Iniciar nova verificação para a integração Tenable.sc

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Verifique se seus itens vulneráveis foram corrigidos entre os ciclos de verificação programados iniciando novas verificações na plataforma Tenable. Você pode iniciar uma nova verificação sob demanda de itens vulneráveis para o produto Tenable.sc da sua instância Now Platform®.

    Antes de Iniciar

    Funções necessárias: sn_vul.write_all ou sn_vul.write_assigned
    Nota:
    Tenable.sc não é compatível com o início de uma nova verificação em máquinas baseadas em agente.

    Verifique se o scanner está ativado antes de começar. Navegar até Resposta a vulnerabilidades > Verificação de Vulnerabilidades > Scanners.

    Por Que e Quando Desempenhar Esta Tarefa

    Para iniciar uma nova verificação a partir dos espaços, consulte Verificar novamente itens vulneráveis Tenable.io e Tenable.sc dos espaços Resposta a vulnerabilidades.

    Siga as etapas listadas abaixo para iniciar uma nova verificação no ambiente clássico.

    Para ajudar a reduzir a sobrecarga e o volume envolvidos nas verificações completas programadas, responsáveis pela correção, especialistas em TI, analistas de vulnerabilidade ou gerentes de vulnerabilidade podem iniciar novas verificações direcionadas sob demanda para vulnerabilidades específicas em ativos (itens de configuração) em seus ambientes. Você pode iniciar novas verificações a partir de itens vulneráveis (VI), tarefas de correção (RT), entradas de terceiros (TPE) ou registros de itens descobertos da sua instância Now Platform.

    As novas verificações permitem que os proprietários de correção e os analistas de vulnerabilidade verifiquem se suas atividades de correção, patches e outras ações corrigiram vulnerabilidades específicas em seus itens de configuração (ICs).

    Por exemplo, todo o ambiente é verificado uma vez a cada três semanas. A verificação completa mais recente foi concluída há uma semana, mas você aplicou um patch ontem para corrigir uma vulnerabilidade crítica. Devido à natureza desta vulnerabilidade, você não pode esperar duas semanas pela próxima verificação programada para verificar se ela foi corrigida. Para verificar se o patch corrigiu com sucesso uma vulnerabilidade crítica descoberta durante uma verificação anterior, você pode iniciar uma nova verificação direcionada a partir de seus Now Platform para Tenable.sc itens vulneráveis.

    Nota:
    Ao solicitar uma nova verificação da instância Now Platform®, a seleção das credenciais Integração de Resposta a vulnerabilidades com Tenable é opcional. A ServiceNow® Tenable.sc Scan Credential Integration importa e atualiza as credenciais do scanner do produto Tenable.sc em sua instância. Esta integração é executada semanalmente para importar e armazenar com segurança seus dados de credenciais da Tenable.

    Observe que esses dados importados não incluem senhas da Tenable ou outras informações confidenciais de conta da Tenable. A ServiceNow® Tenable.sc Integração de credencial de verificação é habilitada (Ativo) automaticamente no Assistente de configuração em sua instância quando você configura as Tenable.sc Integrações de vulnerabilidades (Tenable.sc Integrações de vulnerabilidades abertas e corrigidas).

    Observe as seguintes informações sobre as credenciais importadas para que os usuários possam vê-las conforme necessário na instância Now Platform :
    • As credenciais criadas com a função de usuário de administrador Tenable.sc estão disponíveis para usuários em todas as suas organizações.
    • As credenciais criadas com a função de usuários organizacionais Tenable.sc estão disponíveis somente para usuários dentro dessa organização. Essas credenciais não são importadas para o Now Platform para usuários fora da organização do criador, a menos que sejam compartilhadas com a conta do usuário que está sendo usada para se conectar à instância.

    Consulte o site de documentação Tenable.sc para obter mais informações.

    Consulte Configurar a Integração de vulnerabilidade da Tenable usando o Assistente de configuração para obter mais informações sobre como configurar a aplicação Tenable.sc. Para exibir mais informações sobre a Integração de credencial de verificação, navegue até Todos > Integração de vulnerabilidade Tenable > Integrações > Integração de credencial de verificação da Tenable.sc.

    Durante a execução da integração, vários processos são gerados e os dados são recebidos na forma de páginas. Cada processo pode conter uma ou mais entradas de fila de importação com dados anexados em páginas. Essas entradas devem processar os dados dentro do limite de uma hora. No entanto, se o tamanho da carga for grande, o tempo de processamento poderá exceder uma hora ou ficar travado, resultando em um erro de tempo limite de integração. A integração continua a processar os dados, apesar do erro de tempo limite. Para evitar essa falha de comunicação, a partir da versão 18.2.4 de Resposta a vulnerabilidades, os carimbos de data/hora (pulsações) são enviados periodicamente para indicar se a fila está ativa e processando dados. O campo Último registro processado na página Entrada da fila de importação é atualizado com base na contagem de registros que a fila de importação cria ou atualiza. Caso uma entrada da fila de importação exceda o limite de uma hora, o sistema verificará o campo Último registro processado para ver se ele também tem mais de uma hora. Se estiver, isso indica que a entrada da fila de importação está travada e expirou para evitar mais atrasos no processamento.
    Nota:
    O campo Último registro processado é atualizado com base no que está definido nas seguintes propriedades do sistema:
    • sn_sec_cmn.record_threshold_heartbeat: define o número de registros processados, após o qual a pulsação (carimbo de data/hora) é enviada para a entrada da fila de importação.
    • sn_sec_cmn.maximum_heartbeat_delay: define o tempo após o qual a entrada da fila de importação deve atingir o tempo limite.

    Procedimento

    1. Navegar até Todos > Resposta a vulnerabilidades > Itens vulneráveis.
    2. Localize o registro de item vulnerável a partir do qual você deseja acionar uma nova verificação e abra-o.
      Nota:
      Você só pode iniciar novas verificações de IVs com Tenable.sc como origem. Verifique se Tenable.sc é exibido na coluna Origem nas exibições de lista de VI ou nos campos Origem em registros individuais. Você pode usar o construtor de condições para agrupar IVs por origem. Ou, se a coluna Origem não for exibida na exibição de lista de VI, no canto superior esquerdo da lista, clique no ícone Personalizar lista (ícone de engrenagem) e use o Slushbucket para mover a Origem de Disponível para Selecionado.
    3. Como alternativa, navegue até Todos > Resposta a vulnerabilidades > Tarefas de correção ou Resposta a vulnerabilidades > Bibliotecas > Terceiros para a tarefa de correção ou registros de entrada de terceiros, respectivamente, que você deseja usar para a nova verificação.

      Dependendo da sua escolha, o botão Verificar novamente está disponível nos seguintes registros:

      • Em um único registro de VI, o VI deve ser do produto Tenable.sc e estar em qualquer estado diferente de Closed. Para vários registros de VI, todos os IVs devem ser do produto Tenable.sc e estar em qualquer estado diferente de Closed.
      • Em um registro de RT, a tarefa de correção pode estar em qualquer estado diferente de Encerradoe todos os IVs associados devem ser do produto Tenable.sc.
      • Em um registro de entrada de terceiros (TPE), o registro deve ter pelo menos um registro VI associado do produto Tenable.sc em qualquer estado diferente de Encerrado.
    4. No canto superior direito do registro, clique em Verificar novamente.
      Você será solicitado a escolher as credenciais do scanner para acessar o scanner. Estas são as credenciais importadas pela Tenable.sc Scan Credential Integration.
    5. Na caixa de diálogo, selecione os filtros e tipos de credenciais desejados.
    6. Clique em Solicitar verificação.

      Uma mensagem é exibida indicando que a verificação está sendo processada. O status de todas as novas verificações pode ser encontrado a qualquer momento nas listas relacionadas a Verificação nos registros VI, RT e TPE usados para iniciar as novas verificações. Na mensagem, clique em Exibir detalhes para exibir o status da nova verificação e outras verificações iniciadas a partir de um determinado registro.

      O campo Estado no registro de verificação primário é marcado como concluído depois que todas as verificações secundárias são concluídas com sucesso. O secundário verifica os dados de importação. O registro de verificação primário é um contêiner para as verificações secundárias.

      Sua instância Now Platform® rastreia o status da nova verificação até que ela seja concluída com sucesso ou até que o período de acompanhamento definido expire, o que acontecer primeiro. O tempo limite não interrompe a verificação. O tempo limite se refere a quando o Now Platform® parou de rastrear seu status de nova verificação, não quando a nova verificação real parou. Todos os IVs que fizeram ou farão a transição para Encerrado/Corrigido são importados com a próxima importação programada da Integração de vulnerabilidades fixas da Tenable.sc.