Noções básicas sobre Integração com Rapid7 Vulnerability

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 10 min. de leitura

    • O ServiceNow® Integração com Rapid7 Vulnerability usa dados importados do data warehouse [ Rapid7 ou dos produtos Rapid7 InsightVM para ajudar você a determinar o impacto e a prioridade de ameaças potencialmente mal-intencionadas.

    Rapid7 Nexpose sensores coletam dados e os enviam automaticamente para os produtos Rapid7 de data warehouse (no local) ou Rapid7 InsightVM (baseados na nuvem), que analisam e correlacionam continuamente as informações. Ele se integra facilmente com ServiceNow® Resposta a vulnerabilidades para mapear vulnerabilidades para ICs e serviços. O Integração com Rapid7 Vulnerability aprimora os dados de vulnerabilidade em sua instância.

    Rapid7 integrações são pontos de entrada que interagem com o data warehouse [ Rapid7 ou produtos Rapid7 InsightVM, invocados como trabalhos agendados. Os trabalhos agendados simplificam o ciclo de vida de correção de vulnerabilidades, mantendo a instância sincronizada com outros sistemas de gestão de vulnerabilidades. Os trabalhos agendados são executados automaticamente e na ordem especificada. Você também pode executar trabalhos agendados individuais manualmente.
    Nota:
    Se você usar o data warehouse [ Rapid7 e Rapid7 InsightVM como origens para seus dados, corre o risco de ter registros de vulnerabilidade duplicados.
    Nota:
    Ao migrar do tipo de integração de data warehouse para o tipo InsightVM, você pode desduplicar os registros de data warehouse existentes. Para obter mais informações, consulte Desduplicar Integração com Rapid7 Vulnerability registros de data warehouse.
    Se você tiver várias implantações da integração de vulnerabilidade Rapid7 InsightVM, poderá adicionar uma integração para cada implantação. Os ativos, identificados por várias implantações de terceiros e suas vulnerabilidades, são consolidados e reconciliados com o seu CMDB. Essa consolidação acontece mesmo quando os processos de verificação se sobrepõem entre as várias implantações. Os dados obtidos de cada implantação são identificados e estão disponíveis em uma única instância de Resposta a vulnerabilidades.
    Nota:
    Você não pode excluir a integração de vulnerabilidade original, mas pode desativá-la. As integrações criadas a partir de modelos desabilitados são desabilitadas por padrão.

    Há um usuário executar como configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Não altere este valor.

    Versões disponíveis

    Versão de lançamento para Xanadu Notas de versão

    Integração com Rapid7 Vulnerability v13.6, 13.7

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Funções

    Rapid7 As tarefas de integração de vulnerabilidade envolvem as funções a seguir.
    • sn_vul_r7.admin: pode ler, gravar e excluir registros.
    • sn_vul_r7.user: pode ler e gravar registros.
    • sn_vul_r7.read: pode ler registros.

    Personas e funções granulares estão disponíveis para ajudá-lo a gerenciar o que usuários e grupos podem ver e fazer na aplicação Resposta a vulnerabilidades. Para obter uma atribuição inicial das funções de persona no Assistente de configuração, consulte Atribua as funções de persona Resposta a vulnerabilidades usando o Assistente de configuração. Para obter mais informações sobre como gerenciar funções granulares, consulte Gerenciar persona e funções granulares para Resposta a vulnerabilidades.

    Integrações do Integração com Rapid7 Vulnerability

    Para exibir o Integração com Rapid7 Vulnerability, navegue até Rapid7 > Administração > Integrações.

    As seguintes integrações estão incluídas no sistema de base.

    Tabela 1. Rapid7 integrações de data warehouse
    Integração Descrição
    Integração com Rapid7 Vulnerability Recupera dados de vulnerabilidade de Rapid7 Nexpose e os processa em sua instância.
    Rapid7 Integração da lista de ativos Recupera dados de verificação uma vez por semana do Rapid7 Nexpose data warehouse e os armazena no módulo Itens descobertos em sua instância. Ajuda a identificar ativos que não foram verificados recentemente usando a data da última verificação. Exiba a hora da última verificação na lista de itens descobertos em Resposta a vulnerabilidades.
    Rapid7 Integração de categoria Recupera informações de categoria de Rapid7 Nexpose. As categorias fornecem classificação de alto nível para vulnerabilidades.
    Rapid7 Explorar integração Recupera informações de exploração de Rapid7 Nexpose.
    Rapid7 Integração do kit de malware Recupera informações do kit de malware de Rapid7 Nexpose.
    Rapid7 Integração de referência Recupera referências a documentos de autoridade externa, como CVEs ou referências de vulnerabilidade específicas do fornecedor.
    Rapid7 Integração de solução Recupera dados de solução de Rapid7 Nexpose, que fornece soluções recomendadas para vulnerabilidades específicas.
    Rapid7 Integração da solução de substituição Recupera informações sobre quais soluções foram substituídas por outras soluções.
    Rapid7 Integração da solução de pré-requisito Recupera informações sobre as soluções que são pré-requisitos para outras soluções. Quando esta integração é executada, ela busca o mapeamento de soluções e soluções de pré-requisito do data warehouse Rapid7.
    Nota:
    Esta integração funciona somente se o plug-in Solução de gestão de vulnerabilidade estiver ativado.
    Rapid7 Integração do mapa de solução de vulnerabilidade Recupera o mapeamento para associar soluções a vulnerabilidades.
    Rapid7 Integração de item vulnerável Recupera dados de item vulnerável de Rapid7 Nexpose e os processa em sua instância.

    As saídas desta integração são itens vulneráveis.
    Rapid7 Integração de resolução de item vulnerável

    Recupera informações sobre quais itens vulneráveis estão marcados como encerrados em Rapid7 Nexpose e fecha os itens vulneráveis correspondentes em Resposta a vulnerabilidades.
    Rapid7 Integração de site Recupera dados do site de Rapid7 Nexpose. Um site é uma coleção de ativos que são direcionados para uma verificação.
    Rapid7 Integração da lista de ativos Recupera marcadores de host e dados de verificação uma vez por semana do data warehouse Rapid7 e os armazena no módulo Itens descobertos em sua instância. Ajuda a identificar ativos que não foram verificados recentemente usando a data da última verificação. Exibir a hora da última verificação na lista de itens descobertos em Resposta a vulnerabilidades
    Rapid7 Integração Abrangente de Item Vulnerável Importa todas as detecções do Rapid7 para todos os itens de configuração verificados desde a última execução de integração bem-sucedida. Com base nos dados importados mais atuais, os itens vulneráveis encontrados não recentemente durante as verificações são transicionados automaticamente para "Fechado" quando o módulo de fechamento automático de itens vulneráveis obsoletos está habilitado.
    Tabela 2. Integrações do Rapid7 InsightVM
    Integração Descrição
    Rapid7 Integração de item vulnerável — API Recupera dados de itens vulneráveis do Rapid7 InsightVM e os processa em sua instância.
    Integração com Rapid7 Vulnerability — API Recupera dados de referência, categoria, exploração, kit de malware e vulnerabilidade do Rapid7 InsightVM e os processa em sua instância.
    Rapid7 Integração da lista de ativos - API Recupera marcadores de host e dados de verificação uma vez por semana de Rapid7 InsightVM e os armazena no módulo Itens descobertos em sua instância. Ajuda a identificar ativos que não foram verificados recentemente usando a data da última verificação. Exiba a hora da última verificação na lista de itens descobertos em Resposta a vulnerabilidades.
    Rapid7 Integração abrangente de item vulnerável - API Importa todas as detecções do Rapid7 para todos os itens de configuração verificados desde a última execução de integração bem-sucedida. Com base nos dados importados mais atuais, os itens vulneráveis encontrados não recentemente durante as verificações são transicionados automaticamente para "Fechado" quando o módulo de fechamento automático de itens vulneráveis obsoletos está habilitado.
    Rapid7 Integração de site Recupera dados do site do produto Rapid7 InsightVM. Esta integração está definida para ser executada semanalmente às 00:00:00.

    Durante a importação, os registros CVE que ainda não estão presentes são criados como registros do NVD e referenciados em entradas de terceiros para Rapid7 por padrão. A integração de modelo para Rapid7 não pode ser excluída. Em vez disso, desabilite-o.

    O Conector do Service Graph para Rapid7

    A partir da versão 2.0, o Conector do Service Graph para Rapid7 está disponível no ServiceNow® Store. Para obter mais informações, consulte Service Graph Connector for Rapid7.

    Regras de Pesquisa de IC

    As Regras de pesquisa de IC determinam como preencher o campo Item de configuração em um registro de item vulnerável.

    Para obter mais informações sobre como as regras de pesquisa de IC funcionam, consulte Regras de pesquisa de IC para identificar itens de configuração de Resposta a vulnerabilidades integrações de vulnerabilidade de terceiros.

    Para criar ou editar regras de pesquisa, consulte Criar uma regra de pesquisa de IC de resposta a vulnerabilidades.
    Nota:
    As regras, depois de removidas, não podem ser recuperadas. Em vez de remover as regras existentes, desative-as ao criar novas.

    Itens Descobertos

    Este módulo lista os itens de configuração detectados durante a importação das Rapid7 Integrações de itens vulneráveis (data warehouse ou API do InsightVM) e da Rapid7 Integração da lista de ativos - API. A Rapid7 Asset List Integration - API importa todos os ativos do Rapid7 verificados quanto a vulnerabilidades desde a última execução da integração. A Integração da lista de ativos do data warehouse Rapid7 está incluída.
    Nota:
    O filtro padrão para esta lista está definido como Incompatível. Você pode exibir todos os itens descobertos de uma importação removendo o filtro.

    Consulte Itens Descobertos em Resposta a vulnerabilidades para obter mais informações sobre o módulo Itens descobertos.

    Marcadores de host

    Os marcadores de host são importados como parte da Rapid7 Asset List Integration - Integração de API para Rapid7 InsightVM. Eles são usados principalmente para filtragem em Resposta a vulnerabilidades Regras de atribuição e tarefa de correção em Rapid7 InsightVM. Eles são exibidos no formulário Item descoberto.

    Marcadores de host
    Nota:
    A integração Rapid7 de lista de ativos - integração de API deve ser executada antes da criação de Regras de atribuição ou de tarefa de correção em Resposta a vulnerabilidades para que todos os marcadores possam estar presentes nas regras e antes que os itens vulneráveis sejam importados e agrupados.
    • O armazenamento de marcadores não faz distinção entre maiúsculas e minúsculas. Se um marcador San Diego for criado, um marcador SAN DIEGO não poderá ser armazenado na tabela de marcadores do host. “San Diego” e “SAN DIEGO” são considerados o mesmo marcador de host. O marcador que foi importado primeiro vence.
    • Usar marcadores de host como uma chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. Os marcadores de host devem ser usados somente no Construtor de condições.
    • Os marcadores de host são controlados pela propriedade do sistema global sn_vul.import_host_tags. Esta propriedade é definida como verdadeira por padrão. A desativação dos marcadores os desativa em todas as instâncias.

    Sites

    Um site é uma coleção de ativos direcionados para uma verificação. Um site consiste em ativos de destino, um modelo de verificação, um ou mais mecanismos de verificação e outras configurações relacionadas à verificação, como cronogramas ou alertas. Os sites são gerenciados por Rapid7 aplicações.

    Integração com Rapid7 Vulnerability A filtragem de site durante a configuração permite categorizar e solicitar ativos por site durante a importação. Consulte Filtrando por Rapid7 sites para obter mais informações sobre como filtrar importações.

    As integrações de data warehouse Rapid7 InsightVMRapid7 e Sites [] importam sites como um trabalho agendado semanalmente.

    Para exibir os sites importados em uma lista, navegue até Rapid7 > Sites.

    Reabrir itens vulneráveis resolvidos não encerrados por verificações

    Itens vulneráveis definidos como "Resolvidos" em sua instância Now Platform, mas não transicionados para "Fechados/Corrigidos" pelas execuções de integração subsequentes, serão reabertos se forem detectados durante novas verificações.

    Para Rapid7 detecções, uma opção agora está disponível na página de configuração do Rapid7 em sua instância para reabrir IVs resolvidos por idade. Se habilitado, os IVs definidos como "Resolvidos", mas não transicionados para "Fechados/Corrigidos" pelas verificações subsequentes, retornam para "Aberto" após o número de dias inserido.

    Criar ICs usando o Mecanismo de Identificação e Reconciliação (IRE)

    Você pode usar o Mecanismo de Identificação e Reconciliação para criar novos ICs quando um IC existente não puder ser correspondido com um host importado de um scanner de terceiros. Habilite o plug-in Modelos de classe de IC do CMDB para criar ICs usando as novas classes, caso contrário, ICs incompatíveis serão criados nas classes de IC incompatível. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidades usando o mecanismo de identificação e reconciliação. Para obter mais informações sobre como configurar a categorização de recursos de nuvem incompatíveis em sua classe de IC preferencial, consulte Atualizando classe de IC para ativos em nuvem incompatíveis.

    Verificar novamente itens vulneráveis

    Inicie novas verificações na plataforma Rapid7 para verificar se os itens vulneráveis foram corrigidos entre os ciclos de verificação programados. Consulte Iniciar nova verificação para a integração de vulnerabilidade Rapid7.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    Rapid7 gestão de soluções

    Se você ativou o plug-in Solução de gestão de vulnerabilidade, as soluções Rapid7Rapid7 para o data warehouse [] e Rapid7 InsightVM ] serão preenchidas na tabela Soluções de vulnerabilidade [sn_vul_solution]. No entanto, se você não ativou o plug-in Solução de gestão de vulnerabilidade, o Integração com Rapid7 Vulnerability funcionará como está e importará as soluções na tabela [sn_vul_r7_solution] personalizada. Para obter mais informações, consulte Rapid7 gestão de soluções.