Configurez la Intégration de vulnérabilités Invicti.

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le Intégration de vulnérabilités Invicti fonctionne correctement avec la Réponse aux vulnérabilités des applications fonctionnalité de Réponse aux vulnérabilités.

    Avant de commencer

    Rôles requis :
    • Administrateur pour installer et activer les applications
    • Groupe d’utilisateurs du gestionnaire App-Sec pour configurer l’intégration
    Complétez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.
    Vérifiez que l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Réponse aux vulnérabilités reportez-vous à la section .
    Vérifiez que le Intégration de vulnérabilités Invicti est installé et activé.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer l’intégration de Réponse aux vulnérabilités ServiceNow avec Invicti reportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe de gestionnaires App-Sec.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour l’intégration de vulnérabilité Inviciti, préparez votre ID d’utilisateur et votre jeton API .

    Contactez votre administrateur Invicti pour obtenir l’ID d’utilisateur et le jeton API si vous ne les connaissez pas.

    Pour plus d’informations, consultez le site Web des produits Invicti à l’adresse API Overview.

    Procédure

    1. Accédez à la Tous > Invicti > Configuration Invicti.
    2. Remplissez les champs.
      Champ Description
      URL D'API URL d’instance de l’utilisateur Invicti. Il s’agit des informations que vous avez obtenues de Préparez-vous pour le Intégration de vulnérabilités Invicti.
      ID d'utilisateur ID d’utilisateur unique.
      Jeton d'API Jeton d’API que vous avez généré à partir de votre console Invicti. Il s’agit des informations que vous avez obtenues de Préparez-vous pour le Intégration de vulnérabilités Invicti.
      Choisissez le type d’analyse. Vous devez en sélectionner au moins un.
      Importer DAST Option permettant d’inclure les vulnérabilités des analyses DAST. Les analyses DAST recherchent dynamiquement les vulnérabilités d’une application pendant son exécution. Cette approche peut imiter une attaque extérieure.
      Importer IAST Option permettant d’inclure les vulnérabilités des analyses IAST. Les analyses IAST détectent les vulnérabilités logicielles en interagissant avec le programme pendant son exécution. L’observation humaine, les tests automatisés et les capteurs sont utilisés en combinaison pour interagir avec l’application afin de localiser les vulnérabilités.
      Format de date Paramètre qui convertit l’heure de début au format pris en charge par l’API Invicti utilisée par l’intégration des éléments vulnérables de l’application Invicti.

      Ce paramètre doit correspondre au format que vous avez défini ou sélectionné dans votre compte Invicti, par exemple, jj/MM/aaaa. Vérifiez que les formats de date et d’heure de votre console Invicti correspondent à ceux que vous saisissez pour le format de date dans votre ServiceNow AI Platform instance.

      Pour modifier ce format dans votre console Invicti :

      1. Connectez-vous à Invicti Se connecter.
      2. Sélectionnez Nom d’utilisateur en haut à droite.
      3. Accédez à la Paramètres utilisateur > Format de date et d’heure.
      Remarque :
      Les importations peuvent échouer si vous saisissez un format de date non valide dans votre ServiceNow AI Platform instance.

      Si vous entrez un format valide dans votre instance qui diffère du format de date de votre console Invicti, Invicti renverra une charge utile vide.
      Gérer les exceptions dans ServiceNow Sélectionner un élément :
      Activé (sélectionné)
      Les éléments vulnérables de l’application (AVIT) d’Invicti avec des états tels que Présent et RisqueAccepté qui peuvent être différés dans votre instance sont mappés vers Ouvrir automatiquement.
      Désactivé (non sélectionné)
      Les états sources des éléments vulnérables de l’application (AVIT) importés d’Invicti sont conservés. Vous devez gérer les exceptions pour ces AVIT (les différer) à partir des enregistrements AVIT.

      Pour plus d’informations sur les états sources et les champs cibles Invicti, reportez-vous à la section Intégration de vulnérabilités Invicti Mappage de l’état.
      Gérer les faux positifs dans ServiceNow Sélectionner un élément :
      Activé (sélectionné)
      Les AVIT avec des états de Invicti tels que Présent et Faux positif qui peuvent passer à l’état Fermé dans votre instance sont plutôt mappés vers Ouvrir automatiquement.
      Désactivé (non sélectionné)
      Les états AVIT importés d’Invicti sont préservés. Vous devez gérer les faux positifs ou les faux positifs potentiels pour ces AVIT à partir des enregistrements AVIT.
    3. Sélectionnez Enregistrer et tester les informations d’identification.
    4. Facultatif : Modifiez vos règles de recherche afin qu’elles soient basées sur des éléments de configuration.

      Par défaut, la propriété système sn_vul.use_product_model est activée (définie sur vrai) pour vos règles de recherche répertoriées dans la table [sn_sec_cmn_ci_lookup_rule] en fonction du modèle de produit. Lorsque cette règle est activée :

      • Cette règle identifie les correspondances entre les données importées et les données de votre Base de données de gestion des configurations (CMDB) base sur le modèle de produit.
      • Les enregistrements sont créés ou mis à jour dans la table Discovered Applications (Applications découvertes) [sn_vul_app_release].
      • Lorsque vous créez ou modifiez vos règles de recherche pour Invicti, le modèle de produit s’affiche dans le champ Cible de recherche du formulaire de règle.

      Pour modifier vos règles afin qu’elles soient basées sur des éléments de configuration, vous devez désactiver manuellement (définir sur faux) la propriété système sn_vul.use_product_model .

      1. Accédez à la Tous > Propriétés système et localisez l’enregistrement sn_vul.use_product_model et définissez la valeur sur faux.
      2. Sélectionnez Mettre à jour.
      3. Accédez à la Tous > Opérations de sécurité > CMDB > Règles de recherche.
      4. Localisez les règles Nom de l’application et ID de l’application source qui ont pour cible de recherche l’élément de configuration.
      5. Cochez la case Actif pour ces règles.
      6. Sélectionnez Mettre à jour.
        Lorsque vous créez ou modifiez vos règles de recherche pour Invicti, notez que l’élément de configuration s’affiche dans le champ Cible de recherche du formulaire de règle. Les enregistrements sont créés ou mis à jour dans la table Applications numérisées [sn_vul_app_scanned_application].