Initiieren Sie einen erneuten Scan für die Tenable.sc -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Stellen Sie sicher, dass Ihre angreifbaren Elemente zwischen geplanten Scan-Zyklen korrigiert wurden, indem Sie erneute Scans in der Tenable-Plattform initiieren. Sie können bei Bedarf einen erneuten Scan für angreifbare Elemente für das Produkt Tenable.sc aus Ihrer Instanz von Now Platform® initiieren.

    Vorbereitungen

    Erforderliche Rollen: sn_vul.write_all oder sn_vul.write_assigned
    Hinweis:
    Tenable.sc unterstützt das erneute Scannen auf Agent-basierten Computern nicht.

    Stellen Sie sicher, dass Ihr Scanner aktiviert ist, bevor Sie beginnen. Navigieren zu Vulnerability Response > Schwachstellenscan > Scanner.

    Warum und wann dieser Vorgang ausgeführt wird

    Informationen zum Initiieren eines erneuten Scans aus den Arbeitsbereichen finden Sie unter Scannen Sie Tenable.io und Tenable.sc angreifbare Elemente aus den Vulnerability Response -Arbeitsbereichen erneut.

    Befolgen Sie die unten aufgeführten Schritte, um einen erneuten Scan in der klassischen Umgebung zu initiieren.

    Um den Overhead und das Volumen geplanter, vollständiger Scans zu reduzieren, können Korrekturbesitzer, IT-Spezialisten, Schwachstellenanalysten oder Schwachstellenmanager bei Bedarf gezielte erneute Scans für bestimmte Schwachstellen in Assets (Konfigurationselemente) in ihren Umgebungen initiieren. Sie können erneute Scans von angreifbaren Elementen (AEs), Korrekturaufgaben (RTs), Drittanbietereinträgen (TPE) oder Datensätzen erkannter Elemente aus Ihrer Now Platform -Instanz initiieren.

    Mit erneuten Scans können Ihre Korrekturbesitzer und Schwachstellenanalysten überprüfen, ob durch Ihre Korrekturaktivitäten, Patches und anderen Aktionen bestimmte Schwachstellen in Ihren Konfigurationselementen (Configuration Items, CIs) erfolgreich behoben wurden.

    Beispiel: Ihre gesamte Umgebung wird alle drei Wochen gescannt. Der letzte vollständige Scan wurde vor einer Woche abgeschlossen, Sie haben jedoch gestern einen Patch angewendet, um eine kritische Schwachstelle zu beheben. Aufgrund der Art dieser Schwachstelle können Sie nicht zwei Wochen auf den nächsten geplanten Scan warten, um sicherzustellen, dass die Schwachstelle behoben wurde. Um sicherzustellen, dass Ihr Patch eine kritische Schwachstelle, die während eines früheren Scans erkannt wurde, erfolgreich behoben hat, können Sie einen gezielten erneuten Scan von Now PlatformTenable.sc auf angreifbare Elemente von [] initiieren.

    Hinweis:
    Wenn Sie einen erneuten Scan von Ihrer Instanz Now Platform® anfordern, ist die Auswahl der Anmeldeinformationen von Vulnerability Response Integration with Tenable optional. Die ServiceNow® Tenable.sc Scan Credential Integration importiert und aktualisiert Scanner-Anmeldeinformationen aus dem Tenable.sc -Produkt in Ihrer Instanz. Diese Integration wird wöchentlich ausgeführt, um Ihre Tenable-Anmeldeinformationsdaten zu importieren und sicher zu speichern.

    Beachten Sie, dass diese importierten Daten keine Tenable-Passwörter oder andere vertrauliche Tenable-Account-Informationen enthalten. Die ServiceNow® Tenable.sc Integration von Scan-Anmeldeinformationen wird automatisch im Setup-Assistenten in Ihrer Instanz aktiviert (Aktiv), wenn Sie die Integrationen von Tenable.sc Schwachstellen (Tenable.sc Integrationen offener und behobener Schwachstellen) konfigurieren.

    Notieren Sie die folgenden Informationen zu den Anmeldeinformationen, die Sie importieren, damit Ihre Benutzer sie bei Bedarf in Ihrer Now Platform -Instanz anzeigen können:
    • Mit der Administratorbenutzerrolle Tenable.sc erstellte Anmeldeinformationen stehen Benutzern in allen Ihren Organisationen zur Verfügung.
    • Mit der Benutzerrolle der Organisation Tenable.sc erstellte Anmeldeinformationen sind nur für Benutzer innerhalb dieser Organisation verfügbar. Diese Anmeldeinformationen werden für Benutzer außerhalb der Organisation des Erstellers nicht in Now Platform importiert, es sei denn, sie werden mit dem Konto des Benutzers geteilt, der für die Verbindung mit der Instanz verwendet wird.

    Weitere Informationen finden Sie auf der Dokumentationswebsite Tenable.sc.

    Weitere Informationen zum Konfigurieren der Anwendung Tenable.scKonfigurieren Sie die Integration von Tenable Vulnerability mit dem Setup-Assistenten finden Sie unter []. Um weitere Informationen zur Integration von Scan-Anmeldeinformationen anzuzeigen, navigieren Sie zu Alle > Vertretbare Schwachstellenintegration > Integrationen > Tenable.sc-Integration von Scan-Anmeldeinformationen.

    Während der Ausführung der Integration werden mehrere Prozesse generiert, und Daten werden in Form von Seiten empfangen. Jeder Prozess kann einen oder mehrere Importwarteschlangeneinträge mit angehängten Daten in Seiten enthalten. Diese Einträge müssen die Daten innerhalb der einstündigen Frist verarbeiten. Wenn die Nutzlast jedoch groß ist, kann die Verarbeitungszeit eine Stunde überschreiten oder hängen bleiben, was zu einem Zeitüberschreitungsfehler bei der Integration führt. Die Integration verarbeitet die Daten trotz der Zeitüberschreitung weiter. Um diese Fehlkommunikation zu vermeiden, werden ab Version 18.2.4 von Vulnerability Responseregelmäßig Zeitstempel (Heartbeats) gesendet, um anzugeben, ob die Warteschlange aktiv ist und Daten verarbeitet. Das Feld Zuletzt verarbeiteter Datensatz auf der Seite „Eintrag der Importwarteschlange“ wird basierend auf der Anzahl der Datensätze aktualisiert, die die Importwarteschlange erstellt oder aktualisiert. Wenn ein Importwarteschlangeneintrag das Zeitlimit von einer Stunde überschreitet, überprüft das System das Feld Zuletzt verarbeiteter Datensatz, um festzustellen, ob er auch älter als eine Stunde ist. Wenn dies der Fall ist, weist dies darauf hin, dass der Importwarteschlangeneintrag hängen bleibt und eine Zeitüberschreitung vorliegt, um weitere Verzögerungen bei der Verarbeitung zu verhindern.
    Hinweis:
    Das Feld Zuletzt verarbeiteter Datensatz wird basierend auf der Definition in den folgenden Systemeigenschaften aktualisiert:
    • sn_sec_cmn.record_threshold_heartbeat: Definiert die Anzahl der verarbeiteten Datensätze, nach denen der Takt (Zeitstempel) an den Importwarteschlangeneintrag gesendet wird.
    • sn_sec_cmn.maximum_heartbeat_delay: Definiert die Zeit, nach der der Importwarteschlangeneintrag überschritten werden muss.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Angreifbare Elemente.
    2. Suchen Sie den Datensatz des angreifbaren Elements, für den Sie einen erneuten Scan auslösen möchten, und öffnen Sie ihn.
      Hinweis:
      Sie können erneute Scans nur für AEs mit Tenable.sc als Quelle initiieren. Vergewissern Sie sich, dass Tenable.sc in der Spalte „ Quelle “ in den VI-Listenansichten oder in den Feldern „ Quelle “ in einzelnen Datensätzen angezeigt wird. Sie können den Bedingungsgenerator verwenden, um AEs nach Quelle zu gruppieren. Oder, wenn die Spalte Quelle nicht in der VI-Listenansicht angezeigt wird, klicken Sie oben links in der Liste auf das Symbol „ Liste personalisieren “ (Zahnradsymbol), und verwenden Sie den Slushbucket, um Quelle von Verfügbar zu Ausgewähltzu verschieben.
    3. Navigieren Sie alternativ zu Alle > Vulnerability Response > Korrekturaufgaben oder Vulnerability Response > Bibliotheken > Drittpartei für die Korrekturaufgabe bzw. Drittpartei-Eintragsdatensätze, die Sie für den erneuten Scan verwenden möchten.

      Abhängig von Ihrer Auswahl ist die Schaltfläche Erneut scannen für die folgenden Datensätze verfügbar:

      • In einem einzelnen VI-Datensatz muss die VI aus dem Produkt Tenable.sc stammen und sich in einem anderen Status als Geschlossenbefinden. Für mehrere VI-Datensätze müssen alle VIs aus dem Tenable.sc-Produkt stammen und sich in einem anderen Status als Geschlossenbefinden.
      • In einem RT-Datensatz kann sich die Korrekturaufgabe in einem anderen Status als Geschlossenbefinden, und alle zugehörigen AEs müssen aus dem Produkt Tenable.sc stammen.
      • In einem TPE-Datensatz muss mindestens ein zugeordneter VI-Datensatz aus dem Produkt Tenable.sc einen anderen Status als Geschlossenaufweisen.
    4. Klicken Sie oben rechts im Datensatz auf Erneut scannen.
      Sie werden aufgefordert, die Scanner-Anmeldeinformationen für den Zugriff auf den Scanner auszuwählen. Dies sind die Anmeldeinformationen, die von der Tenable.sc Scan Credential Integration importiert werden.
    5. Wählen Sie im Dialogfeld die gewünschten Filter und Anmeldeinformationstypen aus.
    6. Klicken Sie auf Scan anfordern.

      Eine Nachricht wird angezeigt, die angibt, dass Ihr Scan verarbeitet wird. Der Status für alle erneuten Scans kann jederzeit unter den zugehörigen Scan-Listen in den VI-, RT- und TPE-Datensätzen gefunden werden, die Sie zum Starten der erneuten Scans verwendet haben. Klicken Sie in der Nachricht auf Details anzeigen, um den Status des erneuten Scans anzuzeigen und alle anderen erneuten Scans anzuzeigen, die von einem bestimmten Datensatz aus gestartet wurden.

      Das Feld Status im übergeordneten Scan-Datensatz wird als abgeschlossen markiert, nachdem alle untergeordneten Scans erfolgreich abgeschlossen wurden. Die untergeordneten Scans importieren Daten. Der übergeordnete Scan-Datensatz ist ein Container für die untergeordneten Scans.

      Ihre Instanz Now Platform® verfolgt den Status des erneuten Scannens bis zum erfolgreichen Abschluss oder bis zum Ablauf des festgelegten Nachverfolgungszeitraums, je nachdem, was zuerst eintritt. Die Zeitüberschreitung stoppt den Scan nicht. Die Zeitüberschreitung bezieht sich auf den Zeitpunkt, zu dem Now Platform® die Nachverfolgung Ihres Status des erneuten Scannens beendet hat, nicht auf das Ende des tatsächlichen erneuten Scannens. Alle VIs, die in den Status „ Geschlossen/ Behoben“ überführt wurden oder werden, werden mit dem nächsten geplanten Import der Tenable.sc-Integration mit festen Schwachstellen importiert.