Resposta a vulnerabilidades detecções de itens vulneráveis de integrações de terceiros

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Exiba todas as informações coletadas por verificações de terceiros em sua instância Now Platform®. Exiba os resultados retornados das verificações na detecção e nos registros de item vulnerável (VI) em sua instância conforme esses resultados são exibidos nos scanners.

    Visão geral

    A aplicação Resposta a vulnerabilidades oferece suporte a integrações de terceiros que recuperam dados de itens vulneráveis do ambiente empresarial. Dados detalhados sobre detecções, ou seja, ocorrências únicas e distintas de vulnerabilidades conforme relatadas pelos scanners de suas integrações de terceiros, são importados e exibidos nos registros de detecção e de item vulnerável em sua instância da Now Platform.

    As integrações de terceiros recuperam dados de detecção de itens vulneráveis. As detecções são ocorrências distintas de vulnerabilidades conforme relatadas pelos scanners. Os dados de detecção são emparelhados com itens vulneráveis e o estado de VI é atualizado com base no estado das detecções. Se um IV não for encontrado, um novo será criado. As detecções são abertas ou fechadas somente por dados encontrados diretamente por um scanner.

    Nas versões anteriores do Resposta a vulnerabilidades, as detecções de itens vulneráveis, o relacionamento entre um IC (ativo) em seu ambiente e uma vulnerabilidade importada de um scanner de terceiros, criavam um item vulnerável exclusivo em sua instância da Now Platform.

    A granularidade dos dados originais fornecidos pelo scanner é preservada. Com as detecções, os dados de detecção são emparelhados com itens vulneráveis. Durante uma ingestão, se um item vulnerável não for encontrado, um novo VI será criado.

    A partir da versão 21.1.2 de Resposta a vulnerabilidades, uma propriedade do sistema sn_vul.show_last_open_detection é fornecida no sistema de base. Por padrão, o valor desta propriedade é definido como falso e o comportamento atual de agregação dos valores da detecção inicial ao VI permanece inalterado. No entanto, se estiver definido como verdadeiro, um VI será atualizado automaticamente com a última detecção em aberto após uma ingestão. Os campos como endereço IP, SSL, Porta, Protocolo, NetBIOS e Prova são atualizados para as detecções de VI. Se necessário, você pode personalizar os campos de detecção que devem ser atualizados modificando o script DetectionBase.

    Para exibir os valores da última detecção em aberto, navegue até a guia Última detecção em aberto na exibição do formulário VI. Para atualizar todos os IVs abertos no último ano com os últimos valores de detecção abertos, você pode executar o trabalho agendado Update Last Open Detection Value To VITs sob demanda. Este trabalho agendado também é fornecido no sistema de base.

    Nota:
    Quando um item de configuração (IC) muda em um item descoberto, as atualizações correspondentes também são refletidas nas detecções. Como resultado, as detecções podem ser movidas de um VI para outro. Com base nessa mudança e no valor da propriedade sn_vul.show_last_open_detection, os valores das detecções são acumulados para os IVs de origem e de destino.

    Versões compatíveis do Resposta a vulnerabilidades

    Para obter mais informações sobre como instalar ou atualizar a aplicação Resposta a vulnerabilidades, consulte Como instalar Resposta a vulnerabilidades.

    Integrações de terceiros compatíveis

    Uma integração de terceiros compatível com sua aplicação Resposta a vulnerabilidades é necessária para detecções de itens vulneráveis. As seguintes integrações de terceiros são compatíveis com a aplicação Resposta a vulnerabilidades para detecções de itens vulneráveis:
    • Qualys Host Detection Integration
    • Depósito de dados da Rapid7:
      • Integração de item vulnerável
      • Integração de resolução de item vulnerável
    • Integração de resolução de item vulnerável da Rapid7 (InsightVM)
      • Integração de VM de informação
      • Integração de item vulnerável - API
    • Integrações de vulnerabilidade da Tenable
    • Gestão de ameaças e vulnerabilidades do Microsoft Defender

    Essas integrações de terceiros estão disponíveis com uma assinatura separada do ServiceNow Store. Para obter mais informações sobre essas integrações, consulte Integrações do Resposta a vulnerabilidades e para obter mais informações sobre como obter direito.

    Para verificar se o scanner de terceiros está configurado para importação, consulte Instalação e configuração da aplicação Integração Rapid7 para Operações de segurança e Instalar o Qualys Vulnerability Integration.

    Termos-chave para detecções de itens vulneráveis

    Vulnerabilidade
    Dados sobre pontos fracos em software, sistemas operacionais e ativos importados de fontes internas e externas. Esses dados são importados e comparados aos ativos existentes (itens de configuração, ICs) listados no CMDB.
    Item vulnerável
    Um item vulnerável é criado ou atualizado quando uma vulnerabilidade importada corresponde a um IC no CMDB.
    Detecção
    Uma ocorrência única e distinta de uma vulnerabilidade conforme relatada por um scanner chamada de Detecção de item vulnerável no ambiente Now Platform. Uma detecção inclui dados aprimorados sobre uma vulnerabilidade e todos os itens vulneráveis correspondentes. Esses dados são exibidos no registro de detecção (VID#) e na exibição de lista de itens vulneráveis que inclui os seguintes detalhes:
    • Primeiro encontrado (dados)
    • Último encontrado (data)
    • Nome DNS
    • Net BIOSname
    • Endereço IP
    • Porta
    • Protocolo
    • Prova
    • SSL
    • Horas encontradas
    Nota:
    Adicionar uma regra de negócio na tabela de detecção afetará o desempenho da ingestão.
    Chave de detecção
    Uma combinação com hash de campos que fornecia uma maneira de identificar e vincular uma detecção a um item vulnerável. As chaves de detecção são específicas de integração.
    Tabela 1. Configurações de chave de detecção
    Scanner Vulnerabilidade Porta Protocolo ID do ativo Prova NIC
    Qualys Sim Sim Sim Sim Não N/D
    Tenable Sim Sim Sim Sim Não N/D
    Rapid7 Sim Sim Sim Sim Sim (não faz distinção entre maiúsculas e minúsculas) Sim
    Nota:
    • Se a chave de detecção não for especificada, ou para versões anteriores a Resposta a vulnerabilidades 14.0, a chave de detecção será uma combinação de entrada de vulnerabilidade, porta, protocolo, ID de ativo e prova.
    • A partir da v19.0 de Resposta a vulnerabilidades, uma nova NIC de chave de detecção é adicionada para Rapid7 InsightVM, que é ativado por padrão. As detecções existentes sem NIC são atualizadas com a primeira NIC de entrada na carga de Rapid7. A chave de detecção é recalculada e preenchida novamente na detecção, incluindo a NIC. Novas detecções serão criadas se detecções semelhantes forem vistas com valores de NIC diferentes. Esses dados não são acumulados para a tabela de itens vulneráveis. O valor da NIC é armazenado em uma nova coluna nas tabelas sn_vul_detection_key_config e sn_vul_detection.
    Deduplicar
    O processo usado pela aplicação Resposta a vulnerabilidades de recolhimento de detecções individuais em um único VI quando os dados atendem a determinados critérios codificados.
    ID externo de VI
    O valor armazenado no campo ID externo da tabela VI. Este valor é um hash composto pela combinação de chaves em um VI que representa o que o torna exclusivo na aplicação. Ele é composto por um IC e uma entrada vulnerável.

    Reabrir itens vulneráveis resolvidos

    Itens vulneráveis definidos como Resolvidos em sua instância Now Platform, mas não transicionados para Encerrado/Corrigido pelas execuções de integração subsequentes, serão reabertos se forem detectados durante novas verificações.

    IVs encerrados com um subestado fixo ou obsoleto serão reabertos se uma nova detecção for criada e os VIs puderem ser correspondidos com a nova vulnerabilidade.

    De acordo com a inclusão de script, DetectionBase, método _shouldReOpenVI(), se o VIT foi encerrado anteriormente com subestado fixo, obsoletoou IC desativado, ele será reaberto e a detecção será mapeada para o VIT existente.

    Por exemplo, digamos que a data de encerramento de um VIT seja posterior à data last_found de uma detecção. Você espera que esses registros de VIT permaneçam fechados. No entanto, se você vir um VIT encerrado anteriormente reaberto, isso significa que o VIT foi encerrado por uma detecção anterior e a vulnerabilidade foi encontrada novamente em uma verificação posterior. Quando é encontrada uma nova detecção que corresponde ao VIT encerrado que tem a mesma vulnerabilidade no item de configuração do VIT, o VIT é reaberto.

    Para Rapid7 detecções, uma opção agora está disponível na página de configuração do Rapid7 em sua instância para reabrir IVs resolvidos por idade. Se habilitado, os IVs definidos como Resolvidos, mas não transicionados para Encerrado/Corrigido por verificações subsequentes, retornam para Aberto após o número de dias inserido.

    Para Qualys detecções, se o scanner continuar a encontrar IVs que foram definidos como Resolvidos, mas que não foram transicionados para Encerrado/Corrigido por verificações subsequentes, esses IVs voltarão para Aberto quando a última data encontrada for posterior à data de Resolvido.

    Exibir dados de detecção

    Você exibe os dados importados das detecções de itens vulneráveis no registro VI. Para obter mais informações, consulte Exibir Resposta a vulnerabilidades dados de detecção de itens vulneráveis e Verificar Resposta a vulnerabilidades dados de detecção de item vulnerável em registros de execução de integração (VINTRUN).