Tenable.io 統合の再スキャンの開始

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む10読むのに数分

    • Tenable プラットフォームで再スキャンを開始し、スケジュールされたスキャンサイクル間で脆弱性一致アイテムが修正されたことを確認します。Now Platform® インスタンスから Tenable.io 製品の脆弱性一致アイテムの再スキャンをオンデマンドで開始できます。

    始める前に

    必要なロール:sn_vul.write_all または sn_vul.write_assigned

    開始する前に、スキャナーがアクティブ化されていることを確認します。移動先 Vulnerability Response > 脆弱性スキャン > スキャナー.

    このタスクについて

    注:
    Tenable.io は、エージェントベースのマシンでの再スキャンの開始をサポートしていません。

    修復オーナー、IT スペシャリスト、脆弱性アナリスト、または脆弱性マネージャーは、スケジュール設定済みのフルスキャンに関連するオーバーヘッドとボリュームを削減するために、環境内の資産 (構成アイテム) の特定の脆弱性についてターゲットの再スキャンをオンデマンドで開始できます。脆弱性一致アイテム (VI)、修復タスク (RT)、サードパーティエントリー (TPE)、または Now Platform インスタンスから検出されたアイテム (SDI) レコードから再スキャンを開始できます。再スキャンにより、修復アクティビティ、パッチ、およびその他のアクションによって構成アイテム (CI) の特定の脆弱性が正常に修正されたことを確認できます。

    注:
    Now Platform® インスタンスから再スキャンを要求する場合、Tenable との脆弱性対応の統合 資格情報の選択はオプションです。ServiceNow® Tenable.io スキャン資格情報統合は、インスタンスの Tenable.io 製品からスキャナー資格情報をインポートして更新します。この統合は毎週実行され、Tenable 資格情報データをインポートして安全に保存します。

    このインポートされたデータには、Tenable パスワードやその他の機密性の高い Tenable アカウント情報は含まれません。

    次の情報では、ユーザーが必要に応じて Now Platform インスタンスから表示できるように、インポートする資格情報について説明しています。
    • Tenable.io 管理者ユーザーロールで作成された資格情報は、すべての組織のユーザーが使用できます。
    • Tenable.io 組織ユーザーロールで作成された資格情報は、その組織内のユーザーのみが使用できます。これらの資格情報は、インスタンスへの接続に使用されているユーザーのアカウントと共有されない限り、作成者の組織外のユーザーの Now Platform にはインポートされません。

      詳細については、Tenable.io のドキュメントを参照してください。

    • 再スキャンを開始する前に、Tenable.io テンプレート統合と Tenable.io スキャン資格情報統合をアクティブにする必要があります。スキャン資格情報統合の詳細を表示するには、次に移動します Tenable 脆弱性統合 > 統合 > Tenable.io スキャン資格情報統合.
      テンプレートとスキャンの資格情報統合はデフォルトで非アクティブになっています。Tenable.io の資格情報を入力すると、すべての Tenable.io 統合が自動的にアクティブになります。これらの統合を手動でアクティブまたは非アクティブにするには、次の手順を実行します。
      1. 移動先 すべて > Tenable 脆弱性統合 > 管理 > 統合.
      2. 表示されるリストで、必要な Tenable.io 統合レコードを見つけます。
      3. 各レコードを開き、[アクティブ] チェックボックスをオンにして統合をアクティブ化します。
      4. [更新] をクリックして変更を保存します。
      5. セットアップアシスタントに戻り、脆弱性対応Tenable Vulnerability Integrationの構成を続行します。

    Tenable.io および Tenable.sc 製品の構成の詳細については、「セットアップアシスタントを使用した Tenable 脆弱性統合の構成」を参照してください。

    たとえば、3 週間に 1 回環境全体をスキャンするとします。最新のフルスキャンは 1 週間前に完了しましたが、重大な脆弱性を修正するために昨日パッチを適用しました。この脆弱性の特性を考えると、この脆弱性が修正されたことを確認するのに次のスケジュール済みスキャンまで 2 週間待つことはできません。以前のスキャン中に検出された重大な脆弱性がパッチによって正常に修正されたことを確認するために、Now Platform for Tenable.io 脆弱性一致アイテムからターゲット再スキャンを開始できます。

    スキャンを開始したレコードの更新された結果は、修正された脆弱性統合の次のスケジュール設定済みのインポート後に表示できます。

    統合の実行中に複数のプロセスが生成され、データがページの形式で受信されます。各プロセスには、ページ形式のデータが添付された 1 つ以上のインポートキューエントリを含めることができます。これらのエントリは、1 時間の制限時間内にデータを処理する必要があります。ただしペイロードサイズが大きい場合は、処理時間が 1 時間を超えることやスタックすることがあり、その結果統合タイムアウトエラーが発生する可能性があります。タイムアウトエラーが発生しても、統合はデータの処理を続行します。この通信ミスを回避するために、 脆弱性対応のバージョン 18.2.4 以降では、キューがアクティブでデータを処理しているかどうかを示すタイムスタンプ (ハートビート) が定期的に送信されます。[キューエントリをインポート] ページの [最後の処理済みレコード] フィールドは、インポートキューにより作成または更新されるレコードの数に基づいて更新されます。インポートキューエントリが 1 時間の時間制限を超えた場合、システムは [最後の処理済みレコード] フィールドをチェックして、経過時間が 1 時間を超えているかどうかを確認します。1 時間を超えている場合は、インポートキューエントリがスタックしており、処理のさらなる遅延を防ぐためにタイムアウトしています。
    注:
    [最後の処理済みレコード] フィールドは、次のシステムプロパティの定義に基づいて更新されます。
    • sn_sec_cmn.record_threshold_heartbeat:処理されたレコードの数を定義します。これ以降、ハートビート (タイムスタンプ) がインポートキューエントリに送信されます。
    • sn_sec_cmn.maximum_heartbeat_delay:インポートキューエントリがタイムアウトするまでの経過時間を定義します。

    手順

    1. 移動先 すべて > Vulnerability Response > 脆弱性一致アイテム.
    2. 再スキャンをトリガーする脆弱性一致アイテムレコードを見つけて開きます。
      注:
      Tenable.io スキャナーを使用している場合は、ソースが Tenable.io の VI の再スキャンのみを開始できます。VI リストビューの [ソース] 列、または個々のレコードの [ソース] フィールドに Tenable.io が表示されていることを確認します。条件ビルダーを使用して、VI をソース別にグループ化できます。または、[ソース] 列が VI リストビューに表示されていない場合は、リストの左上にある [リストをカスタマイズ] アイコン (歯車アイコン) をクリックし、スラッシュバケットを使用して [ソース][利用可能] から [選択済み] に移動します。
    3. または、次の場所に移動します。 すべて > Vulnerability Response > 修復タスク または Vulnerability Response > ライブラリー > サードパーティ 再スキャンに使用するレコードの。

      選択内容に応じて、次のレコードで [再スキャン] ボタンを使用できます。

      • 単一の VI レコードでは、VI が [クローズ済み] 以外のステータスである必要があります。複数の VI レコードの場合、すべての VI のソースが Tenable.io 製品で、[クローズ済み] 以外のステータスである必要があります。
      • 修復タスクレコードの場合、[クローズ済み] 以外のステータスの修復タスクのみがサポートされます。関連するすべての VI は [クローズ済み] 以外のステータスで、ソースとして Tenable.io を使用する必要があります。
      • サードパーティエントリー (TPE) レコードには、[クローズ済み] 以外のステータスでソースが Tenable.io 製品の関連する VI レコードが少なくとも 1 つ必要です。
      • [検出されたアイテム] レコードには、[クローズ済み] 以外のステータスの Tenable.io 製品の関連する VI レコードが少なくとも 1 つ必要です。
      • [脆弱性一致アイテム] リストから、再スキャンする個々の脆弱性一致アイテムを選択できます。画面の左下にある [選択した行のアクション] メニューを使用して、再スキャンを開始します。資格情報を入力するように求められます。
    4. レコードの右上にある [再スキャン] をクリックします。
      再スキャンのインスタンスとスキャナーへのアクセスに使用するスキャナー資格情報を選択するように求められます。表示される資格情報は、Tenable.io スキャン資格情報統合によってインポートされた資格情報です。
    5. ダイアログで、使用するインスタンス (1 つまたは複数) と資格情報タイプを選択します。

      次の画像では、1 つの統合インスタンス Tenable.io が表示されています。複数の Tenable.io インスタンスがある場合、それらはすべてフォームの [Tenable.io] セクションに表示されます。

      表示される Tenable.io スキャン資格情報と統合インスタンス
      フィールド説明
      Tenable.io インスタンス 再スキャンを開始する Tenable.io 統合インスタンスを選択します。

      Tenable.io のすべての統合インスタンスが表示されます。VI が複数の統合インスタンスに存在する場合は、このフィルターを使用して、スキャンするインスタンスを制限または拡張できます。

      注:
      単一の統合インスタンスの修復タスクレコードから VI を再スキャンする場合は、選択した資格情報を使用して、そのインスタンスの修復タスクに関連付けられているアクティブな VI のみがスキャンされます。
      スキャナー資格情報タイプフィルター このフィルターを使用して、タイプ別に資格情報を表示します。
      スキャナー資格情報、Tenable.io インスタンス、スキャナー資格情報タイプを含むペイン これらは Tenable.io 製品からインポートされた利用可能なスキャナー資格情報です。

      スキャンに使用する 1 つ以上の資格情報を選択します。
    6. [再スキャンを要求] をクリックします。

      スキャンが処理されていることを示すメッセージが表示され、親スキャンレコードが作成されます。すべての子スキャンのステータスは、再スキャンの開始に使用した VI、修復タスク、TPE、および SDI レコードの [スキャン] 関連リストでいつでも確認できます。メッセージで [詳細を表示] をクリックして再スキャンのステータスを表示し、指定されたレコードから開始された他の再スキャンを表示します。

      すべての子スキャンが正常に完了すると、親スキャンレコードの [ステータス (State)] フィールドが完了としてマークされます。子はインポートデータをスキャンします。各スキャンは、統合インスタンス、TPE、IP、およびネットワーク ID の一意の組み合わせをサポートしています。親スキャンレコードに複数の子スキャンが表示される場合があります。たとえば、子スキャンでサポートできる IP アドレスの最大数は 1000 です。脆弱性一致アイテムに 1002 個の IP がある場合、要求をサポートするために 2 つの子スキャンが作成され、[スキャン] 関連リストに一覧表示されます。親スキャンレコードは子スキャンのコンテナであり、そのステータスは子スキャンのステータスを反映します。

      Now Platform® インスタンスは、正常に完了するか設定された追跡期間がタイムアウトするまで、再スキャンステータスを追跡します。 タイムアウトしてもスキャンは停止しません。タイムアウトは、実際の再スキャンが停止したときではなく、Now Platform® が再スキャンステータスの追跡を停止したときです。[クローズ済み]/[修正済み] に移行した、または移行する予定のすべての VI は、Tenable.io の修正された脆弱性統合の次のスケジュール設定済みインポートとともにインポートされます。

      エラーが発生したスキャンについては、親スキャンレコードで子スキャンを確認できます。子スキャンの応答ペイロードのエラーを表示します。

      スキャンを開始したレコードの更新された結果は、修正された脆弱性統合の次のスケジュール設定済みのインポート後に表示できます。