Integrationen vonTenable.sc mit der Anwendung Vulnerability Response .

  • Freigeben Version: Washingtondc
  • Aktualisiert 5. Februar 2024
  • 5 Minuten Lesedauer

    • Die Tenable.sc -Integrationen in der Anwendung Vulnerability Response Integration with Tenable.

    Wenn ab Vulnerability Response  v20.0 ein Asset von einem Agent gescannt wird, wird in der Spalte „Agent vorhanden“ der Wert „true“ in der Liste „Erkannte Elemente“ angezeigt, der angibt, dass es sich um einen echten Scan handelt.

    Liste der Tenable.sc Integrationen

    Mehrere Quellen werden für alle Tenable.io - und Tenable.sc -Integrationen unterstützt. Sie können mehrere Instanzen der folgenden Integrationen in Ihrer Umgebung über den Setup-Assistenten in Vulnerability Responsehinzufügen und bereitstellen. Sie installieren und konfigurieren die Anwendung Vulnerability Response Integration with Tenable auch über den Setup-Assistenten.

    • Tenable.sc ist eine lokale Integration, die Ihnen die Möglichkeit gibt, einen MID Server zu verwenden, wenn sich das Produkt Tenable.sc und Ihre Instanz Now Platform in derselben Umgebung befinden.
    • Wenn sich das Produkt Tenable.sc und Ihre Instanz Now Platform nicht in derselben Umgebung befinden, müssen Sie einen MID Server verwenden.
    Tabelle : 1. Tenable.sc-Integrationen
    Integration Beschreibung
    Tenable.sc Assets-Integration
    Um zu vermeiden, dass doppelte erkannte Elemente mit importierten Asset-Daten erstellt werden, besteht die Asset-Integration des Produkts Tenable.sc aus zwei Integrationen.
    Die Tenable.sc Open Assets-Integration
    Diese Integration importiert Schwachstellendaten zu Ihren Assets, die Tenable als kumulativ (aktuell) oder offenbetrachtet. Die angreifbaren Elemente (VIs), die in Ihrer Instanz mit diesen importierten Asset-Daten erstellt werden, gelten als offen, d. h. im Status „ Offen “. Diese angreifbaren Elemente müssen untersucht und möglicherweise korrigiert werden.
    Die Tenable.sc Integration von Anlagegütern
    Diese Integration importiert Schwachstellendaten zu Ihren Assets, die Tenable als verringert (nicht mehr angreifbar) oder behobenansieht. Die angreifbaren Elemente für diese Assets gehen in Ihrer Instanz vom Status „ Offen “ in den Status „Geschlossen/Korrigiert “ über, da die Ergebnisse von Scans zeigen, dass sie nicht mehr angreifbar sind.
    • Ruft alle Asset-Daten aus dem Produkt Tenable.sc ab und verarbeitet sie in Ihrer Instanz.
    • Erstellt eindeutige CIs für nicht abgeglichene Assets oder aktualisiert vorhandene CIs mit dem Attribut „Netzwerkpartitionsbezeichner“ für Assets in Ihrer Umgebung, die dieselbe IP-Adresse verwenden.
    • Koordiniert die REST-Nachrichtenaufrufe an die Assets-API.
    • Die Ausgabe dieser Integration sind erkannte Elemente.
    • Der Tenable-Abfragefilter, den Sie im Setup-Assistenten auswählen, gilt auch für die Tenable.sc Assets-Integration. Es werden nur die Assets mit den Schwachstellen importiert, die den Bedingungen des Abfragefilters entsprechen.
    Tenable.sc Plugin-Integration
    • Ruft die Plugin-Daten aus dem Produkt Tenable.sc ab. Abgerufene Daten basieren auf dem Datum, an dem die Plugins zuletzt durch eine Tenable.sc Integrationsausführung aktualisiert wurden.
    • Dieser Import stellt sicher, dass die Tenable.sc Bezeichner (10 IDs) aktuell sind und nur aktive Schwachstellen importiert werden.
    • Koordiniert die REST-Nachrichtenaufrufe an die Plugins-API.
    • Das Ergebnis dieser Integration sind Schwachstellen von Drittparteien.
    Tenable.sc Integration behobener Schwachstellen
    • Ruft Schwachstellendaten basierend auf Schweregradfiltern aus dem Produkt Tenable.sc ab und verarbeitet sie in Ihrer Instanz. Angreifbare Elemente werden für Erkennungsdatensätze erstellt, die sich im Status „ Offen “ und „Erneut geöffnet“ befinden, da diese Datensätze korrigiert werden müssen. Vorhandene angreifbare Elemente werden von Vulnerability Response aktualisiert, wenn Erkennungen behobensind, aber angreifbare Elemente werden standardmäßig nicht für feste Erkennungen erstellt, da TenablefesteSchwachstellen als verringert betrachtet.
    • Wenn im Setup-Assistenten die Kennzeichnung Schwachstellenzeiten für Erkennungen von festen Schwachstellen erstellen aktiviert ist, werden neue VIs im Status „ Fest “ erstellt, sodass Sie Einblick in die Erkennungen haben, von denen sie erstellt wurden. Da VIs für feste Erkennungen erstellt werden, die in Ihrer Instanz noch nicht vorhanden sind, kann dies die Importleistung beeinträchtigen. Möglicherweise möchten Sie diese Funktion deaktiviert lassen, damit bei Erkennungen mit Korrekturen nur die Status vorhandener angreifbarer Elemente aktualisiert werden.
    • Erstellt eindeutige CIs für nicht abgeglichene Assets oder aktualisiert vorhandene CIs mit dem Attribut „Netzwerkpartitionsbezeichner“ für Assets in Ihrer Umgebung, die dieselbe IP-Adresse verwenden.
    • Koordiniert die REST-Nachrichtenaufrufe an die Schwachstellen-API.
    • Die Ausgabe dieser Integration sind geschlossene/behobene angreifbare Elemente (AEs). Außerdem werden Assets und Drittanbietereinträge erstellt, wenn sie nicht vorhanden sind.

    Diese Integrationsausführung ist eine geplante Ausführung. Es handelt sich um eine verkettete Integration, was bedeutet, dass nach einer erfolgreichen Ausführung die unten beschriebene Tenable.sc Integration offener Schwachstellen ausgelöst wird.

    Hinweis:
    Standardmäßig sind die Familien-IDs 0 und 39 von dieser Integration ausgeschlossen.
    Tenable.sc Integration offener Schwachstellen
    • Diese Integration wird nach erfolgreichem Abschluss der Tenable.sc Integration behobener Schwachstellen ausgelöst.
    • Ruft Schwachstellendaten basierend auf den im Produkt Tenable.sc ausgewählten Abfragefiltern ab und verarbeitet sie in Ihrer Instanz.
    • Erstellt entsprechende angreifbare Elemente für aktive Schwachstellen.
    • Erstellt eindeutige CIs für nicht abgeglichene Assets oder aktualisiert vorhandene CIs mit dem Attribut „Netzwerkpartitionsbezeichner“ für Assets in Ihrer Umgebung, die dieselbe IP-Adresse verwenden.
    • Koordiniert die REST-Nachrichtenaufrufe an die Schwachstellen-API.
    • Die Ausgabe dieser Integration lautet Aktualisieren/Neue angreifbare Elemente erstellen, sofern sie nicht bereits vorhanden sind. Außerdem werden Konfigurationselemente und Drittanbietereinträge erstellt, wenn sie nicht vorhanden sind.
    Hinweis:
    Standardmäßig sind die Familien-IDs 0 und 39 von dieser Integration ausgeschlossen.
    Tenable.sc Integration von Scan-Anmeldeinformationen
    • Diese Integration ruft die in Tenable.sckonfigurierten Scan-Anmeldeinformationen ab.
    • Koordiniert die REST-Nachrichtenaufrufe an die Anmeldeinformations-API.
    • Die Ausgabe dieser Integration sind Scan-Anmeldeinformationen, die in die Tabelle [sn_vul_tenable_scan_credential] eingetragen werden.
    • Die importierten Anmeldeinformationen werden für den Zugriff auf den Scanner verwendet, wenn Scan-Anforderungen von Now Platforminitiiert werden.
    • Diese Integration ist so geplant, dass sie wöchentlich ausgeführt wird.
    Tenable.sc Integration von Auffüllung von Schwachstellen
    • Diese Auffüllungsintegration importiert alle offenen und behobenen Schwachstellen, die während eines Imports möglicherweise übersehen wurden.
    • Diese Integration importiert sowohl offene als auch behobene Schwachstellen aus den letzten sieben Tagen, um Ihre Erkennungen und angreifbaren Elemente zu aktualisieren.
    • Diese Integration kann sich auf Ihre Leistung auswirken.
    • Diese Integration ist standardmäßig deaktiviert.
    • Um Ihre Schwachstellendaten zu aktualisieren und potenzielle Leistungsprobleme zu vermeiden, sollten Sie die Integrationen von Tenable.sc mit festen und offenen Schwachstellen so planen, dass sie ausgeführt werden, wenn keine anderen Scans ausgeführt werden.
    • Die Ausgabe dieser Integration ist:
      • Geschlossene/behobene angreifbare Elemente (VIs). Außerdem werden Assets und Drittanbietereinträge erstellt, wenn sie nicht vorhanden sind.
      • zum Aktualisieren/Erstellen neuer angreifbarer Elemente (VIs), wenn sie noch nicht vorhanden sind. Außerdem werden Konfigurationselemente und Drittanbietereinträge erstellt, wenn sie nicht vorhanden sind.

    Benutzerauthentifizierung und Tenable.sc

    Die Benutzerauthentifizierung wird von Ihrer Now Platform® -Instanz und Version 5.13 des Tenable.sc -Produkts unterstützt. Die Benutzerauthentifizierung ist erforderlich, wenn Sie Version 5.12 und früher des Produkts Tenable.sc verwenden.

    Wenn Sie die Benutzerauthentifizierung für die Tenable.sc -Integrationen auswählen, laufen Token möglicherweise ab und müssen während der Integrationsausführungen ersetzt werden. In der Spalte Notizen im Datensatz der Ausführung der Schwachstelle-Integration (VIN) wird die folgende Meldung für einen Prozess angezeigt, wenn ein Token abläuft: Fehler: Token-Validierung ist fehlgeschlagen. Wenn diese Nachricht angezeigt wird, ist keine Aktion erforderlich. Abgelaufene Token werden automatisch im Hintergrund aktualisiert, und die Meldung weist nicht auf eine Pause oder einen Fehler beim Integrationsprozess hin.