Noções básicas sobre a integração de vulnerabilidade da Tenable

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 12 min. de leitura

    • A aplicação Integração de Resposta a vulnerabilidades com Tenable desenvolvida pela engenharia ServiceNow para a integração de vulnerabilidade da Tenable usa dados importados dos produtos Tenable.io e Tenable.sc para ajudar você a priorizar e corrigir vulnerabilidades de seus ativos. A aplicação está disponível com uma assinatura separada do ServiceNow® Store.

    Nota:
    A partir da v14.9 de Conformidade de configurações, os seguintes termos foram renomeados:
    Tabela 1. Mudanças na terminologia
    Terminologia anterior à v14.9 Terminologia v14.9 em diante
    Grupo de resultados de testes Tarefa de Correção
    Regras de grupo Regras de tarefa de correção
    Política Grupo de teste
    A integração de vulnerabilidade da Tenable emprega duas integrações da Tenable, Tenable.io e Tenable.sc, para importar dados de scanners de terceiros sobre seus ativos e vulnerabilidades. A aplicação Integração de Resposta a vulnerabilidades com Tenable é compatível com o produto Tenable.sc a partir da versão 5.13.
    • Tenable.io é uma integração empresarial baseada na nuvem.
    • Tenable.sc é uma integração no local que oferece a opção de usar um MID Server se o produto Tenable.sc e sua instância Now Platform estiverem no mesmo ambiente.
    • Se o produto Tenable.sc e sua instância Now Platform não estiverem no mesmo ambiente, você precisará usar um MID Server.

    A aplicação Integração de Resposta a vulnerabilidades com Tenable está disponível no ServiceNow Store com uma assinatura separada.

    Para obter listas e descrições das integrações no Integrações de vulnerabilidade da Tenable, consulte Tenable.io integrações com as aplicações Resposta a vulnerabilidades e Conformidade de configurações e Tenable.sc integrações com a aplicação Resposta a vulnerabilidades.

    Figura 1. Integração de vulnerabilidade Tenable
    Fluxo de trabalho de integração de vulnerabilidade da Tenable.

    Versões disponíveis para Xanadu

    Versão de lançamento Notas de versão

    Integração de Resposta a vulnerabilidades com Tenable v3.5, v3.6

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Termos e principais recursos das integrações

    Itens vulneráveis e vulnerabilidades
    Um item vulnerável é criado em sua instância Now Platform quando:
    • Uma vulnerabilidade importada de um scanner de terceiros é correspondida com um ativo existente (um item de configuração em seu CMDB). O produto da Tenable se refere a essas correspondências como vulnerabilidades.
    • Uma vulnerabilidade importada de um scanner de terceiros não corresponde a um ativo existente em seu CMDB. Nesse caso, um IC incompatível também é criado junto com um item vulnerável.

      Para ICs não correspondentes, você também pode usar o Mecanismo de Identificação e Reconciliação (IRE) para criar ICs em duas novas classes quando um IC existente não puder ser correspondido com um host. Caso contrário, ICs incompatíveis serão criados nas classes de IC incompatível. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidades usando o mecanismo de identificação e reconciliação.

    Entradas de vulnerabilidade e plug-ins de terceiros
    As entradas de vulnerabilidade de terceiros são importadas de scanners de terceiros e listadas na tabela Entradas de vulnerabilidade de terceiros na instância Now Platform. As entradas de vulnerabilidade de terceiros da Tenable são ingeridas em Resposta a vulnerabilidades e correspondidas aos ativos existentes listados em CMDB. A Tenable se refere às entradas de vulnerabilidade de terceiros como Plug- ins.
    IC (Configuration Item, item de configuração)
    Itens de configuração são os ativos existentes listados em seu CMDB.
    Item descoberto
    Os ativos ingeridos da importação de ativos da Tenable são correspondidos com os itens de configuração existentes em seu CMDB. Ativos importados são atualizados.

    Se uma correspondência não for encontrada, um IC será criado na classe de IC incompatível do CMDB. Se o plug-in Modelos de classe de IC do CMDB estiver habilitado, o Mecanismo de Identificação e Reconciliação (IRE) criará novos ICs usando novas classes. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidades usando o mecanismo de identificação e reconciliação. Se o IC original incompatível for reclassificado, os registros de itens descobertos serão atualizados para refletir o estado. Os itens descobertos dão visibilidade sobre como os ativos são identificados e mapeados para ICs no CMDB.

    Regras de pesquisa de IC
    Quando os dados são importados de uma integração de terceiros, a Resposta a vulnerabilidades usa automaticamente os dados do host (ativo) para pesquisar correspondências no Configuration Management Database (CMDB). Regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de VI quando os IVs são criados para ajudá-lo na correção.
    Nova verificação e verificação de correção
    Você pode iniciar um comando de nova verificação direcionada em um item de configuração específico, tarefa de correção ou entrada de terceiro diretamente do item vulnerável, tarefa de correção e registros de entrada de vulnerabilidade de terceiros em sua instância Now Platform. A Tenable se refere a esta nova verificação como uma verificação de correção.
    Fechar automaticamente IVs mais antigos
    Com o módulo de fechamento automático de itens vulneráveis obsoletos em seu Now Platform, você pode limpar itens vulneráveis (VI) obsoletos mais antigos que não foram encontrados recentemente por suas integrações de terceiros. Mover esses IVs para Encerrado ajuda a reduzir o número de itens vulneráveis ativos e tarefas de correção e reconciliar ativos em seu CMDB. Você pode usar todas as integrações com Integração de Resposta a vulnerabilidades com Tenable para fechar automaticamente IVs obsoletos.
    Instância
    Este termo se refere a uma ocorrência distinta da sua aplicação Now Platform®.
    Integração
    Uma integração é uma referência específica de produto a uma integração, como a Tenable.io Assets Integration, ou a Tenable.sc Plugin Integration. Essas são as integrações separadas que pertencem a produtos específicos da Tenable na integração de vulnerabilidade da Tenable em sua instância.
    Instância de integração
    Este termo se refere às integrações separadas da Tenable listadas por seus produtos Tenable.io e Tenable.sc.
    Implantação
    Quando uma integração oferece suporte a várias origens, uma existência de integração única e distinta é chamada de implantação da sua integração. O termo é usado para se referir à(s) integração(ões) e produto(s) em seu ambiente. Por exemplo, você pode ter várias implantações de várias integrações dos produtos Tenable.io e Tenable.sc em seu ambiente.

    As integrações Tenable.io e Tenable.sc também incluem os seguintes recursos principais:

    • As descobertas da avaliação de configuração, ou seja, resultados de testes junto com políticas, testes de configuração (controles) e citações com fontes autorizadas podem ser importadas para a aplicação Conformidade de configurações com o produto Tenable.io. Consulte Tenable.io integrações com as aplicações Resposta a vulnerabilidades e Conformidade de configurações e Explorando Conformidade de configurações para obter mais informações sobre como essa integração funciona com a aplicação Conformidade de configurações.
    • A partir da v2.1 do Integrações de vulnerabilidade da Tenable, crie itens de configuração (ICs) exclusivos que incluem diferentes identificadores de partição de rede para ativos em seu ambiente que compartilham o mesmo endereço IP. Identifique os ativos distintos em seu ambiente e atualize os ICs em seu item descoberto existente, item vulnerável e registros de detecção para fornecer mais detalhes sobre suas vulnerabilidades.
    • Você pode programar quando deseja que os trabalhos sejam executados para todas as integrações Tenable.io e Tenable.sc. Você também pode executar trabalhos agendados manualmente sob demanda.
    • Para importações de ativos com Tenable.io, você pode habilitar etiquetas do ativo para organizar e rastrear os ativos listados em seu ambiente CMDB no Tenable.io.
    • As integrações Tenable.io e Tenable.sc permitem configurar regras de pesquisa de IC para definir como os dados de ativos de fontes de terceiros são usados para identificar itens de configuração (ICs) em seu Now Platform CMDB.
    • As integrações Tenable.io e Tenable.sc permitem que você defina filtros de importação na importação de vulnerabilidades para importar somente as vulnerabilidades desejadas da Tenable. Para Tenable.io, você tem a opção de importar vulnerabilidades fixas da Tenable com a importação de vulnerabilidades.
    • Para Tenable.sc, você tem a opção de iniciar novas verificações sob demanda diretamente do item vulnerável, da tarefa de correção e dos registros de entrada de terceiros em sua instância Now Platform. Se os IVs tiverem sido transicionados para Encerrado/Corrigido, mas ainda não estiverem atualizados em sua instância, você poderá verificar se as vulnerabilidades em itens de configuração específicos foram corrigidas. Consulte Iniciar nova verificação para a integração Tenable.sc.

    As seções a seguir listam mais detalhes sobre as integrações da Tenable.

    Funções necessárias de Now Platform

    As tarefas de integração exigem as funções a seguir em sua instância Now Platform.

    administrador
    O administrador do sistema usa o Assistente de configuração para instalar a aplicação Integração de Resposta a vulnerabilidades com Tenable. Se não for atribuído, o administrador atribuirá o administrador de vulnerabilidades (sn_vul.vulnerability_admin) e outras funções no Assistente de configuração.
    sn_vul.vulnerability_admin
    Depois de atribuído, o administrador de vulnerabilidades conclui a configuração das integrações da Tenable no Assistente de configuração. Esta função tem acesso completo à aplicação Resposta a vulnerabilidades (VR) e seus registros. O administrador de vulnerabilidades configura todas as aplicações e regras de VR para integrações de terceiros instaladas.
    sn_vul_tenable.configure_integration
    Essa função contém a função granular sn_vul_tenable.read_integration e os usuários com essa função podem configurar a aplicação Integração de Resposta a vulnerabilidades com Tenable.
    sn_vul_tenable.read_integration
    Usuários com essas funções podem exibir (ler), mas não editar registros da aplicação Integração de Resposta a vulnerabilidades com Tenable.
    Grupo de Resposta a vulnerabilidades
    Por padrão, o grupo de Resposta a vulnerabilidades está disponível no Assistente de configuração. Os usuários atribuídos ao grupo Resposta a vulnerabilidades herdam as funções sn_vul.read_all e sn_vul.remediation_owner automaticamente.

    Itens vulneráveis

    Os itens vulneráveis são agrupados em tarefas de correção de acordo com as regras de tarefa de correção e atribuídos para correção com base nas regras de atribuição. Para obter mais informações, consulte Resposta a vulnerabilidades tarefas de correção e regras de tarefa de correção visão geral e Resposta a vulnerabilidades visão geral das regras de atribuição.

    Regras de pesquisa de item de configuração (IC)

    As Regras de pesquisa de IC identificam ICs e determinam quando adicioná-los a um item vulnerável. Para obter mais informações sobre como as regras de pesquisa de IC funcionam, consulte Regras de pesquisa de IC para identificar itens de configuração de Resposta a vulnerabilidades integrações de vulnerabilidade de terceiros.
    Nota:
    As regras, depois de removidas, não podem ser recuperadas. Em vez de remover as regras existentes, desabilite-as ao criar novas.
    As regras de pesquisa Tenable.io a seguir são enviadas com o sistema de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • Nome do host
    • DNS
    • IP
    As regras de pesquisa Tenable.sc a seguir são enviadas com o sistema de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • IP
    Nota:
    Vários valores para ip_address, mac_address, fqdns e network_interfaces são usados para um ativo. Todos os valores são considerados nas regras de pesquisa de IC para correspondência. Todos os valores são usados para criar vários adaptadores de rede usando o IRE.

    Para obter mais informações sobre como configurar a categorização de recursos de nuvem incompatíveis em sua classe de IC preferencial, consulte Atualizando classe de IC para ativos em nuvem incompatíveis.

    Novas propriedades para ignorar endereços IP

    Em Tenable.io, há duas propriedades disponíveis se você quiser ignorar vários endereços IP ou vários endereços Mac como parte de suas regras de pesquisa de IC:
    ignorarEndereçoIP
    Uma lista de endereços IP a serem ignorados para pesquisa de IC e criação de IC.
    ignoreMacAddress
    Uma lista de endereços MAC a serem ignorados para pesquisa de IC ou criação de IC.

    Itens descobertos

    Este módulo lista os itens de configuração detectados durante a importação das integrações de itens vulneráveis da Tenable e das integrações de ativos da Tenable.
    Nota:
    O filtro padrão para esta lista está definido como Incompatível. Você pode exibir todos os itens descobertos de uma importação removendo o filtro.
    Para obter mais informações sobre o módulo Itens descobertos, consulte Itens Descobertos.

    Etiquetas do ativo

    As etiquetas do ativo (também chamadas de etiquetas de host) são usadas para organizar e rastrear os ativos em sua organização. Você pode atribuir marcadores aos seus ativos. Em seguida, ao iniciar verificações, você pode selecionar marcadores associados aos ativos que deseja verificar. O módulo Etiquetas do ativo permite que você baixe dados de etiqueta do ativo de Tenable.io para sua instância de forma programada. Os dados de ativos que incluem etiquetas de ativos são extraídos de Tenable.io e transformados usando os mapas de transformação de integração de transformação de ativo da Tenable.io.

    Todas as etiquetas do ativo são importadas como parte da integração do ativo Tenable.io. As etiquetas do ativo geralmente são usadas para filtrar em Resposta a vulnerabilidades regras de atribuição e Regras de tarefa de correção. Os marcadores são exibidos no formulário Item descoberto.
    Nota:
    Execute a integração de ativo Tenable.io antes de criar regras de atribuição Resposta a vulnerabilidades ou regras de tarefa de correção na aplicação Resposta a vulnerabilidades para que todos os marcadores estejam disponíveis para essas regras antes que os itens vulneráveis sejam importados e agrupados. Observe também os seguintes pontos sobre marcadores:
    • O armazenamento de marcadores não faz distinção entre maiúsculas e minúsculas. Por exemplo, se você criar um marcador para descrever ativos em seu local de San Diego e criar o marcador San Diego, também não poderá criar um marcador SAN DIEGO e armazená-lo na tabela de etiquetas do ativo. San Diego e SAN DIEGO são consideradas a mesma etiqueta do ativo pelo sistema. O marcador que for importado primeiro será o marcador armazenado e reconhecido daqui em diante.
    • O uso de etiquetas do ativo como chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. As etiquetas do ativo devem ser usadas somente no Construtor de condições.
    • As etiquetas do ativo são controladas pela propriedade do sistema global sn_vul.import_asset_tags. Esta propriedade é definida como verdadeira por padrão. Desabilitar os marcadores os desabilita em todas as Now Platform® instâncias.

    Filtros de recuperação de dados

    As configurações de recuperação de dados ajudam a determinar especificamente o tipo e o escopo dos dados que você deseja importar da aplicação Tenable para sua instância Now Platform®. Para obter uma lista das configurações mais usadas, consulte Configurações de recuperação de dados para a integração de vulnerabilidade da Tenable.

    Classificação de prioridade de vulnerabilidade (VPR)

    A classificação de prioridade de vulnerabilidade (VPR) é um atributo do produto Tenable que é importado e usado com uma nova calculadora de risco padrão em Resposta a vulnerabilidades. A Regra de risco da Tenable é instalada com a aplicação Integração de Resposta a vulnerabilidades com Tenable como parte da Calculadora de risco padrão nas Calculadoras de vulnerabilidade de Resposta a vulnerabilidades.

    Esta regra de risco está desabilitada por padrão.

    Ao habilitar a regra da calculadora de risco da Tenable, os valores de VPR importados são usados para calcular a pontuação de risco dos itens vulneráveis. A distribuição de peso padrão para esta calculadora de risco: VPR = 70%, Ativo = 15% e Criticalidade dos negócios = 15%. Habilitar esta regra da Calculadora de risco da Tenable pode afetar o desempenho de ingestão de dados. Para obter mais informações sobre Resposta a vulnerabilidades calculadoras e a regra da calculadora de risco da Tenable, consulte Resposta a vulnerabilidades calculadoras e regras da calculadora de vulnerabilidade.

    Instalação e configuração

    Depois de baixar o Integração de Resposta a vulnerabilidades com Tenable do ServiceNow® Store, a instalação e a configuração são compatíveis com o Assistente de configuração em Resposta a vulnerabilidades. Para obter mais informações, consulte Configuração de Resposta a vulnerabilidades usando o Assistente de configuração.