Configurar a Integração de vulnerabilidade da Tenable usando o Assistente de configuração

Gestão de segurança do Xanadu

Release

xanadu

ft:locale

pt-BR

ft:publication_title

Gestão de segurança do Xanadu

ft:clusterId

security

bundleId

security

workflow

Technology

Configurar a Integração de vulnerabilidade da Tenable usando o Assistente de configuração

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

10 min. de leitura

Depois de instalar a aplicação Integração de Resposta a vulnerabilidades com Tenable, configure-a usando o Assistente de configuração.

Antes de Iniciar

Use as seções a seguir para complementar as instruções e avisos fornecidos no Assistente de configuração para a integração Integração de Resposta a vulnerabilidades com Tenable.

Verifique se você já instalou a aplicação antes de começar. Para obter mais informações, consulte Instalar Resposta a vulnerabilidades aplicações de terceiros usando o Assistente de configuração.
Consulte Preparação para a integração de vulnerabilidade da Tenable para obter mais informações antes de configurar o Tenable para Resposta a vulnerabilidades.
Verifique se você tem credenciais de conta de terceiros disponíveis. Eles são necessários para editar algumas aplicações de terceiros.

Funções necessárias: Administrador do sistema (admin) para instalação, Administrador de vulnerabilidade (sn_vul.vulnerability_admin) ou sn_vul.admin (descontinuado) e Configurar integração (sn_vul_tenable.configure_integrations) para configuração.

Procedimento

Se não for exibido, navegue até Todos > Resposta a vulnerabilidades > Administração > Assistente de configuração > Configuração de Integração > Integrações do Scanner.

As integrações Tenable.io e Tenable.sc são exibidas.

A Tenable é uma integração de várias origens e você pode ter várias implantações da mesma integração de terceiros. As configurações da integração de terceiros original são usadas como modelo para as configurações de cada nova integração.

Nota:
Se você excluir a integração de vulnerabilidade original, precisará selecionar outra integração para usar como modelo. Considere desabilitar a integração em vez de excluí-la. As integrações criadas a partir de modelos desabilitados são desabilitadas por padrão.

Os dados de cada integração de terceiros são identificados exclusivamente e estão disponíveis em uma única instância de Resposta a vulnerabilidades.
À direita da integração da Tenable que você deseja configurar, clique em Editar.
No formulário Credenciais da conta, preencha os campos.
- Tenable.io requer acesso de administrador com um atributo de permissão maior ou igual a 64.
  Nota:
  A partir da versão 3.8 da Integração de resposta a vulnerabilidades com Tenable, o acesso ao Tenable.io não precisa mais de privilégios de administrador. Um usuário básico com um atributo de permissão igual a 16 também pode acessar o produto.
- Tenable.sc requer acesso de Analista de segurança ou Gerente.
1. Selecione seu produto Tenable.
2. Insira o nome da sua conta da Tenable.
3. No campo URL da instância, insira o URL da sua plataforma Tenable.
4. Selecione um método de autenticação.
  Com base na sua versão de Tenable.sc, você tem duas opções de autenticação:
  1. A partir da v5.13 de Tenable.sc, selecione Autenticação de chave de API. Insira suas chaves secretas e de acesso da Tenable.
  2. Antes da v5.13, a autenticação de usuário era compatível com sua instância Now Platform® e era obrigatória. Insira seu Now Platform nome de usuário e senha.
  Somente a autenticação de chave de API é compatível com Tenable.sc. Insira suas chaves secretas e de acesso da Tenable.
5. Opcional: Selecione um MID Server.
  Se sua instância Now Platform e sua aplicação Tenable.sc não estiverem no mesmo local, escolha um MID Server configurado na lista de seleção. Para obter mais informações, consulte MID Server.
  - A partir da v15.0 de Resposta a vulnerabilidades e v3.0 de Integrações de vulnerabilidade da Tenable, você tem a opção de habilitar o parâmetro Async_request conforme descrito em Configurações de recuperação de dados para a integração de vulnerabilidade da Tenable. Algumas configurações com a Tenable serão necessárias se você quiser fazer chamadas síncronas. Entre em contato com o produto da Tenable para obter ajuda. Depois de ativado, este parâmetro é aplicável a todas as integrações do Tenable.sc e há um tempo limite de 30 segundos. Para exibir os scripts de correção, navegue até Definição do Sistema > Scripts de correção.
  - Para clientes existentes, um script de correção estará disponível se você estiver usando chamadas assíncronas.
  Se sua instância Now Platform e sua aplicação Tenable.sc estiverem no local, embora não sejam necessárias, você terá a opção de selecionar um MID Server configurado na lista de seleção.
  Nota:
  Independentemente de você optar por empregar um MID Server ou não, as integrações expiram após cinco minutos e uma mensagem é exibida quando não há resposta do servidor.
  Se você receber um erro de tempo limite, no Assistente de configuração, verifique se inseriu as credenciais e a URL corretas.
Clique em Avançar para salvar suas mudanças e prosseguir para o primeiro formulário de integração.
O formulário Configuração de importação de ativo é exibido.
Neste formulário, ative ou desative a Integração de importação de ativos, determine a data de início inicial dos ativos que você deseja importar e programe quando a importação de ativos da Tenable deve ser executada.
Para Tenable.io
- A integração de ativos pode ser usada com os resultados de conformidade Tenable.io e a integração de preenchimento de resultados de conformidade para importar dados de avaliação de configuração seguros sobre seus ativos para a aplicação Conformidade de configurações.
- A versão 12.2 da aplicação Conformidade de configurações é necessária em sua instância se você quiser importar e exibir esses dados de avaliação de configuração segura.
  Consulte Conformidade de configurações dados importados para obter mais informações sobre quais dados são importados com essas integrações e onde eles são publicados.
- Os Tenable.io Resultados de conformidade e Integrações de preenchimento de resultados de conformidade não são ativados por padrão. Se você ativá-los, talvez prefira usar as configurações de programação padrão fornecidas. Consulte as etapas listadas abaixo para saber como localizar e ativar integrações para o Integrações de vulnerabilidade da Tenable.
- Você pode iniciar uma nova verificação sob demanda de itens vulneráveis para o produto Tenable.io da sua instância. A integração de modelo Tenable.io e a integração de credencial de verificação Tenable.io precisam ser ativadas antes de iniciar novas verificações.
Por padrão, essas integrações estão desativadas. Quando você insere suas credenciais para Tenable.io, todas as integrações Tenable.io são ativadas automaticamente. Para ativar ou desativar manualmente essas integrações:
1. Navegar até Integração de vulnerabilidade Tenable > Administração > Integrações.
2. Na lista exibida, localize os registros de integração Tenable.io desejados.
3. Abra cada registro e marque a caixa de seleção Ativo para ativar a integração.
4. Clique em Atualizar para salvar suas mudanças.
5. Retorne ao Assistente de configuração para continuar com a configuração para Integrações de vulnerabilidade da Tenable com Resposta a vulnerabilidades.
- Para a integração Tenable.io, você também tem a opção de ativar e desativar a importação de etiquetas do ativo. As etiquetas do ativo são importadas por padrão e usadas para organizar e rastrear os ativos listados em seu CMDB no ambiente Tenable.io.
- Para os produtos Tenable.io e Tenable.sc, se você selecionar Habilitar pesquisa por partição de rede em Pesquisar por partição de rede, poderá criar ICs individuais usando o mecanismo de identificação e reconciliação (IRE) para seus ativos que têm o mesmo endereço IP. Para obter mais informações, consulte Atualizar itens de configuração com o identificador de partição de rede para o Integrações de vulnerabilidade da Tenable e Criando ICs para Resposta a vulnerabilidades usando o mecanismo de identificação e reconciliação.
- Na parte superior da tela, ao lado do link Importação de ativo, clique no link Regras de pesquisa de IC para exibir as regras de pesquisa de item de configuração (IC) padrão. As regras de pesquisa de IC definem como os dados de ativos de fontes de terceiros são usados para identificar itens de configuração (IC) no Now Platform CMDB. Você tem a opção de adicionar regras de pesquisa ou modificar as regras de pesquisa de IC padrão nesta página. Para obter mais informações, consulte Regras de pesquisa de IC para identificar itens de configuração de Resposta a vulnerabilidades integrações de vulnerabilidade de terceiros.
- Clique em Importar ativos agora para importar dados sob demanda.
- O link Configurações avançadas direciona você para o registro de integração de ativos. A partir da v3.3, você pode adicionar parâmetros que são compatíveis com o produto Tenable.io para suas consultas programadas para ajudá-lo a filtrar os dados de vulnerabilidade importados com os Ativos Tenable.io e as Integrações de vulnerabilidades fixas e abertas. Consulte Definir parâmetros de filtro adicionais para Tenable.io importações para obter mais informações.
Clique em Avançar para salvar suas mudanças e prosseguir para o próximo formulário.
O formulário Configuração de importação de plug-ins é exibido.
Neste formulário, habilite ou desabilite a importação de plug-ins (entradas de vulnerabilidade de terceiros), determine a data de início inicial dos plug-ins que você deseja importar e programe quando a importação de plug-ins da Tenable deve ser executada.
Se você quiser importar todos os plug-ins, vulnerabilidades e ativos, deixe a data de início inicial em branco.
- Clique em Importar plug-ins agora para importar dados sob demanda.
- O link Configurações avançadas direciona você para o registro de integração de plug-ins.
- Para a importação de vulnerabilidades, você pode programar e definir níveis de gravidade para Tenable.io para as vulnerabilidades que deseja ingerir. Determine uma data para que somente as vulnerabilidades criadas ou atualizadas a partir de uma data específica sejam importadas.
- Para a integração Tenable.sc, você pode determinar um filtro de consulta e uma data para que somente as vulnerabilidades criadas ou atualizadas a partir de uma data específica sejam importadas.
Clique em Avançar para salvar suas mudanças e prosseguir para o próximo formulário.
O formulário Configuração de importação de vulnerabilidades é exibido. Habilite ou desabilite a integração e determine a data de início inicial das vulnerabilidades que você deseja importar.
Para o produto Tenable.io :
- Importe somente as vulnerabilidades e IVs associados que correspondam às condições escolhidas com o filtro de gravidade.
- Para a integração de ativos [ Tenable.io, Last Scan Time é importado e atualizado somente para ativos que têm vulnerabilidades.
- Habilite a opção Vulnerabilidades corrigidas para exibir IVs para registros de detecção corrigidos. Se este sinalizador estiver habilitado no Assistente de configuração, novos IVs serão criados para detecções no estado Fixo que ainda não existem na sua instância. Quando habilitado, este recurso pode afetar negativamente o desempenho de ingestão.
- O link Configurações avançadas ao lado de Importar filtros aponta para o registro de integração de vulnerabilidades.
- Clique no link Importar cronogramas na parte superior para configurar a frequência com que as vulnerabilidades são ingeridas e habilitar a integração.
Para o produto Tenable.sc :
- Importe somente as vulnerabilidades e IVs associados que correspondam aos filtros de condição definidos por uma consulta da Tenable na plataforma Tenable. Consulte a documentação da Tenable para obter mais informações sobre consultas da Tenable.
  O filtro de consulta da Tenable selecionado no Assistente de configuração também se aplica à integração de ativos Tenable.sc. Somente os ativos com as vulnerabilidades que correspondem às condições do filtro de consulta são importados.
- Habilite a opção Vulnerabilidades corrigidas para exibir IVs para registros de detecção corrigidos. Se este sinalizador estiver ativo no Assistente de configuração, novos IVs serão criados para detecções no estado Fixo que ainda não existem na sua instância. Quando ativo, este recurso pode afetar negativamente o desempenho de ingestão.
- Para incluir o identificador de partição de rede na pesquisa de endereço IP, selecione Habilitar pesquisa por partição de rede caixa de seleção do Pesquisa por partição de rede seção. Para obter mais informações, consulte Atualizar itens de configuração com o identificador de partição de rede para o Integrações de vulnerabilidade da Tenable.
- Clique em Importar cronogramas na parte superior para configurar a frequência com que as vulnerabilidades são ingeridas e habilitar a integração.
- O link Configurações avançadas ao lado de Importar filtros aponta para o registro de integração de vulnerabilidades.
- A ServiceNow® Tenable.sc Integração de credencial de verificação é habilitada (Ativo) automaticamente no Assistente de configuração em sua instância quando você configura as Tenable.sc Integrações de vulnerabilidades (Tenable.sc Integrações de vulnerabilidades abertas e corrigidas).
  Esta integração importa e atualiza as credenciais do scanner do produto Tenable.sc em sua instância. Esta integração é executada semanalmente para importar e armazenar com segurança seus dados de credenciais da Tenable. Navegar até Integração de vulnerabilidade Tenable > Integrações > Integração de credencial de verificação da Tenable.sc para exibir mais informações sobre a Integração de credencial de verificação.
Clique em Concluir para salvar suas mudanças e concluir a configuração no Assistente de configuração.

O que Fazer Depois

(Opcional) Navegue até Todos > Resposta a vulnerabilidades > Administração > Calculadoras de vulnerabilidade > Calculadora de Risco Padrão > Regra de risco da Tenable para habilitar a regra de risco da Tenable.

No formulário Regra da calculadora de vulnerabilidade exibido, marque a caixa de seleção Ativo para habilitá-lo.

A Regra de risco da Tenable é instalada com a aplicação Integração de Resposta a vulnerabilidades com Tenable como parte da Calculadora de risco padrão nas Calculadoras de vulnerabilidade de Resposta a vulnerabilidades. A classificação de prioridade de vulnerabilidade (VPR) é um atributo do produto Tenable que é importado e usado com a nova calculadora de risco padrão. Esta regra de risco está desativada por padrão. Ao habilitar a regra da calculadora de risco da Tenable, os valores de VPR importados são usados para calcular a pontuação de risco dos itens vulneráveis. A distribuição de peso padrão para esta calculadora de risco: VPR = 70%, Ativo = 15% e Criticalidade dos negócios = 15%. Habilitar esta regra da Calculadora de risco da Tenable pode afetar o desempenho de ingestão de dados.

Veja Resposta a vulnerabilidades calculadoras e regras da calculadora de vulnerabilidade