Iniciar nova verificação para a integração Tenable.sc

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • Verifique se os itens vulneráveis foram corrigidos entre os ciclos de verificação programados iniciando novas verificações na plataforma Tenable. Você pode iniciar uma nova verificação sob demanda de itens vulneráveis para o produto Tenable.sc da sua instância Now Platform®.

    Antes de Iniciar

    Funções necessárias: sn_vul.write_all ou sn_vul.write_assigned
    Nota:
    Tenable.sc não é compatível com a inicialização de uma nova verificação em máquinas baseadas em agente.

    Verifique se o scanner está ativado antes de começar. Navegar até Vulnerability Response > Verificação de Vulnerabilidades > Scanners.

    Por Que e Quando Desempenhar Esta Tarefa

    Para iniciar a nova verificação nos espaços, consulte Verificar novamente Tenable.io e Tenable.sc itens vulneráveis dos espaços Vulnerability Response.

    Siga as etapas listadas abaixo para iniciar uma nova verificação no ambiente clássico.

    Para ajudar a reduzir a sobrecarga e o volume envolvidos nas verificações completas programadas, os proprietários de correção, especialistas em TI, analistas de vulnerabilidade ou gerentes de vulnerabilidade podem iniciar novas verificações direcionadas sob demanda para vulnerabilidades específicas em ativos (itens de configuração) em seus ambientes. Você pode iniciar novas verificações de item vulnerável (IV), tarefas de correção (RT), entrada de terceiros (TPE) ou registros de item descoberto da sua instância Now Platform.

    As novas verificações permitem que os proprietários de correção e os analistas de vulnerabilidade verifiquem se suas atividades de correção, patches e outras ações corrigiram vulnerabilidades específicas em seus itens de configuração (ICs).

    Por exemplo, todo o ambiente é verificado uma vez a cada três semanas. A verificação completa mais recente foi concluída há uma semana, mas você aplicou um patch ontem para corrigir uma vulnerabilidade crítica. Devido à natureza desta vulnerabilidade, você não pode esperar duas semanas pela próxima verificação programada para verificar se ela foi corrigida. Para verificar se o patch corrigiu com sucesso uma vulnerabilidade crítica descoberta durante uma verificação anterior, você pode iniciar uma nova verificação direcionada de seus Now Platform para Tenable.sc itens vulneráveis.

    Nota:
    Ao solicitar uma nova verificação da sua instância Now Platform®, a seleção das credenciais Integração do Vulnerability Response com Tenable é opcional. O ServiceNow® Tenable.sc Scan Credential Integration importa e atualiza as credenciais do scanner do produto Tenable.sc em sua instância. Esta integração é executada semanalmente para importar e armazenar com segurança seus dados de credenciais da Tenable.

    Observe que esses dados importados não incluem senhas da Tenable ou outras informações confidenciais da conta da Tenable. A ServiceNow® Tenable.sc Integração de credencial de verificação é habilitada (Ativo) automaticamente no Assistente de configuração em sua instância quando você configura as Tenable.sc Integrações de vulnerabilidades (Tenable.sc Integrações de vulnerabilidades abertas e corrigidas).

    Observe as seguintes informações sobre as credenciais importadas para que os usuários possam vê-las conforme necessário na instância Now Platform :
    • As credenciais criadas com a função de usuário administrador Tenable.sc estão disponíveis para usuários em todas as suas organizações.
    • As credenciais criadas com a função de usuários organizacionais Tenable.sc estão disponíveis somente para usuários dessa organização. Essas credenciais não são importadas para o Now Platform para usuários fora da organização do criador, a menos que sejam compartilhadas com a conta do usuário que está sendo usada para se conectar à instância.

    Consulte o site de documentação Tenable.sc para obter mais informações.

    Consulte Configurar a integração de vulnerabilidade da Tenable usando o assistente de configuração para obter mais informações sobre como configurar a aplicação Tenable.sc. Para exibir mais informações sobre o Scan Credential Integration, navegue até Todos > Integração de vulnerabilidade Tenable > Integrações > Integração de credencial de verificação da Tenable.sc.

    Durante a execução da integração, vários processos são gerados e os dados são recebidos na forma de páginas. Cada processo pode conter uma ou mais entradas da fila de importação com dados anexados em páginas. Essas entradas devem processar os dados dentro do limite de uma hora. No entanto, se o tamanho da carga for grande, o tempo de processamento poderá exceder uma hora ou ficar travado, resultando em um erro de tempo limite de integração. A integração continua a processar os dados, apesar do erro de tempo limite. Para evitar essa falha de comunicação, a partir da versão 18.2.4 do Vulnerability Response, os carimbos de data/hora (pulsações) são enviados periodicamente para indicar se a fila está ativa e processando dados. O campo Último registro processado na página Entrada da fila de importação é atualizado com base na contagem de registros que a fila de importação cria ou atualiza. Caso uma entrada da fila de importação exceda o limite de uma hora, o sistema verificará o campo Último registro processado para ver se ele também tem mais de uma hora. Em caso afirmativo, isso indica que a entrada da fila de importação está travada e expirou para evitar mais atrasos no processamento.
    Nota:
    O campo Último registro processado é atualizado com base no que é definido nas seguintes propriedades do sistema:
    • sn_sec_cmn.record_threshold_heartbeat: define o número de registros processados, após o qual a pulsação (carimbo de data/hora) é enviada para a entrada da fila de importação.
    • sn_sec_cmn.maximum_heartbeat_delay: define o tempo após o qual a entrada da fila de importação deve atingir o tempo limite.

    Procedimento

    1. Navegar até Todos > Vulnerability Response > Itens vulneráveis.
    2. Localize o registro do item vulnerável do qual você deseja acionar uma nova verificação e abra-o.
      Nota:
      Você só pode iniciar novas verificações de IVs com Tenable.sc como origem. Verifique se Tenable.sc é exibido na coluna Origem nas exibições de Lista de IV ou nos campos Origem em registros individuais. Você pode usar o construtor de condição para agrupar IVs por origem. Ou, se a coluna Origem não for exibida na exibição da lista de IVs, no canto superior esquerdo da lista, clique no ícone Personalizar lista (ícone de engrenagem) e use o Slushbucket para mover a origem de Disponível para Selecionado.
    3. Como alternativa, navegue até Todos > Vulnerability Response > Tarefas de correção ou Vulnerability Response > Bibliotecas > Terceiros para a tarefa de correção ou registros de entrada de terceiros, respectivamente, que você deseja usar para a nova verificação.

      Dependendo da sua escolha, o botão Verificar novamente está disponível nos seguintes registros:

      • Em um único registro de IV, o IV deve ser do produto Tenable.sc e em qualquer estado diferente de Encerrado. Para vários registros de IV, todos os IVs devem ser do produto Tenable.sc e em qualquer estado diferente de Encerrado.
      • Em um registro RT, a tarefa de correção pode estar em qualquer estado diferente de Encerradoe todos os IVs associados devem ser do produto Tenable.sc.
      • Em um registro de entrada de terceiros (TPE), o registro deve ter pelo menos um registro IV associado do produto Tenable.sc em qualquer estado diferente de Encerrado.
    4. No canto superior direito do registro, clique em Verificar novamente.
      Você será solicitado a escolher as credenciais do scanner para acessar o scanner. Essas são as credenciais importadas pela Tenable.sc Scan Credential Integration.
    5. Na caixa de diálogo, selecione os filtros e os tipos de credencial desejados.
    6. Clique em Solicitar verificação.

      Uma mensagem será exibida indicando que a verificação está sendo processada. O status de todas as novas verificações pode ser encontrado a qualquer momento nas listas relacionadas à verificação nos registros IV, RT e TPE usados para iniciar as novas verificações. Na mensagem, clique em Exibir detalhes para exibir o status da nova verificação e todas as outras verificações iniciadas a partir de um determinado registro.

      O campo Estado no registro de verificação primário é marcado como concluído depois que todas as verificações secundárias são concluídas com sucesso. O secundário verifica os dados de importação. O registro de verificação primário é um contêiner para as verificações secundárias.

      Sua instância Now Platform® rastreia o status de nova verificação até que ela seja concluída com sucesso ou até que o período de acompanhamento definido expire, o que acontecer primeiro. O tempo limite não interrompe a verificação. O tempo limite se refere a quando Now Platform® parou de acompanhar seu status de nova verificação, não quando a nova verificação real parou. Todos os IVs que fizeram a transição ou farão a transição para Encerrado/Corrigido são importados com a próxima importação programada da integração de vulnerabilidades corrigidas da Tenable.sc.