Initiieren Sie den erneuten Scan für die Tenable.io -Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Stellen Sie sicher, dass Ihre angreifbaren Elemente zwischen den geplanten Scan-Zyklen korrigiert wurden, indem Sie erneut Scans auf der Tenable-Plattform initiieren. Sie können bei Bedarf von Ihrer Instanz Now Platform® aus einen erneuten Scan auf angreifbare Elemente für das Produkt Tenable.io initiieren.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.write_all oder sn_vul.write_assigned

    Stellen Sie sicher, dass Ihr Scanner aktiviert ist, bevor Sie beginnen. Navigieren zu Vulnerability Response > Schwachstellenscan > Scanner.

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Tenable.io bietet keine Unterstützung für das erneute Scannen auf Agent-basierten Computern.

    Um den Aufwand und das Volumen geplanter, vollständiger Scans zu reduzieren, können Sie als Besitzer der Remediation, IT-Spezialist, Schwachstellenanalyst oder Schwachstellenmanager bei Bedarf gezielte erneute Scans initiieren. können Sie Assets (Konfigurationselemente) in Ihren Umgebungen auf bestimmte Schwachstellen scannen. Sie können erneute Scans aus Datensätzen von angreifbaren Elementen (VI), Korrekturaufgaben (VUL), Drittparteieinträgen (TPE) oder erkannten Elementen (SDI) in der Instanz Now Platform initiieren. Durch erneute Scans können Sie überprüfen, ob durch Ihre Nachbesserungsaktivitäten, Patches und andere Aktionen bestimmte Schwachstellen in Ihren Configuration Items (CIs) erfolgreich behoben wurden.

    Hinweis:
    Wenn Sie einen erneuten Scan von Ihrer Instanz Now Platform® anfordern, ist die Auswahl der Anmeldeinformationen Vulnerability Response Integration with Tenable optional. Die ServiceNow® Tenable.io Integration für Scan-Anmeldeinformationen importiert und aktualisiert die Scanner-Anmeldeinformationen aus dem Produkt Tenable.io in Ihrer -Instanz. Diese Integration wird wöchentlich ausgeführt, um Ihre Tenable-Anmeldeinformationen zu importieren und sicher zu speichern.

    Beachten Sie, dass diese importierten Daten keine Tenable-Passwörter oder andere vertrauliche Tenable-Account-Informationen enthalten.

    Im Folgenden werden die Anmeldeinformationen beschrieben, die Sie importieren, damit Ihre Benutzer sie je nach Bedarf aus Ihrer Instanz Now Platform sehen können:
    • Mit der -Administrator-Anwenderrolle Tenable.io erstellte Anmeldeinformationen sind für Anwender in allen Ihren Organisationen verfügbar.
    • Mit der Organisationsbenutzerrolle Tenable.io erstellte Anmeldeinformationen sind nur für Anwender innerhalb dieser Organisation verfügbar. Diese Anmeldeinformationen werden für Benutzer außerhalb der Organisation des Erstellers nicht in den Now Platform importiert, es sei denn, sie werden für den Account des Benutzers freigegeben, der für die Verbindung mit der Instanz verwendet wird.

      Weitere Informationen finden Sie auf der Dokumentationswebsite Tenable.io.

    • Die Tenable.io Template Integration und die Tenable.io Scan Credential Integration müssen aktiviert werden, bevor erneute Scans initiiert werden können. Um weitere Informationen zur Integration der Scan-Anmeldeinformationen anzuzeigen, navigieren Sie zu Tenable-Schwachstellen-Integration > Integrationen > Integration von Tenable.io Scan-Anmeldeinformationen.
      Standardmäßig sind die Integrationen für Vorlagen- und Scan-Anmeldeinformationen deaktiviert. Wenn Sie Ihre Anmeldeinformationen für Tenable.ioeingeben, werden alle Tenable.io Integrationen automatisch aktiviert. So aktivieren oder deaktivieren Sie diese Integrationen manuell:
      1. Navigieren zu Alle > Tenable-Schwachstellen-Integration > Administration > Integrationen.
      2. Suchen Sie in der angezeigten Liste nach den Tenable.io Integrationsdatensätzen, die Sie benötigen.
      3. Öffnen Sie jeden Datensatz, und aktivieren Sie das Kontrollkästchen Aktiv, um die Integration zu aktivieren.
      4. Klicken Sie auf Aktualisieren, um die Änderungen zu speichern.
      5. Kehren Sie zum Setup-Assistenten zurück, um mit der Konfiguration für Tenable Vulnerability Integration mit Vulnerability Responsefortzufahren.

    Weitere Informationen zum Konfigurieren der Produkte Tenable.io und Tenable.sc finden Sie unter Konfigurieren Sie die Tenable-Schwachstellen-Integration mit dem Setup-Assistenten.

    Angenommen, Ihre gesamte Umgebung wird alle drei Wochen gescannt. Der letzte vollständige Scan wurde vor einer Woche abgeschlossen, Sie haben jedoch gestern einen Patch angewendet, um eine kritische Schwachstelle zu beheben. Aufgrund der Art dieser Schwachstelle können Sie nicht zwei Wochen auf den nächsten geplanten Scan warten, um sicherzustellen, dass sie behoben wurde. Um sicherzustellen, dass Ihr Patch eine kritische Schwachstelle erfolgreich behoben hat, die bei einem früheren Scan erkannt wurde, können Sie einen gezielten erneuten Scan von Now Platform für angreifbare Elemente vom Typ Tenable.io initiieren.

    Sie können aktualisierte Ergebnisse für die Datensätze anzeigen, aus denen Sie die Scans nach dem nächsten geplanten Import der Integration behobener Schwachstellen initiiert haben.

    Während der Ausführung der Integration werden mehrere Prozesse generiert, und Daten werden in Form von Seiten empfangen. Jeder Prozess kann einen oder mehrere Importwarteschlangeneinträge mit angehängten Daten in Seiten enthalten. Diese Einträge müssen die Daten innerhalb der Frist von einer Stunde verarbeiten. Wenn die Nutzlast jedoch groß ist, kann die Verarbeitungszeit eine Stunde überschreiten oder hängen bleiben, was zu einem Integrations-Timeout-Fehler führt. Die Integration verarbeitet die Daten weiterhin, auch wenn der Zeitüberschreitungsfehler aufgetreten ist. Um diese Fehlkommunikation zu vermeiden, werden ab Version 18.2.4 von Vulnerability Responseregelmäßig Zeitstempel (Heartbeats) gesendet, um anzuzeigen, ob die Warteschlange aktiv ist und Daten verarbeitet. Das Feld „Letzter verarbeiteter Datensatz“ auf der Seite „Importwarteschlangeneintrag“ wird basierend auf der Anzahl der Datensätze aktualisiert, die von der Importwarteschlange erstellt oder aktualisiert werden. Falls ein Importwarteschlangeneintrag die Zeitbegrenzung von einer Stunde überschreitet, prüft das System im Feld Letzter verarbeiteter Datensatz, ob er auch älter als eine Stunde ist. Wenn dies der Fall ist, weist dies darauf hin, dass der Importwarteschlangeneintrag feststeckt und eine Zeitüberschreitung aufweist, um weitere Verzögerungen bei der Verarbeitung zu verhindern.
    Hinweis:
    Das Feld „Letzter verarbeiteter Datensatz“ wird basierend auf den Einstellungen in den folgenden Systemeigenschaften aktualisiert:
    • sn_sec_cmn.record_threshold_heartbeat: Definiert die Anzahl der verarbeiteten Datensätze, nach denen der Takt (Zeitstempel) an den Importwarteschlangeneintrag gesendet wird.
    • sn_sec_cmn.maximum_heartbeat_delay: Definiert die Zeit, nach der das Zeitlimit für den Importwarteschlangeneintrag überschritten werden muss.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Angreifbare Elemente.
    2. Suchen Sie den Datensatz des angreifbaren Elements, von dem Sie einen erneuten Scan auslösen möchten, und öffnen Sie ihn.
      Hinweis:
      Wenn Sie den Scanner Tenable.io verwenden, können Sie erneute Scans für VIs nur mit Tenable.io als Quelle initiieren. Überprüfen Sie, ob Tenable.io in der Spalte „Quelle“ in den VI-Listenansichten oder in den Feldern „Quelle“ in einzelnen Datensätzen angezeigt wird. Sie können den Bedingungsgenerator verwenden, um AEs nach Quelle zu gruppieren. Oder, wenn die Spalte Quelle in der VI-Listenansicht nicht angezeigt wird, klicken Sie oben links in der Liste auf das Symbol Liste personalisieren (Zahnradsymbol), und verwenden Sie den Slushbucket, um die Quelle von Verfügbar in Ausgewähltzu verschieben.
    3. Alternativ navigieren Sie zu Alle > Vulnerability Response > Korrekturaufgaben oder Vulnerability Response > Bibliotheken > Drittpartei für die Datensätze, die Sie für den erneuten Scan verwenden möchten.

      Abhängig von Ihrer Auswahl ist die Schaltfläche Erneut scannen für die folgenden Datensätze verfügbar:

      • In einem einzelnen VI-Datensatz muss sich das VI in einem anderen Status als „Geschlossen“befinden. Bei mehreren VI-Datensätzen müssen alle VIs aus dem Produkt Tenable.io stammen und sich in einem anderen Status als Geschlossen befinden.
      • Für Korrekturaufgaben-Datensätze werden nur Korrekturaufgaben in einem anderen Status als „Geschlossen“ unterstützt. Alle zugeordneten VIs müssen sich in einem anderen Status als „Geschlossen“ befinden und Tenable.io als Quelle verwenden.
      • In einem TPE-Datensatz (Drittparteieintrag) muss der Datensatz über mindestens einen zugeordneten VI-Datensatz aus dem Produkt Tenable.io in einem anderen Status als Geschlossenverfügen.
      • Bei Datensätzen erkannter Elemente muss dem Datensatz mindestens ein VI-Datensatz aus dem Produkt Tenable.io in einem anderen Status als „Geschlossen“zugeordnet sein.
      • In der Liste „Angreifbare Elemente“ können Sie einzelne angreifbare Elemente auswählen, die Sie erneut scannen möchten. Verwenden Sie das Menü Aktionen für ausgewählte Zeilen unten links im Bildschirm, um den erneuten Scan zu starten. Sie werden aufgefordert, Ihre Anmeldeinformationen einzugeben.
    4. Klicken Sie oben rechts in einem Datensatz auf Erneut scannen.
      Sie werden aufgefordert, die Instanz(en) für den erneuten Scan und die Scanner-Anmeldeinformationen auszuwählen, die Sie für den Zugriff auf den Scanner verwenden möchten. Die angezeigten Anmeldeinformationen sind diejenigen, die von der Tenable.io Integration zum Scannen von Anmeldeinformationen importiert wurden.
    5. Wählen Sie im Dialogfeld die Instanz und/oder Instanzen und die Anmeldeinformationstypen aus, die Sie verwenden möchten.

      In der folgenden Abbildung ist eine Integrationsinstanz, Tenable.io, zu sehen. Wenn Sie mehr als eine Instanz Tenable.io haben, werden sie alle im Abschnitt „Tenable.io“ im Formular angezeigt.

      Tenable.io-Scan-Anmeldeinformationen und -Integrationsinstanzen werden angezeigt
      FeldBeschreibung
      Tenable.io instance Wählen Sie eine Tenable.io -Integrationsinstanz aus, aus der Sie den erneuten Scan initiieren möchten.

      Alle Ihre Integrationsinstanzen für Tenable.io werden angezeigt. Wenn ein VI in mehr als einer Integrationsinstanz vorhanden ist, können Sie diesen Filter verwenden, um die Anzahl der Instanzen, die Sie scannen möchten, einzuschränken oder zu erweitern.

      Hinweis:
      Wenn Sie VIs aus einem Korrekturaufgaben-Datensatz für eine einzelne Integrationsinstanz erneut scannen möchten, werden nur die aktiven VIs gescannt, die dieser Korrekturaufgabe für diese Instanz unter Verwendung der von Ihnen ausgewählten Anmeldeinformationen zugeordnet sind.
      Typfilter für Scanner-Anmeldeinformationen Verwenden Sie diesen Filter, um Anmeldeinformationen nach Typ anzuzeigen.
      Bereich mit Scanner-Anmeldeinformationen, Instanz Tenable.io, Scanner-Anmeldeinformationstyp Dies sind die verfügbaren Scanner-Anmeldeinformationen, die aus den -Produkten Tenable.io importiert wurden.

      Wählen Sie mindestens eine Anmeldeinformation für den Scan aus.
    6. Klicken Sie auf Erneutes Scannen anfordern.

      Es wird eine Nachricht angezeigt, die anzeigt, dass Ihr Scan verarbeitet wird und ein übergeordneter Scan-Datensatz erstellt wird. Der Status für alle untergeordneten Scans kann jederzeit unter den zugehörigen Scan-Listen in den VI-, Korrekturaufgaben-, TPE- und SDI-Datensätzen gefunden werden, die Sie zum Starten der erneuten Scans verwendet haben. Klicken Sie in der Nachricht auf Details anzeigen, um den Status des erneuten Scans und alle anderen von einem bestimmten Datensatz gestarteten erneuten Scans anzuzeigen.

      Das Feld „Status“ im übergeordneten Scan-Datensatz wird als abgeschlossen markiert, nachdem alle untergeordneten Scans erfolgreich abgeschlossen wurden. Das untergeordnete Element scannt Importdaten. Jeder Scan unterstützt eine eindeutige Kombination aus Integrationsinstanz, TPE, IP und Netzwerk-ID. Möglicherweise werden in einem übergeordneten Scan-Datensatz mehrere untergeordnete Scans angezeigt. Beispiel: Die maximale Anzahl von IP-Adressen, die ein untergeordneter Scan unterstützen kann, beträgt 1000. Wenn für ein angreifbares Element 1002 IPs vorhanden sind, werden zwei untergeordnete Scans erstellt und in der zugehörigen Liste „Scans“ aufgeführt, um die Anforderung zu unterstützen. Der übergeordnete Scan-Datensatz ist ein Container für die untergeordneten Scans, und sein Status spiegelt den Status der untergeordneten Scans wider.

      Ihre Instanz Now Platform® verfolgt den Status des erneuten Scannens bis zum erfolgreichen Abschluss oder bis zum Ablauf des festgelegten Nachverfolgungszeitraums (je nachdem, was zuerst eintritt). Die Zeitüberschreitung beendet den Scanvorgang nicht. Die Zeitüberschreitung bezieht sich auf den Zeitpunkt, zu dem Now Platform® die Nachverfolgung des Status des erneuten Scannens beendet hat, und nicht darauf, wann der tatsächliche erneute Scan beendet wurde. Alle AEs, die in den Status „Geschlossen“/„Behoben“ überführt wurden oder werden, werden mit dem nächsten geplanten Import der Tenable.io Integration behobener Schwachstellen importiert.

      Bei Scans, bei denen ein Fehler auftritt, können Sie die untergeordneten Scans im übergeordneten Scan-Datensatz überprüfen. Zeigen Sie den Fehler in der Antwortnutzlast des untergeordneten Scans an.

      Sie können aktualisierte Ergebnisse für die Datensätze anzeigen, aus denen Sie die Scans nach dem nächsten geplanten Import der Integration behobener Schwachstellen initiiert haben.