Resposta a vulnerabilidades detecções de itens vulneráveis de integrações de terceiros

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • Exiba todas as informações coletadas por verificações de terceiros em seu ServiceNow AI Platform® instância. Exiba os resultados retornados das verificações nos registros de detecção e de item vulnerável (VI) em sua instância, pois esses resultados são exibidos nos scanners.

    Visão geral

    . Resposta a vulnerabilidades A aplicação oferece suporte a integrações de terceiros que recuperam dados de itens vulneráveis do seu ambiente empresarial. Dados detalhados sobre detecções, ou seja, ocorrências únicas e distintas de vulnerabilidades, conforme relatadas pelos scanners de suas integrações de terceiros, são importados e exibidos nos registros de detecção e de item vulnerável em seu ServiceNow AI Platform instância.

    Integrações de terceiros recuperam dados de detecção de item vulnerável. Detecções são ocorrências distintas de vulnerabilidades conforme relatadas pelos scanners. Os dados de detecção são emparelhados com itens vulneráveis e o estado de VI é atualizado com base no estado das detecções. Se um VI não for encontrado, um novo será criado. As detecções são abertas ou fechadas somente por dados encontrados diretamente por um scanner.

    Em versões anteriores de Resposta a vulnerabilidades Detecções de item vulnerável, o relacionamento entre um IC (ativo) em seu ambiente e uma vulnerabilidade importada de um scanner de terceiros, criaram um item vulnerável exclusivo em seu ServiceNow AI Platform instância.

    A granularidade dos dados originais fornecidos pelo scanner é preservada. Com as detecções, os dados de detecção são emparelhados com itens vulneráveis. Se um item vulnerável não for encontrado, um novo VI será criado.

    A partir da versão 21.1.2 de Resposta a vulnerabilidades, uma propriedade do sistema sn_vul.show_last_open_detectioné fornecido no sistema de base. Por padrão, o valor desta propriedade é definido como falso e o comportamento atual de agregar os valores da detecção inicial ao VI permanece inalterado. No entanto, se estiver definido como verdadeiro, um VI será atualizado automaticamente com a última detecção aberta após uma ingestão. Campos como endereço IP, SSL, Porta, Protocolo, NetBIOS, e as provas são atualizadas para as detecções de VI. Se necessário, você pode personalizar os campos de detecção que devem ser atualizados modificando o. DetectionBase script.

    Para exibir os valores da última detecção aberta, navegue até Última detecção em aberto Na exibição do formulário VI. Para atualizar todos os VIS abertos no ano passado com os últimos valores de detecção em aberto, você pode executar o trabalho agendado Update Last Open Detection Value To VITssob demanda. Este trabalho agendado também é fornecido no sistema de base.

    Nota:
    Quando um item de configuração (IC) muda em um item descoberto, as atualizações correspondentes também são refletidas nas detecções. Como resultado, as detecções podem ser movidas de um VI para outro VI Com base nesta mudança e no valor de sn_vul.show_last_open_detection, os valores das detecções são acumulados para o VIS de origem e de destino.

    Versões compatíveis de Resposta a vulnerabilidades

    Para obter mais informações sobre como instalar ou atualizar o. Resposta a vulnerabilidades aplicação, consulte Instalar Resposta a vulnerabilidades.

    Integrações de terceiros compatíveis

    Uma integração de terceiros compatível com seu Resposta a vulnerabilidades a aplicação é necessária para detecções de itens vulneráveis. As seguintes integrações de terceiros são compatíveis com Resposta a vulnerabilidades aplicação para detecções de itens vulneráveis:
    • Integração do Qualys Host Detection
    • Depósito de dados do Rapid7:
      • Integração de item vulnerável
      • Integração de resolução de item vulnerável
    •  Integração de resolução de item vulnerável do Rapid7 (InsightVM)
      • Integração da VM do Insight
      • Integração de item vulnerável - API
    • Integrações de vulnerabilidade da Tenable
    • Gestão de vulnerabilidades do Microsoft Defender

    Essas integrações de terceiros estão disponíveis com uma assinatura separada do ServiceNow Store. Para obter mais informações sobre essas integrações, consulte Integrações do Resposta a vulnerabilidades e. Operações de segurança e o ServiceNow Store para obter mais informações sobre como obter direito.

    Para verificar se o scanner de terceiros está configurado para importação, consulte Instale e configure a aplicação Rapid7 Integration for Security Operations e. Instalar o Qualys Vulnerability Integration.

    Principais termos para detecções de itens vulneráveis

    Vulnerabilidade
    Dados sobre pontos fracos em software, sistemas operacionais e ativos importados de fontes internas e externas. Esses dados são importados e comparados aos ativos existentes (itens de configuração, ICs) listados no CMDB.
    Item vulnerável
    Um item vulnerável é criado ou atualizado quando uma vulnerabilidade importada corresponde a um IC no CMDB.
    Detecção
    Uma ocorrência única e distinta de uma vulnerabilidade, conforme relatada por um scanner conhecido como detecção de item vulnerável no ServiceNow AI Platform ambiente. Uma detecção inclui dados aprimorados sobre uma vulnerabilidade e todos os itens vulneráveis correspondentes. Esses dados são exibidos no registro de detecção (nº do VID) e na exibição da lista de itens vulneráveis que inclui os seguintes detalhes:
    • Primeiro encontrado (dados)
    • Encontrado pela última vez (data)
    • Nome DNS
    • BIOSname líquido
    • Endereço IP
    • Porta
    • Protocolo
    • Prova
    • SSL
    • Horas encontradas
    Nota:
    Adicionar uma regra de negócio na tabela de detecção afetará o desempenho da ingestão.
    Chave de detecção
    Uma combinação com hash de campos que forneceu uma maneira de identificar e vincular uma detecção a um item vulnerável. As chaves de detecção são específicas da integração.
    Tabela 1. Configurações de chave de detecção
    Scanner Vulnerabilidade Porta Protocolo ID do ativo Prova NIC
    Qualys Sim Sim Sim Sim Não N/D
    Tenable Sim Sim Sim Sim Não N/D
    Rapid7 Sim Sim Sim Sim Sim (não diferencia maiúsculas de minúsculas) Sim
    Nota:
    • Se a chave de detecção não for especificada, ou para versões anteriores a. Resposta a vulnerabilidades14,0, a chave de detecção é uma combinação de entrada de vulnerabilidade, porta, protocolo, ID de ativo e prova.
    • A partir da v19.0 de Resposta a vulnerabilidades Uma nova NIC de chave de detecção foi adicionada para Rapid7 InsightVM, que é ativado por padrão. Detecções existentes sem NIC são atualizadas com a primeira NIC de entrada na carga de Rapid7. A chave de detecção é recalculada e preenchida novamente na detecção, incluindo NIC. Novas detecções serão criadas se detecções semelhantes forem vistas com valores de NIC diferentes. Esses dados não são acumulados na tabela Item vulnerável. O valor de NIC é armazenado em uma nova coluna nas tabelas sn_vul_detection_key_config e sn_vul_detection.
    Desduplicação
    O processo usado pelo Resposta a vulnerabilidades Aplicação de recolhimento de detecções individuais em um único VI quando os dados atendem a determinados critérios codificados.
    ID externo do VI
    O valor armazenado no campo ID externo da tabela VI. Este valor é um hash composto pela combinação de chaves em um VI que representa o que o torna exclusivo na aplicação. Ele é composto por um IC e uma entrada vulnerável.

    Reabra itens vulneráveis resolvidos

    Itens vulneráveis definidos como Resolvido em seu ServiceNow AI Platform instância, mas não fez a transição para Encerrado/Corrigido as execuções de integração subsequentes serão reabertas se forem detectadas durante novas verificações.

    Fechado VIS com um subestado de corrigido ou obsoleto São reabertos se uma nova detecção for criada e o VIS puder ser correspondido à nova vulnerabilidade.

    De acordo com a inclusão de script, DetectionBasemétodo _shouldReOpenVI()Se o VIT foi anterior Encerrado com subestado Corrigido , Obsoleto ou IC desativado , Ele é reaberto e a detecção é mapeada para o VIT existente.

    Por exemplo, digamos que a data de encerramento de um VIT seja posterior à data last_found de uma detecção. Esses registros de VIT permanecerão encerrados. No entanto, se você vir uma VIT fechada anteriormente reaberta, isso significa que a VIT foi fechada por uma detecção anterior e a vulnerabilidade foi encontrada novamente em uma verificação posterior. Quando uma nova detecção é encontrada que corresponde à VIT encerrada que tem a mesma vulnerabilidade no item de configuração da VIT, a VIT é reaberta.

    Para Rapid7 Detecções, uma opção agora está disponível na página de configuração do Rapid7 em sua instância para reabrir os VIS resolvidos por idade. Vis definido como Resolvido então não fez a transição para Encerrado/Corrigido pelas verificações subsequentes, retorne para Aberto após o número de dias inserido.

    Para Qualys Se o scanner continuar a encontrar os VIS que foram definidos como Resolvido então não fez a transição para Encerrado/Corrigido Por verificações subsequentes, esses VIS retornam para Aberto Quando a data da última descoberta é posterior à data de resolução.

    Exibir dados de detecção

    Você exibe os dados importados de detecções de item vulnerável no registro de VI. Para obter mais informações, consulte Exibir Resposta a vulnerabilidades dados de detecção de item vulnerável e Verificar Resposta a vulnerabilidades Dados de detecção de item vulnerável em registros de execução de integração (VINTRUN).