Configure o Integrações de vulnerabilidade do Fortify

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Antes de executar a integração em sua instância, as etapas de instalação e configuração devem ser concluídas para que o produto Fortify se integre corretamente ao recurso [ Resposta a vulnerabilidades de aplicações de Resposta a vulnerabilidades. Esta aplicação está disponível como uma assinatura separada.

    Antes de Iniciar

    Funções necessárias: gerente de App-Sec

    Conclua a check-list de configuração a seguir antes da instalação. Essas tarefas de configuração são necessárias para uma instalação e configuração tranquilas.

    Nota:
    Este processo se aplica somente a aplicações baixadas para instâncias de produção. Se você estiver baixando aplicações para instâncias de não produção ou de desenvolvimento, não será necessário obter direitos. Prossiga para .
    Tarefas de configuração Descrição
    Verifique se a aplicação Resposta a vulnerabilidades está instalada e ativada.

    Para verificar se esta aplicação está ativada, navegue até Gestão de assinaturas > Assinaturas em sua instância. A lista exibe as assinaturas que sua organização comprou.

    Se a aplicação não estiver instalada e ativada, consulte Como instalar Resposta a vulnerabilidades.
    Verifique se a aplicação Resposta a vulnerabilidades Integration with Fortify está instalada e ativada.

    Para verificar se esta aplicação está ativada, navegue até Gestão de assinaturas > Assinaturas em sua instância. A lista exibe as assinaturas que sua organização comprou.

    Se a aplicação não estiver instalada e ativada, consulte Instalar a ServiceNow Integração de resposta a vulnerabilidades com Fortify.
    Verifique se você tem as funções ServiceNow necessárias para sua instância. As funções a seguir são necessárias para instalação, configuração e verificação dos resultados esperados:
    • Se ainda não estiver atribuído, o administrador do sistema [admin] instalará o app e atribuirá usuários ao grupo de gerentes de App-Sec.
    • O gerente do App-Sec supervisiona a configuração e verifica os resultados esperados.

    Para Integrações de vulnerabilidade do Fortify, tenha o ID de API e a chave de API prontos.

    Entre em contato com Fortify para obter o ID e a chave de API.

    Procedimento

    1. Faça login na instância em que você deseja instalar as integrações de vulnerabilidade da aplicação Fortify.
    2. Navegue até o ServiceNow Store.
    3. Em ServiceNow Store, pesquise a integração [ Resposta a vulnerabilidades com a aplicação Fortify.
    4. Clique no bloco da aplicação.
      São exibidas informações detalhadas sobre a aplicação que você está instalando.
      Nota:
      Considere ler as seções Outros Requisitos e Dependências, conforme aplicável.
    5. Clique em Solicitar app e insira suas Now Support credenciais de login.
    6. Clique em Obter.
    7. Insira o Nome e o motivo da instânciae clique em Validar instância.
    8. Clique em Solicitar.
      Você receberá um e-mail com instruções detalhadas de instalação.
    9. Navegar até Aplicações do sistema > Aplicações.
    10. Localize a aplicação, selecione-a e clique em Instalar.
      Sua aplicação é instalada automaticamente em sua instância.
    11. Quando a instalação for concluída, navegue até Integrações de vulnerabilidade do Fortify > Configuração do FoD.
    12. No formulário, preencha os campos.
      Tabela 1. Formulário de configuração do Fortify on Demand
      Campo Descrição
      URL raiz da API URL da instância do Fortify do usuário.
      Chave de API Identificador exclusivo enviado para a API Fortify.
      Segredo da API Segredo do cliente fornecido por Fortify.
      Incluir DAST Opção para incluir vulnerabilidades de verificações do DAST. As verificações DAST identificam vulnerabilidades no comportamento de sua aplicação geral.
      Incluir SAST Opção para incluir vulnerabilidades de verificações SAST. As verificações do SAST identificam vulnerabilidades no código.
      Selecione opções para gerenciar fluxos de trabalho de gestão de exceções e falso-positivos para IVAs com ServiceNow automaticamente após a importação. Essas opções são ativadas por padrão. Para obter um exemplo de caso de uso, consulte Como gerenciar o mapeamento de estado para adiamentos e falso-positivos no Resposta a vulnerabilidades de aplicações.
      Gerenciar exceções no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVIs importados marcados para o estado Adiado.

      AVIs com estados de origem que normalmente são mapeados para um estado Adiado em sua instância são mapeados para Aberto.

      Você solicita uma exceção do registro AVI.

      Gerenciar falsos positivos no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVIs importados com estados de origem marcados como Falso-positivo ou Possível falso-positivo.

      AVIs com esses estados de origem que normalmente são mapeados para um estado Closed em sua instância são mapeados para Open.

      Você solicita um falso-positivo do registro AVI.
      • Desative uma ou ambas as caixas de seleção se quiser preservar os estados de origem importados do scanner.
      • Esses AVIs são mapeados para os estados de destino e os estados de motivo do destino conforme são importados, mas não são triados pelos fluxos de trabalho de exceção e falso-positivo. As ações Solicitar exceção e Falso-positivo não estão visíveis nos AVIs.
      Triagem na ServiceNow (anterior à v20.0 da Resposta a vulnerabilidades) Gerencie a triagem de vulnerabilidade da aplicação na instância ServiceNow :
      • Marque a caixa de seleção para fazer a triagem dos AVIs em ServiceNow. Se esta opção for selecionada, os AVIs serão importados no estado Aberto. Você pode solicitar uma exceção ou marcar o AVI como um falso-positivo.
      • Para manter o estado de origem, ou seja, o estado importado do scanner, certifique-se de que a caixa de seleção não esteja marcada.
      Nota:
      As opções Marcar como falso-positivo e Solicitar exceção estão disponíveis somente para IVAs sendo triados em ServiceNow.
    13. Selecione Salvar e testar credenciais.

    O que Fazer Depois

    Se o seu ambiente exigir importações separadas por domínio, consulte Criar importações separadas por domínio para uma integração.

    Na instalação inicial, consulte Como configurar o Resposta a vulnerabilidades de aplicações para obter mais instruções.

    Após a instalação inicial, para modificações, consulte Integrações de vulnerabilidade do Fortify modificação e atividades.