova verificação como uma verificação de correção.
    Fechar automaticamente IVs mais antigos
    Com o módulo Fechar automaticamente itens vulneráveis obsoletos no seu Now Platform, você pode limpar itens vulneráveis (IV) obsoletos que não foram encontrados recentemente por suas integrações de terceiros. Mover esses IVs para Encerrado ajuda a reduzir o número de itens vulneráveis ativos e tarefas de correção e reconciliar ativos em seu CMDB. Você pode usar todas as integrações com Integração do Vulnerability Response com Tenable para fechar automaticamente IVs obsoletos.
    Instância
    Este termo se refere a uma ocorrência distinta da sua aplicação Now Platform®.
    Integração
    Uma integração é uma referência específica de produto para uma integração, como a Tenable.io Integração de ativos ou a Tenable.sc Integração de plug-in. Essas são as integrações separadas que pertencem a produtos específicos da Tenable na integração de vulnerabilidade da Tenable em sua instância.
    Instância de integração
    Este termo se refere às integrações separadas da Tenable listadas por seus produtos Tenable.io e Tenable.sc.
    Implantação
    Quando uma integração oferece suporte a várias origens, uma existência de integração única e distinta é chamada de implantação da sua integração. O termo é usado para se referir às integrações e produtos em seu ambiente. Por exemplo, você pode ter várias implantações de várias integrações dos produtos Tenable.io e Tenable.sc em seu ambiente.

    As integrações Tenable.io e Tenable.sc também incluem os seguintes recursos principais:

    • As descobertas da avaliação de configuração, ou seja, resultados de testes junto com políticas, testes de configuração (controles) e citações com fontes autorizadas podem ser importados para a aplicação Configuration Compliance com o produto Tenable.io. Consulte Tenable.io integrações com as aplicações Vulnerability Response e Configuration Compliance e Explorar o Configuration Compliance para obter mais informações sobre como esta integração funciona com a aplicação Configuration Compliance.
    • A partir da v2.1 do Tenable Vulnerability Integration, crie itens de configuração (ICs) exclusivos que incluem diferentes identificadores de partição de rede para ativos em seu ambiente que compartilham o mesmo endereço IP. Identifique os ativos distintos em seu ambiente e atualize os ICs em seu item descoberto existente, item vulnerável e registros de detecção para fornecer mais detalhes sobre suas vulnerabilidades.
    • Você pode programar quando deseja que os trabalhos sejam executados para todas as integrações Tenable.io e Tenable.sc. Você também pode executar trabalhos programados manualmente sob demanda.
    • Para importações de ativo com Tenable.io, você pode habilitar etiquetas do ativo para organizar e rastrear os ativos listados em CMDB no ambiente Tenable.io.
    • As integrações Tenable.io e Tenable.sc permitem que você configure Regras de pesquisa de IC para definir como os dados de ativo de fontes de terceiros são usados para identificar itens de configuração (ICs) em seu Now Platform CMDB.
    • As integrações Tenable.io e Tenable.sc permitem que você defina filtros de importação na importação de vulnerabilidades para que você importe somente as vulnerabilidades desejadas da Tenable. Para Tenable.io, você tem a opção de importar vulnerabilidades fixas da Tenable com a importação de vulnerabilidades.
    • Para Tenable.sc, você tem a opção de iniciar novas verificações sob demanda diretamente do item vulnerável, da tarefa de correção e dos registros de entrada de terceiros na sua instância Now Platform. Se os IVs tiverem sido transicionados para Encerrado/Corrigido, mas ainda não estiverem atualizados em sua instância, você poderá verificar se as vulnerabilidades em itens de configuração específicos foram corrigidas. Consulte Iniciar nova verificação para a integração Tenable.sc.

    As seções a seguir listam mais detalhes sobre as integrações da Tenable.

    Funções necessárias de Now Platform

    As tarefas de integração exigem as seguintes funções na sua instância Now Platform.

    admin
    O administrador do sistema usa o Assistente de configuração para instalar a aplicação Integração do Vulnerability Response com Tenable. Se não for atribuído, o administrador atribuirá o administrador de vulnerabilidade (sn_vul.vulnerability_admin) e outras funções no Assistente de configuração.
    sn_vul.vulnerability_admin
    Depois de atribuído, o administrador de vulnerabilidade conclui a configuração das integrações da Tenable no Assistente de configuração. Esta função tem acesso completo à aplicação Vulnerability Response (VR) e seus registros. O administrador de vulnerabilidades configura todas as aplicações de VR e regras para integrações de terceiros instaladas.
    sn_vul_tenable.configure_integration
    Esta função contém a função granular sn_vul_tenable.read_integration e os usuários com esta função podem configurar a aplicação Integração do Vulnerability Response com Tenable.
    sn_vul_tenable.read_integration
    Usuários com essas funções podem exibir (ler), mas não editar registros da aplicação Integração do Vulnerability Response com Tenable.
    Grupo do Vulnerability Response
    Por padrão, o grupo do Vulnerability Response está disponível no Assistente de configuração. Os usuários atribuídos ao grupo Vulnerability Response herdam as funções sn_vul.read_all e sn_vul.remediation_owner automaticamente.

    Itens vulneráveis

    Os itens vulneráveis são agrupados em tarefas de correção de acordo com as regras do grupo e atribuídos para correção com base nas regras de atribuição. Para obter mais informações, consulte Vulnerability Response tarefas de correção e regras de tarefa visão geral e Vulnerability Response visão geral de regras de atribuição.

    Regras de pesquisa de item de configuração (IC)

    As Regras de Pesquisa de IC identificam ICs e determinam quando adicioná-los a um item vulnerável. Para obter mais informações sobre como funcionam as regras de pesquisa de IC, consulte Regras de pesquisa de IC para identificar itens de configuração de Vulnerability Response integrações de vulnerabilidade de terceiros.
    Nota:
    As regras, depois de removidas, não podem ser recuperadas. Em vez de remover as regras existentes, desabilite-as ao criar novas.
    As regras de pesquisa Tenable.io a seguir são enviadas com o sistema de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • Nome do host
    • DNS
    • IP
    As regras de pesquisa Tenable.sc a seguir são enviadas com o sistema de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • IP
    Nota:
    Vários valores para ip_address, mac_address, fqdns e network_interfaces são usados para um ativo. Todos os valores são considerados nas regras de pesquisa de IC para correspondência. Todos os valores são usados para criar vários adaptadores de rede usando IRE.

    Para obter mais informações sobre como configurar a categorização de recursos de nuvem incompatíveis em sua classe de IC preferencial, consulte Atualizando classe de IC para ativos de nuvem incompatíveis.

    Novas propriedades para ignorar endereços IP

    Em Tenable.io, há duas propriedades disponíveis se você quiser ignorar vários endereços IP ou vários endereços Mac como parte de suas regras de pesquisa de IC:
    ignoreIPAddress
    Uma lista de endereços IP a serem ignorados para pesquisa de IC e criação de IC.
    ignoreMacAddress
    Uma lista de endereços MAC a serem ignorados para pesquisa de IC ou criação de IC.

    Itens descobertos

    Este módulo lista os itens de configuração detectados durante a importação das integrações de item vulnerável da Tenable e das integrações de ativo da Tenable.
    Nota:
    O filtro padrão desta lista é definido como Incompatível. Você pode exibir todos os itens descobertos de uma importação removendo o filtro.
    Para obter mais informações sobre o módulo Itens descobertos, consulte Itens Descobertos.

    Etiquetas do ativo

    As etiquetas do ativo (também conhecidas como etiquetas do host) são usadas para organizar e rastrear os ativos em sua organização. Você pode atribuir marcadores aos seus ativos. Em seguida, ao iniciar as verificações, você pode selecionar marcadores associados aos ativos que deseja verificar. O módulo Etiquetas do ativo permite que você baixe dados de etiqueta do ativo de Tenable.io para sua instância de forma programada. Os dados de ativo que incluem marcadores de ativo são extraídos de Tenable.io e transformados usando os mapas de transformação de integração Tenable.io Asset Transform.

    Todas as etiquetas do ativo são importadas como parte da integração do ativo Tenable.io. As etiquetas do ativo geralmente são usadas para filtragem em regras de atribuição Vulnerability Response e regras de tarefa de correção. Os marcadores são exibidos no formulário Item descoberto.
    Nota:
    Execute a integração de ativo Tenable.io antes de criar regras de atribuição Vulnerability Response ou regras de tarefa de correção na aplicação Vulnerability Response para que todos os marcadores estejam disponíveis para essas regras antes que os itens vulneráveis sejam importados e agrupados. Observe também os seguintes pontos sobre marcadores:
    • O armazenamento de marcador não faz distinção entre maiúsculas e minúsculas. Por exemplo, se você criar um marcador para descrever ativos em seu local de San Diego e criar o marcador San Diego, também não poderá criar um marcador SAN DIEGO e armazená-lo na tabela Etiqueta do ativo. San Diego e SAN DIEGO são considerados a mesma etiqueta do ativo pelo sistema. O marcador que for importado primeiro será o marcador armazenado e reconhecido daqui em diante.
    • Usar etiquetas do ativo como uma chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. As etiquetas do ativo devem ser usadas somente no Construtor de condição.
    • As etiquetas do ativo são controladas pela propriedade do sistema global sn_vul.import_asset_tags. Esta propriedade é definida como verdadeira por padrão. Desabilitar os marcadores os desabilita em todas as Now Platform® instâncias.

    Filtros de recuperação de dados

    As configurações de recuperação de dados ajudam a determinar especificamente o tipo e o escopo dos dados que você deseja importar da aplicação Tenable para sua instância Now Platform®. Para obter uma lista das configurações usadas com mais frequência, consulte Configurações de recuperação de dados para a integração de vulnerabilidade da Tenable.

    Classificação de prioridade de vulnerabilidade (VPR)

    A classificação de prioridade de vulnerabilidade (VPR) é um atributo do produto Tenable que é importado e usado com uma nova calculadora de risco padrão em Vulnerability Response. A Regra de risco da Tenable é instalada com a aplicação Integração do Vulnerability Response com Tenable como parte da Calculadora de risco padrão nas Calculadoras de vulnerabilidade da Vulnerability Response.

    Esta regra de risco está desabilitada por padrão.

    Ao habilitar a regra da calculadora de risco da Tenable, os valores de VPR importados são usados para calcular a pontuação de risco dos itens vulneráveis. A distribuição de peso padrão para esta calculadora de risco: VPR = 70%, Ativo = 15% e Criticalidade dos negócios = 15%. Habilitar esta regra da Calculadora de risco da Tenable pode afetar o desempenho da ingestão de dados. Para obter mais informações sobre calculadoras Vulnerability Response e a regra da calculadora de risco da Tenable, consulte Vulnerability Response calculadoras e regras da calculadora de vulnerabilidade.

    Instalação e configuração

    Depois de baixar o Integração do Vulnerability Response com Tenable do ServiceNow® Store, a instalação e a configuração serão compatíveis com o Assistente de configuração em Vulnerability Response. Para obter mais informações, consulte Configuração de Vulnerability Response usando o Assistente de configuração.