Configuration des clés de granularité d’image de conteneur pour Réponse aux vulnérabilités pour conteneurs

  • Rversion finale: Australia
  • Mis à jour 1 avr. 2026
  • 6 minutes de lecture

    • Vous pouvez configurer les clés qui génèrent des Réponse aux vulnérabilités pour conteneurs résultats (éléments vulnérables de conteneur) pour vous aider à déterminer comment et quand elles sont créées à partir des données de vulnérabilité de conteneur importées.

    Vue d’ensemble des clés de vulnérabilité d’image de conteneur et de la façon dont elles génèrent des résultats

    Lorsque les images de conteneurs sont analysées pour détecter des vulnérabilités, une fonctionnalité de granularité contrôle la manière dont les résultats (éléments vulnérables de conteneur ou CVIT) sont créés en fonction des clés que vous pouvez configurer pour l’application Container Vulnerability Response.

    Chaque intégration de scanner de vulnérabilité de conteneur tiers a son propre enregistrement sur la table Configurer les clés de vulnérabilité de l’image [sn_vul_container_image_vulnerability_keys] de votre ServiceNow AI Platform instance. Par défaut, un résultat (CVIT) est créé en combinant le référentiel d’images, la vulnérabilité et les données d’image importées par un produit de scanner.

    La granularité clé peut vous aider à afficher et à affecter les résultats à un niveau plus granulaire par service.

    Rôle requis : sn_vul_container.configure_vi_granularity

    Termes utilisés pour la granularité clé :

    Vulnérabilité

    Expositions aux vulnérabilités courantes CVE/CWE importées, Common Weakness Enumeration et autres données de vulnérabilité tierces utilisées pour créer des conclusions (CVIT) dans votre instance.

    CVIT
    Élément vulnérable de conteneur (également appelé résultat), qui est généré par défaut à l’aide de données d’image, de référentiel d’images et de vulnérabilité pour sa configuration de clé.
    Grappe
    Données importées sur un groupe d’ordinateurs ou de nœuds de travail qui exécutent des applications en conteneur.
    Espace de noms
    Importez des noms uniques de ressources pour les isoler au sein d’une seule grappe.
    Service
    Conteneurs de dépendances d’applications qui vous permettent de gérer et de déployer des applications en conteneur. Dans ce contexte, pour la granularité et la configuration des clés :
    • Environnement Elastic Container Service (ECS) : Grappe et Service sont des options pour la configuration des clés.
    • Environnement Elastic Kubernetes Service (EKS) : espace de noms, grappe et service sont des options pour la configuration des clés.

    Chaque clé de produit a un enregistrement unique sur la liste. Les hiérarchies de configuration clés suivantes pour les environnements ECS et EKS partagent la même configuration de granularité située à Tous > Réponse aux vulnérabilités des conteneurs > Administration > Configurer la granularité VI.

    Si vous souhaitez configurer la granularité clé, vous devez effectuer vos changements et mettre à jour l’enregistrement avant d’importer des données avec vos intégrations tierces.

    AWS ECS (service de conteneur Elastic)

    Les environnements ECS sont organisés en grappes et en services, où une grappe peut contenir plusieurs services.

    • Grappes
    • Services
    Relation hiérarchique entre les grappes et les services

    Si vous définissez la granularité de la clé de sorte qu’elle soit définie pour ajouter le composant de grappe (case à cocher Grappe sélectionnée sur l’enregistrement Configurer la granularité VI des clés de vulnérabilité de l’image), un résultat (CVIT) est créé par grappe. Si vous sélectionnez les options de grappe et de service pour la clé, un résultat (CVIT) est créé pour chaque combinaison de grappe/service unique, ce qui permet d’affecter la propriété du rattrapage à un niveau plus granulaire par service.

    Par exemple, supposons que votre environnement comporte deux clusters, Cluster 1 et Cluster 2, et quatre services : Service 1, Service 2, Service 3 et Service 4. Les CVIT que vous avez créées sont affichées dans le tableau suivant.

    Les données de grappe et de service peuvent provenir de la charge utile du scanner (informations sur le scanner) ou de ServiceNow Discovery (informations sur la découverte). Cette option peut affecter la façon dont les CVIT sont créés, en fonction de vos sélections de clés.

    Tableau 1. Paramètres de granularité clés
    Source de données Case à cocher de grappe sélectionnée Case à cocher Service sélectionnée CVIT créés
    Informations sur le scanner x Deux CVIT sont créés, un pour chaque grappe, la grappe 1 et la grappe 2.
    Informations sur le scanner x x Plusieurs CVIT (4) sont créés pour prendre en charge deux grappes et quatre services :
    • Grappe 1/Service1
    • Grappe 1/Service 2
    • Grappe 2/Service 3
    • Grappe 2/Service 4
    Découverte
    Remarque :
    Si Découverte est sélectionné comme source de données, la source de vérité pour les grappes et les services provient de ServiceNow Découverte, et non de la charge utile du scanner.
    		 x Une CVIT est créée pour la grappe 3. Si Discovery ne trouve que la grappe 3 pour cette image, une seule CVIT est générée, indépendamment de ce que le scanner sait.

    Par défaut, Discovery Information (Informations de découverte ) est sélectionné. Si vous souhaitez que les informations de découverte soient la source de données de la clé, la tâche planifiée [Remplir les relations d’image] s’exécute quotidiennement pour pré-importer les détails de la grappe et du service, et vous devez planifier vos exécutions d’intégration tierce pour qu’elles démarrent au moins quatre heures après la fin de cette tâche planifiée pour vous assurer que les données préalables à l’importation sont disponibles. Cette tâche est activée quotidiennement par défaut, mais vous devez définir la planification correspondante avant les importations de votre intégration tierce planifiée.

    Remarque :
    Pour les nouveaux clients uniquement à partir de la version x.xx.

    La propriété système [sn_vul_container.image_relationship_mapping_months] définit le nombre de mois en arrière (1 à 12) pendant lesquels votre intégration d’analyse tierce recherche des mises à jour d’images de conteneurs lors du traitement des mappages de relations. Ces données sont utilisées pour filtrer les images par le champ [sys_updated_on].

    Le paramètre par défaut est de trois mois (90 jours). Si vous ne modifiez pas cette valeur, une fois que vous avez configuré l’importation de votre intégration de scanner, un mappage de relations est créé pour les images analysées au cours des 90 derniers jours par défaut et présentes dans les images de conteneurs détectées.

    Renseignement des données

    Avant la prise en charge d’ECS avec la version 30.3 compatible (USEM) et la version 2.18 (Core), il existait deux ensembles de colonnes sur la table Élément vulnérable du conteneur [sn_vul_container_image_vulnerable_item] pour les données renseignées :

    • Les colonnes Espace de noms d’image et Grappes d’images s’affichent si la source de données Informations du scanner est sélectionnée pour la configuration de clé.
    • Espaces de noms Kubernetes, grappes Kubernetes et services Kubernetes si la source de données Informations sur la découverte est sélectionnée pour la configuration de clé.
    À partir des versions 30.3 et 2.18, les colonnes suivantes de la table Élément vulnérable de conteneur [sn_vul_container_image_vulnerable_item] ont été renommées pour correspondre aux sources de données :
    • Grappe (scanner), espace de noms (scanner) et service (scanner) si la source de données Informations du scanner est sélectionnée pour la configuration de clé.
    • Grappe (découverte), espace de noms (découverte) et service (découverte) si la source de données Informations de découverte est sélectionnée pour la configuration de clé.
    Remarque :

    Dans l’enregistrement d’image de conteneur Docker CMDB de la table Image de conteneur détecté [sn_vul_container_image], seules les informations du scanner sont directement renseignées avec les noms de colonnes répertoriés ci-dessus.

    Vous pouvez afficher les données basées sur la découverte (grappe/espace de noms/service) en ouvrant l’enregistrement d’image Docker sur l’enregistrement Image du conteneur détecté. Sur cet enregistrement, affichez la section Éléments/relations connexes pour les données renseignées par Informations de découverte.

    AWS EKS (service élastique Kubernetes )

    Dans les enregistrements Configurer les clés de vulnérabilité de l’image, vous pouvez ajouter trois clés supplémentaires à la clé par défaut pour les environnements EKS :

    • Espace de noms
    • Registre
    • Service
    Relation hiérarchique pour l’espace de noms et les services de grappe

    Les environnements EKS ont une hiérarchie à trois niveaux : clusters/espaces de noms/services. Si vous sélectionnez les trois niveaux (grappe + espace de noms + service), les résultats sont générés avec la granularité la plus prise en charge. L’option permettant de sélectionner la source de données en tant qu’Informations sur l’analyseur ou Informations sur la découverte est prise en charge pour EKS.

    Par exemple, disons que vous avez la grappe 1, espace de noms 1, et deux services, Service 1 et Service 2. Si vous sélectionnez les trois niveaux, deux CVIT sont créées pour la granularité la plus prise en charge, une pour chaque service.

    Si, par contre, vous sélectionnez la grappe 1 et l’espace de noms 1 pour cet exemple, une CVIT est créée pour un espace de noms.