Tenable.sc Integrationen mit der Anwendung Vulnerability Response

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Die Tenable.sc -Integrationen in der Anwendung Vulnerability Response Integration with Tenable

    Ab Vulnerability Response v20.0 wird, wenn ein Asset von einem Agent gescannt wird, in der Spalte „Agent vorhanden“ in der Liste Erkannte Elemente der Wert true angezeigt. Dies gibt an, dass es sich um einen echten Scan handelt.

    Liste von Tenable.sc Integrationen

    Multi-Quelle wird für alle Tenable.io - und Tenable.sc -Integrationen unterstützt. Sie können über den Setup-Assistenten in Vulnerability Responsemehrere Instanzen der folgenden Integrationen in Ihrer Umgebung hinzufügen und bereitstellen. Außerdem installieren und konfigurieren Sie die Anwendung Vulnerability Response Integration with Tenable über den Setup-Assistenten.

    • Tenable.sc ist eine lokale Integration, die Ihnen die Möglichkeit gibt, einen MID-Server zu verwenden, wenn sich das Produkt Tenable.sc und Ihre Instanz Now Platform in derselben Umgebung befinden.
    • Wenn sich das Produkt Tenable.sc und Ihre Instanz Now Platform nicht in derselben Umgebung befinden, müssen Sie einen MID-Server verwenden.
    Tabelle : 1. Tenable.sc-Integrationen
    Integration Beschreibung
    Tenable.sc Assets Integration
    Um zu vermeiden, dass doppelte erkannte Elemente mit importierten Asset-Daten erstellt werden, besteht die Asset-Integration des Produkts Tenable.sc aus zwei Integrationen.
    Die Tenable.sc Open Assets-Integration
    Diese Integration importiert Schwachstellendaten zu Ihren Assets, die Tenable als kumulativ (aktuell) oder offenbetrachtet. Die angreifbaren Elemente (VIs), die in Ihrer -Instanz mit diesen importierten Asset-Daten erstellt werden, gelten als offen, also mit dem Status Offen. Diese angreifbaren Elemente müssen untersucht und möglicherweise korrigiert werden.
    Tenable.sc Integration von festen Assets
    Diese Integration importiert Schwachstellendaten zu Ihren Assets, die Tenable als verringert (nicht mehr angreifbar) oder behobenansieht. Die angreifbaren Elemente für diese Assets wechseln in Ihrer Instanz vom Status „ Offen “ in den Status „Geschlossen“/„Repariert “, da die Ergebnisse der Scans zeigen, dass sie nicht mehr angreifbar sind.
    • Ruft alle Asset-Daten aus dem Produkt Tenable.sc ab und verarbeitet sie in Ihrer -Instanz.
    • Erstellt eindeutige CIs für nicht abgeglichene Assets oder aktualisiert vorhandene CIs mit dem Attribut des Netzwerkpartitionsbezeichners für Assets in Ihrer Umgebung, die dieselbe IP-Adresse verwenden.
    • Koordiniert die REST-Nachrichtenaufrufe an die Assets-API
    • Die Ausgabe dieser Integration sind erkannte Elemente.
    • Der Tenable-Abfragefilter, den Sie im Setup-Assistenten auswählen, gilt auch für die Tenable.sc Assets Integration. Nur die Assets mit den Schwachstellen, die den Bedingungen des Abfragefilters entsprechen, werden importiert.
    Tenable.sc Plugin-Integration
    • Ruft die Plugin-Daten aus dem Produkt Tenable.sc ab. Abgerufene Daten basieren auf dem Datum der letzten Aktualisierung der Plugins durch eine Tenable.sc Integrationsausführung.
    • Dieser Import stellt sicher, dass die Tenable.sc Bezeichner (10 IDs) aktuell sind und nur aktive Schwachstellen importiert werden.
    • Koordiniert die REST-Nachrichtenaufrufe an die Plugins-API
    • Die Ausgabe dieser Integration sind Schwachstellen von Drittparteien.
    Tenable.sc Integration behobener Schwachstellen
    • Ruft Schwachstellendaten basierend auf Schweregradfiltern aus dem Produkt Tenable.sc ab und verarbeitet sie in Ihrer Instanz. Angreifbare Elemente werden für Erkennungsdatensätze erstellt, die sich im Status „ Offen “ und „Erneut geöffnet“ befinden, da für diese Datensätze eine Korrektur erforderlich ist. Vorhandene angreifbare Elemente werden von Vulnerability Response aktualisiert, wenn die Erkennungen behobensind. Angreifbare Elemente werden jedoch standardmäßig nicht für reparierte Erkennungen erstellt, da Tenablebehobene Schwachstellen als gemindertbetrachtet.
    • Wenn im Setup-Assistenten die Kennzeichnung Schwachstellenzeiten für Erkennungen fester Schwachstellen erstellen aktiviert ist, werden im Status „ Fest “ neue VIs erstellt, sodass Sie Einblick in die Erkennungen haben, von denen sie erstellt wurden. Da VIs für feste Erkennungen erstellt werden, die in Ihrer Instanz noch nicht vorhanden sind, kann sich dies negativ auf Ihre Importleistung auswirken. Möglicherweise möchten Sie diese Funktion deaktiviert lassen, sodass feste Erkennungen nur die Status vorhandener angreifbarer Elemente aktualisieren.
    • Erstellt eindeutige CIs für nicht abgeglichene Assets oder aktualisiert vorhandene CIs mit dem Attribut des Netzwerkpartitionsbezeichners für Assets in Ihrer Umgebung, die dieselbe IP-Adresse verwenden.
    • Koordiniert die REST-Nachrichtenaufrufe an die Schwachstellen-API.
    • Die Ausgabe dieser Integration sind geschlossene/reparierte angreifbare Elemente (VIs). Außerdem werden Assets und Einträge von Drittparteien erstellt, falls diese nicht vorhanden sind.

    Diese Integrationsausführung ist eine geplante Ausführung. Es handelt sich um eine verkettete Integration. Das heißt, nachdem eine Ausführung erfolgreich abgeschlossen wurde, wird die unten beschriebene Tenable.sc Integration offener Schwachstellen ausgelöst.

    Hinweis:
    Standardmäßig sind die Familien-IDs 0 und 39 von dieser Integration ausgeschlossen.
    Tenable.sc Integration offener Schwachstellen
    • Diese Integration wird nach erfolgreichem Abschluss der Tenable.sc Integration für behobene Schwachstellen ausgelöst.
    • Ruft Schwachstellendaten basierend auf den im Produkt Tenable.sc ausgewählten Abfragefiltern ab und verarbeitet sie in Ihrer Instanz.
    • Erstellt entsprechende angreifbare Elemente für aktive Schwachstellen.
    • Erstellt eindeutige CIs für nicht abgeglichene Assets oder aktualisiert vorhandene CIs mit dem Attribut des Netzwerkpartitionsbezeichners für Assets in Ihrer Umgebung, die dieselbe IP-Adresse verwenden.
    • Koordiniert die REST-Nachrichtenaufrufe an die Schwachstellen-API.
    • Die Ausgabe dieser Integration ist Aktualisieren/Neu erstellen angreifbare Elemente (VIs), wenn sie noch nicht vorhanden sind. Außerdem werden Konfigurationselemente und Einträge von Drittparteien erstellt, falls sie nicht vorhanden sind.
    Hinweis:
    Standardmäßig sind die Familien-IDs 0 und 39 von dieser Integration ausgeschlossen.
    Tenable.sc Integration von Scan-Anmeldeinformationen
    • Diese Integration ruft die in Tenable.sckonfigurierten Scan-Anmeldeinformationen ab.
    • Koordiniert die REST-Nachrichtenaufrufe an die Anmeldeinformations-API.
    • Die Ausgabe dieser Integration sind Scan-Anmeldeinformationen, die in der Tabelle [sn_vul_tenable_scan_credential] ausgefüllt sind.
    • Die importierten Anmeldeinformationen werden für den Zugriff auf den Scanner verwendet, wenn Scananforderungen von Now Platforminitiiert werden.
    • Diese Integration soll wöchentlich ausgeführt werden.
    Tenable.sc Integration von Schwachstellen auffüllen
    • Diese Auffüllungsintegration importiert alle offenen und behobenen Schwachstellen, die bei einem Import möglicherweise übersehen wurden.
    • Diese Integration importiert sowohl offene als auch behobene Schwachstellen aus den letzten sieben Tagen, um Ihre Erkennungen und angreifbaren Elemente zu aktualisieren.
    • Diese Integration kann sich auf Ihre Leistung auswirken.
    • Diese Integration ist standardmäßig deaktiviert.
    • Um Ihre Schwachstellendaten zu aktualisieren und potenzielle Leistungsprobleme zu vermeiden, können Sie die Ausführung der Tenable.sc-Integrationen für feste Schwachstellen und offene Schwachstellen zu einem Zeitpunkt planen, zu dem keine anderen Scans ausgeführt werden.
    • Die Ausgabe dieser Integration ist:
      • Geschlossene/behobene angreifbare Elemente (VIs). Außerdem werden Assets und Einträge von Drittparteien erstellt, falls diese nicht vorhanden sind.
      • zum Aktualisieren/Erstellen neuer angreifbarer Elemente (VIs), wenn sie noch nicht vorhanden sind. Außerdem werden Konfigurationselemente und Einträge von Drittparteien erstellt, falls sie nicht vorhanden sind.

    Anwenderauthentifizierung und Tenable.sc

    Die Anwenderauthentifizierung wird von Ihrer Instanz Now Platform® und Version 5.13 des Produkts Tenable.sc unterstützt. Wenn Sie Version 5.12 des Produkts Tenable.sc verwenden, ist die Anwenderauthentifizierung erforderlich.

    Wenn Sie die Anwenderauthentifizierung für die Tenable.sc -Integrationen auswählen, können Token ablaufen und während der Integrationsausführungen ersetzt werden. In der Spalte „Hinweise“ im Datensatz der Schwachstellenintegrationsausführung (VIN) wird für einen Prozess die folgende Meldung angezeigt, wenn ein Token abläuft: Fehler: Tokenvalidierung ist fehlgeschlagen. Es ist keine Aktion erforderlich, wenn diese Nachricht angezeigt wird. Abgelaufene Token werden automatisch im Hintergrund aktualisiert, und die Nachricht zeigt keine Unterbrechung oder einen Fehler beim Integrationsprozess an.