Tenable-Erkennungen basierend auf der Schwachstelleninstanz aufteilen, um angreifbare Elemente aufzuteilen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • ServiceNow® Vulnerability Response ermöglicht die Aufteilung von Erkennungen von Tenable-Scannern, wodurch für jede erkannte Schwachstelleninstanz ein spezifisches angreifbares Element (Unique VIT) erstellt werden kann. Diese Aufteilung ermöglicht die Zuweisung von VITs zu verschiedenen Nachbesserungsteams, wodurch die Verwaltung und Nachverfolgung von Schwachstellen verbessert wird.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Die Nutzlast des Tenable-Scanners enthält Erkennungsdaten, wobei jeder Pfad innerhalb des Nachweises zur Aufteilung der Erkennungen verwendet wird. Das Ausgabe-Tag in der Nutzlast gibt den Ort der Schwachstelle an und erleichtert so die genaue Identifizierung und Verwaltung von Schwachstellen entsprechend ihren spezifischen Pfaden.

    Prozedur

    1. Legen Sie in der Tabelle „Drittparteiintegrationen“ [sn_sec_int_integration] den Wert Nachweis in VI-Schlüsselspalte einschließen für Tenable.io und Tenable.scauf true fest.
    2. Navigieren zu Alle > Vulnerability Response > Administration > VI-Granularität konfigurieren.
    3. Aktivieren Sie im Formular „Port einbeziehen“ das Kontrollkästchen Port einbeziehen, und wählen Sie den Link Hier klicken.
    4. Wählen Sie in der Liste Nachweis zu VI-Schlüssel hinzufügen die Option Neuaus.
    5. Fügen Sie im Formular „Nachweis zum VI-Schlüssel hinzufügen – Neuer Datensatz“ im Feld Schwachstelle die Tenable-ID hinzu, für die Sie den Nachweis einschließen möchten.
      Hinweis:
      Sie können die Erkennungen nur basierend auf Pfadinformationen oder durch Kombination von Pfad- und Versionsdetails aufteilen. Weitere Informationen finden Sie im Abschnitt „Erkennungen von Tenable-Scannern aufteilen“ auf dieser Seite.
    6. Im Feld Regulärer Ausdruck zur Aufteilung von Tenable-VITs :
      • Teilen Sie die Erkennung nur basierend auf dem Pfad auf, indem Sie Pfad\s+:\s+([A\n]+) eingeben.
      • Teilen Sie die Erkennung basierend auf dem Pfad sowie den installierten und festen Versionen auf, indem Sie Pfad\s+:\s+([A\n]+)\n\s+linstalliert\s+version\s+:\s+([A\n]+) eingeben. \n\s+Repariert\s+Version\s+:\s+([A\n]+).
    7. Wählen Sie Absenden.

    Erkennungen von Tenable-Scannern aufteilen

    Die folgende Erkennung von einem Tenable-Scanner zeigt im Ausgabe-Tag einen Nachweis, der sowohl Pfad- als auch Versionsinformationen enthält.

    
        "results":


                      "asset":
                            "agent_uuid": *92124caabdb9459baa9d053186df48b9",
                           "bios_uuid": "ec2cbbfd-dc9e-efbf-acdd-485daZe8c7df"
                           "device_ type": "aws-ec2-instance",
                             "fqdn": "ip-ac0a0004. secops.com",
                            "hostname": "ip-ac0a0004",
                "uuid": "486acb3b-674f-477a-bc37-660a7bba37b3",
                             "ipv4": "18.220.145.158",
                             "last_authenticated_results": "2024-05-17T03:34:04.424Z",

                            "mac_address": "0a:3e:8b:ed:63:e6",
                           "netbios name": "IP-AC0A0094".
                           "operating_system": [
                                   "Microsoft Windows Server 2019 Datacenter Build 17763"


                            "network_id": "00000000-0000-0000-0000-000000000008",

                           "tracked": true


                     "output": "In                                     C: 11 Program Files (x86) \ \Common Files\\0racle\\Java\\javapath_target_119044062511\n Installed version : 1.8.0_361.9\n Fixed version                                                                                                                                                                                                                                                                            Path
                     "plugin":
                             "bid":
                                     123456


                            "checks_for_default_account": false,
                          "checks_for malware": false,

                              "coe":
                           "cpe:/a:notepad-plus-plus:notepad%5c%2b15ck2b"


                             "cvSs3_base_score": 7.8,
                           "cvss3 temporal score": 7.0,

                           "cvss3_temporal_vector": {
                                   "exploitability": "Proof-of-Concept",
                                   "remediation level": "Official Fix",
                                    "report_confidence": "Confirmed",
                                    "raw": "E: P/RL:0/RC: C"