Noções básicas sobre a Integração de vulnerabilidades da Tenable

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 12 min. de leitura

    • . Integração de Resposta a vulnerabilidades com Tenableaplicação desenvolvida por ServiceNowA Engenharia para a Integração de vulnerabilidades do Tenable usa dados importados do Tenable.ioe. Tenable.scprodutos para ajudar você a priorizar e corrigir vulnerabilidades de seus ativos. A aplicação está disponível com uma assinatura separada da ServiceNow® Store.

    Nota:
    A partir da v14.9 de Conformidade de configurações, os seguintes termos foram renomeados:
    Tabela 1. Mudanças na terminologia
    Terminologia anterior à v14.9 Terminologia v14.9 em diante
    Grupo de resultados de teste Tarefa de Correção
    Regras de grupo Regras de tarefa de correção
    Política Grupo de teste
    A Integração de vulnerabilidades da Tenable emprega duas integrações da Tenable, Tenable.ioe. Tenable.sc, para importar dados do scanner de terceiros sobre seus ativos e vulnerabilidades. . Integração de Resposta a vulnerabilidades com Tenablea aplicação é compatível com Tenable.scproduto a partir da versão 5,13.
    • Tenable.io é uma integração empresarial baseada em nuvem.
    • Tenable.scÉ uma integração no local que oferece a opção de usar um MID Server se o. Tenable.sce seu Now Platformas instâncias estão no mesmo ambiente.
    • . Tenable.sce seu Now PlatformAs instâncias não estão no mesmo ambiente, você deve usar um MID Server.

    . Integração de Resposta a vulnerabilidades com Tenablea aplicação está disponível no ServiceNow Storecom uma assinatura separada.

    Para listas e descrições das integrações no Integrações de vulnerabilidade da Tenable, consulte Tenable.iointegrações com Resposta a vulnerabilidadese. Conformidade de configuraçõesaplicaçõese. Tenable.scintegrações com Resposta a vulnerabilidadesaplicação.

    Figura 1. Integração de vulnerabilidade Tenable
    Fluxo de trabalho de Integração de vulnerabilidades da Tenable.

    Versões disponíveis para Yokohama

    Versão de lançamento Notas da versão

    Integração de Resposta a vulnerabilidades com Tenable v3.5, v3.6

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade de resposta a vulnerabilidades e mudanças de esquema de versão

    Termos e principais recursos das integrações

    Vulnerabilidades e itens vulneráveis
    Um item vulnerável foi criado em Now Platforminstância quando:
    • Uma vulnerabilidade importada de um scanner de terceiros corresponde a um ativo existente (um item de configuração em seu CMDB). O produto Tenable se refere a essas correspondências como vulnerabilidades .
    • Uma vulnerabilidade importada de um scanner de terceiros não corresponde a um ativo existente em seu CMDB. Nesse caso, um IC incompatível também é criado junto com um item vulnerável.

      Para ICs incompatíveis, você também pode usar o Mecanismo de Identificação e reconciliação (IRE) para criar ICs em duas novas classes quando um IC existente não puder ser correspondido a um host. Caso contrário, ICs sem correspondência serão criados nas classes de IC sem correspondência. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidadesUsando o mecanismo de Identificação e reconciliação.

    Plug-ins e entradas de vulnerabilidade de terceiros
    As entradas de vulnerabilidade de terceiros são importadas de verificadores de terceiros e listadas na tabela Entradas de vulnerabilidade de terceiros no seu Now Platforminstância. A partir de v24.0 de Resposta a vulnerabilidades, A coluna Softwares na tabela Entradas de vulnerabilidade de terceiros preenche as Enumerações de plataforma comum (CPEs) associadas a um terceiro entrada . Entradas de vulnerabilidade de terceiros da Tenable são ingeridas em Resposta a vulnerabilidadese correspondido aos ativos existentes listados em seu CMDB. A Tenable se refere a entradas de vulnerabilidade de terceiros como Plug-ins .
    IC (Configuration Item, item de configuração)
    Os itens de configuração são os ativos existentes listados em seu CMDB.
    Item descoberto
    Os ativos ingeridos da importação de ativos da Tenable correspondem aos itens de configuração existentes no CMDB. Os ativos importados são atualizados.

    Se uma correspondência não for encontrada, um IC será criado na classe de IC incompatível do CMDB. Se o plug-in Modelos de classe de IC do CMDB estiver habilitado, o Mecanismo de identificação e reconciliação (IRE) criará novos ICs usando novas classes. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidadesUsando o mecanismo de Identificação e reconciliação. Se o IC original sem correspondência for reclassificado, os registros de item descoberto serão atualizados para refletir o estado. Os itens descobertos fornecem visibilidade de como os ativos são identificados e mapeados para ICs no CMDB.

    Regras de pesquisa de IC
    Quando os dados são importados de uma integração de terceiros, a Resposta a vulnerabilidades usa automaticamente os dados do host (ativo) para pesquisar correspondências no banco de dados de gestão de configurações ( CMDB). As regras de pesquisa de IC são usadas para identificar ICs e adicioná-los aos registros de IV quando os IVs são criados para ajudar você na correção.
    Nova verificação e verificação de correção
    Você pode iniciar um comando de nova verificação direcionada em um item de configuração específico, tarefa de correção ou entrada de terceiros diretamente do item vulnerável, tarefa de correção e registros de entrada de vulnerabilidade de terceiros em seu Now Platforminstância. A Tenable se refere a esta nova verificação como um verificação de correção .
    Fechar automaticamente IVs mais antigos
    Com o módulo Fechar automaticamente itens vulneráveis obsoletos em seu Now Platform, Você pode limpar itens vulneráveis antigos e obsoletos (IV) não encontrados recentemente por suas integrações de terceiros. Movendo estes IVs para Encerrado ajuda a reduzir o número de itens vulneráveis ativos e tarefas de correção e a reconciliar ativos em CMDB. Você pode usar todas as integrações com Integração de Resposta a vulnerabilidades com TenablePara fechar automaticamente IVs obsoletos.
    Instância
    Este termo se refere a uma ocorrência distinta do seu Now Platform®aplicação.
    Integração
    Uma integração é uma referência específica do produto a uma integração, como Tenable.ioIntegração de ativos, ou o. Tenable.scIntegração de plug-in. Essas são as integrações separadas que pertencem a produtos específicos da Tenable na Integração de vulnerabilidade do Tenable na sua instância.
    Instância de integração
    Este termo se refere às integrações separadas da Tenable listadas por Tenable.ioe. Tenable.scprodutos.
    Implantação
    Quando uma integração oferece suporte a várias origens, uma existência de integração única e distinta é chamada de implantação da sua integração. O termo é usado para se referir às integrações e produtos em todo o seu ambiente. Por exemplo, você pode ter várias implantações de várias integrações do Tenable.ioe. Tenable.scprodutos em seu ambiente.

    . Tenable.ioe. Tenable.scas integrações também incluem os seguintes recursos principais:

    • As descobertas da avaliação de configuração, ou seja, resultados de testes junto com políticas, testes de configuração (controles) e citações com fontes autorizadas podem ser importadas para o. Conformidade de configuraçõesaplicação com Tenable.ioproduto. Consulte Tenable.iointegrações com Resposta a vulnerabilidadese. Conformidade de configuraçõesaplicaçõese. Explorando Conformidade de configuraçõespara obter mais informações sobre como esta integração funciona com o. Conformidade de configuraçõesaplicação.
    • A partir da v2.1 do Integrações de vulnerabilidade da Tenable, Crie itens de configuração (ICs) exclusivos que incluem identificadores de partição de rede diferentes para ativos em seu ambiente que compartilham o mesmo endereço IP. Identifique os ativos distintos em seu ambiente e atualize os ICs em seu item descoberto existente, item vulnerável e registros de detecção para fornecer mais detalhes sobre suas vulnerabilidades.
    • Você pode programar quando deseja que os trabalhos sejam executados para todos os Tenable.ioe. Tenable.scintegrações. Você também pode executar trabalhos agendados manualmente sob demanda.
    • Para importações de ativos com Tenable.io, você pode habilitar marcadores de ativo para organizar e rastrear os ativos listados em CMDBem Tenable.ioambiente.
    • . Tenable.ioe. Tenable.scAs integrações permitem que você configure regras de pesquisa de IC para definir como os dados de ativos de fontes de terceiros são usados para identificar itens de configuração (ICs) em seu Now Platform CMDB.
    • . Tenable.ioe. Tenable.scAs integrações permitem que você defina filtros de importação na importação de vulnerabilidades para importar somente as vulnerabilidades desejadas da Tenable. Para Tenable.io, você tem a opção de importar Corrigido Vulnerabilidades da Tenable com a importação de vulnerabilidades.
    • Para Tenable.sc, você tem a opção de iniciar novas varreduras sob demanda diretamente do item vulnerável, tarefa de correção e registros de entrada de terceiros no Now Platforminstância. Se os IVs tiverem sido transferidos para Encerrado/Corrigido mas ainda não estão atualizados em sua instância, você pode verificar se vulnerabilidades em itens de configuração específicos foram corrigidas. Consulte Iniciar uma nova verificação para Tenable.scintegração.

    As seções a seguir listam mais detalhes sobre as integrações da Tenable.

    Funções necessárias de Now Platform

    As tarefas de integração exigem as seguintes funções no Now Platforminstância.

    administrador
    O administrador do sistema usa o Assistente de configuração para instalar o. Integração de Resposta a vulnerabilidades com Tenableaplicação. Se não for atribuído, o administrador atribuirá o administrador da vulnerabilidade (sn_vul.vulnerability_admin) e outras funções no Assistente de configuração.
    sn_vul.vulnerability_admin
    Uma vez atribuída, o administrador de vulnerabilidades conclui a configuração das integrações da Tenable no Assistente de configuração. Esta função tem acesso completo ao Resposta a vulnerabilidades(VR) e seus registros. O administrador de vulnerabilidades configura todas as regras e aplicações de VR para integrações de terceiros instaladas.
    sn_vul_tenable.configure_integration
    Esta função contém a função granular sn_vul_tenable.read_integration e os usuários com esta função podem configurar o. Integração de Resposta a vulnerabilidades com Tenableaplicação.
    sn_vul_tenable.read_integration
    Os usuários com estas funções podem exibir (ler), mas não editar registros do Integração de Resposta a vulnerabilidades com Tenableaplicação.
    Grupo de Resposta a vulnerabilidades
    Por padrão, o grupo Resposta a vulnerabilidades está disponível no Assistente de configuração. Os usuários atribuídos ao grupo Resposta a vulnerabilidades herdam as funções sn_vul.read_all e sn_vul.remediation_owner automaticamente.

    Itens vulneráveis

    Os itens vulneráveis são agrupados em tarefas de correção de acordo com as regras de tarefa de correção e atribuídos para correção com base em suas regras de atribuição. Para obter mais informações, consulte Resposta a vulnerabilidades tarefas de correção e visão geral de regras de tarefa de correção e Resposta a vulnerabilidades visão geral das regras de atribuição.

    Regras de pesquisa de item de configuração (IC)

    As regras de pesquisa de IC identificam ICs e determinam quando adicioná-los a um item vulnerável. Para obter mais informações sobre como funcionam as regras de pesquisa de IC, consulte Regras de pesquisa de IC para identificar itens de configuração de Resposta a vulnerabilidadesintegrações de vulnerabilidade de terceiros.
    Nota:
    As regras, depois de removidas, não podem ser recuperadas. Em vez de remover regras existentes, desabilite-as ao criar novas regras.
    O seguinte Tenable.ioas regras de pesquisa são fornecidas com o sistema de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • Nome do host
    • DNS
    • IP
    Nota:
    . Tenable.ioAs regras de pesquisa de IC priorizam e preenchem os valores de interface de rede não vazios (FDQN, IPV4 e MacAddress) em relação aos valores regulares de FDQN, IPV4 e MacAddress para um item descoberto. Quando esses valores de interface de rede estão vazios, os valores regulares de FDQN, IPV4 e MacAddress são preenchidos para um item descoberto.
    O seguinte Tenable.scas regras de pesquisa são fornecidas com o sistema de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • IP
    Nota:
    Vários valores para ip_address, mac_address, fqdns e network_interfaces são usados para um ativo. Todos os valores são considerados nas regras de pesquisa de IC para correspondência. Todos os valores são usados para criar vários adaptadores de rede usando IRE.

    Para obter mais informações sobre como configurar a categorização de recursos de nuvem incompatíveis em sua classe de IC preferencial, consulte Atualizando classe de IC para ativos de nuvem incompatíveis.

    Novas propriedades para ignorar endereços IP

    Em Tenable.io, Há duas propriedades disponíveis se você quiser ignorar vários endereços IP ou vários endereços MAC como parte de suas regras de pesquisa de IC:
    Endereço IP ignorado
    Uma lista de endereços IP a serem ignorados para pesquisa de IC e criação de IC.
    IgnoreMacAddress
    Uma lista de endereços MAC a serem ignorados para pesquisa de IC ou criação de IC.

    Itens descobertos

    Este módulo lista os itens de configuração detectados durante a importação das integrações de item vulnerável do Tenable e das integrações de ativo do Tenable.
    Nota:
    O filtro padrão para esta lista está definido como Sem correspondência . Você pode exibir todos os itens descobertos de uma importação removendo o filtro.
    Para obter mais informações sobre o módulo Itens descobertos, consulte Itens descobertos.

    Etiquetas do ativo

    Os marcadores de ativo (também conhecidos como marcadores de host) são usados para organizar e rastrear os ativos em sua organização. Você pode atribuir marcadores aos seus ativos. Em seguida, ao iniciar verificações, você pode selecionar marcadores associados aos ativos que deseja verificar. O módulo Marcadores de ativo permite que você baixe dados de marcador de ativo do Tenable.iopara sua instância em uma base agendada. Os dados de ativos que incluem marcadores de ativo são extraídos de Tenable.ioe transformados usando o. Transformação de ativo do Tenable.io mapas de transformação de integração.

    Todos os marcadores de ativo são importados como parte do Tenable.ioIntegração de ativos. Os marcadores de ativo geralmente são usados para filtrar Resposta a vulnerabilidadesRegras de atribuição e regras de tarefa de correção. Os marcadores são exibidos no formulário Item descoberto.
    Nota:
    Execute o. Tenable.ioIntegração de ativos antes de criar Resposta a vulnerabilidadesregras de atribuição ou regras de tarefa de correção no Resposta a vulnerabilidadespara que todos os marcadores estejam disponíveis para essas regras antes que os itens vulneráveis sejam importados e agrupados. Observe também os seguintes pontos sobre marcadores:
    • O armazenamento de marcador não diferencia maiúsculas de minúsculas. Por exemplo, se você criar um marcador para descrever ativos em seu local em San Diego e criar o. San Diego você também não pode criar um SAN DIEGO Marque e armazene-o na tabela de marcadores de ativo. San Diego e. SAN DIEGO são considerados a mesma etiqueta de ativo pelo sistema. O marcador que é importado primeiro é o marcador que é armazenado e reconhecido daqui para frente.
    • O uso de marcadores de ativo como chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. Os marcadores de ativo devem ser usados somente no Construtor de condições.
    • Os marcadores de ativo são controlados pela propriedade global do sistema sn_vul.import_asset_tags. Esta propriedade é definida como verdadeira por padrão. Desabilitar marcadores os desabilita em todos Now Platform®instâncias.

    Filtros de recuperação de dados

    As configurações de recuperação de dados ajudam a determinar especificamente o tipo e o escopo dos dados que você deseja importar da aplicação Tenable para o. Now Platform®instância. Para obter uma lista das configurações mais usadas, consulte Configurações de recuperação de dados para a Integração de vulnerabilidades do Tenable.

    Classificação de prioridade de vulnerabilidade (VPR)

    A Classificação de prioridade de vulnerabilidade (VPR) é um atributo do produto Tenable importado e usado com uma nova calculadora de risco padrão em Resposta a vulnerabilidades. A Regra de risco da Tenable é instalada com Integração de Resposta a vulnerabilidades com TenableComo parte da Calculadora de risco padrão nas Calculadoras de vulnerabilidade de Resposta a vulnerabilidades.

    Esta regra de risco está desabilitada por padrão.

    Ao habilitar a regra da calculadora de risco da Tenable, os valores de VPR importados são usados para calcular a pontuação de risco para itens vulneráveis. A distribuição de peso padrão para esta calculadora de risco: VPR é 70%, Ativo é 15% e Criticalidade dos negócios é 15%. A habilitação desta regra da Calculadora de risco da Tenable pode afetar o desempenho da ingestão de dados. Para obter mais informações sobre Resposta a vulnerabilidadesE a regra da calculadora de risco da Tenable, consulte Resposta a vulnerabilidades calculadoras e regras da calculadora de vulnerabilidade.

    Instalação e configuração

    Depois de baixar o. Integração de Resposta a vulnerabilidades com Tenableem ServiceNow® Store, A instalação e configuração são compatíveis com o Assistente de configuração em Resposta a vulnerabilidades. Para obter mais informações, consulte Configurando Resposta a vulnerabilidadesUsando o Assistente de configuração.