Réponse aux vulnérabilités Détections d’éléments vulnérables à partir d’intégrations tierces

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • Affichez toutes les informations recueillies par les analyses tierces dans votre ServiceNow AI Platform® instance. Affichez les résultats renvoyés des analyses sur les enregistrements de détection et d’éléments vulnérables (EV) dans votre instance tels que ces résultats sont affichés sur les scanners.

    Vue d'ensemble

    L’application Réponse aux vulnérabilités prend en charge les intégrations tierces qui récupèrent les données des éléments vulnérables de votre environnement d’entreprise. Les données détaillées sur les détections, c’est-à-dire les occurrences uniques et distinctes des vulnérabilités telles que rapportées par les scanners de vos intégrations tierces, sont importées et affichées dans les enregistrements de détection et d’éléments vulnérables de votre ServiceNow AI Platform instance.

    Les intégrations tierces récupèrent les données de détection des éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners. Les données de détection sont associées à des éléments vulnérables et l’état des VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par les données trouvées directement par un scanner.

    Dans les versions précédentes de , les détections d’éléments Réponse aux vulnérabilités vulnérables, la relation entre un CI (actif) dans votre environnement et une vulnérabilité importée à partir d’un scanner tiers a créé un élément vulnérable unique dans votre ServiceNow AI Platform instance.

    La granularité des données d’origine fournies par le scanner est préservée. Avec les détections, les données de détection sont associées à des éléments vulnérables. Lors d’une ingestion, si aucun élément vulnérable n’est trouvé, un nouvel élément vulnérable est créé.

    À partir de la version 21.1.2 de Réponse aux vulnérabilités, une propriété sn_vul.show_last_open_detection système est fournie dans le système de base. Par défaut, la valeur de cette propriété est définie sur faux et le comportement actuel d’agrégation des valeurs de la détection initiale vers l’élément vulnérable reste inchangé. Toutefois, si cette option est définie sur vrai, un élément vulnérable est automatiquement mis à jour avec la dernière détection ouverte après une ingestion. Les champs tels que adresse IP, SSL, Port, Protocole, NetBIOS et Preuve sont mis à jour pour les détections de VI. Si nécessaire, vous pouvez personnaliser les champs de détection qui doivent être mis à jour en modifiant le script DetectionBase .

    Pour afficher les valeurs de la dernière détection ouverte, accédez à l’onglet Dernière détection ouverte sur la vue de formulaire VI. Pour mettre à jour tous les VI ouverts au cours de l’année écoulée avec les dernières valeurs de détection ouvertes, vous pouvez exécuter la tâche Update Last Open Detection Value To VITs planifiée sur demande. Cette tâche planifiée est également fournie dans le système de base.

    Remarque :
    Lorsqu’un élément de configuration (CI) change sur un élément détecté, les mises à jour correspondantes sont également reflétées dans les détections. Par conséquent, les détections peuvent être déplacées d’un VI à un autre VI. En fonction de ce changement et de la valeur de la sn_vul.show_last_open_detection propriété, les valeurs des détections sont déployées sur les VI source et cible.

    Versions prises en charge de Réponse aux vulnérabilités

    Pour plus d’informations sur l’installation ou la mise à jour de l’application, reportez-vous à la Réponse aux vulnérabilités section Installer Réponse aux vulnérabilités.

    Intégrations tierces prises en charge

    Une intégration tierce prise en charge dans votre Réponse aux vulnérabilités application est requise pour les détections d’éléments vulnérables. Les intégrations tierces suivantes sont prises en charge par l’application pour les détections d’éléments Réponse aux vulnérabilités vulnérables :
    • Intégration de la détection d’hôte Qualys
    • Entrepôt de données Rapid7 :
      • Intégration d’élément vulnérable
      • Intégration de la résolution de l’élément vulnérable
    • Intégration de la résolution des éléments vulnérables Rapid7 (InsightVM)
      • Intégration de VM Insight
      • Intégration d’élément vulnérable : API
    • Tenable Vulnerability Integration
    • Microsoft Defender Vulnerability Management

    Ces intégrations tierces sont disponibles avec un abonnement distinct à partir ServiceNow Store du . Pour en savoir plus sur ces intégrations, consultez Intégrations de Réponse aux vulnérabilités et Opérations de sécurité et le ServiceNow Store pour obtenir des informations sur l’obtention des droits.

    Pour vérifier que votre scanner tiers est configuré pour l’importation, consultez Installer et configurer l’application Rapid7 Integration for Security Operations et Installer Qualys Vulnerability Integration.

    Termes clés pour les détections d’éléments vulnérables

    Vulnérabilité
    Données sur les faiblesses des logiciels, des systèmes d’exploitation et des actifs importés de sources internes et externes. Ces données sont importées et comparées aux actifs existants (éléments de configuration, CI) répertoriés dans la CMDB.
    Élément vulnérable
    Un élément vulnérable est créé ou mis à jour lorsqu’une vulnérabilité importée correspond à un CI dans la CMDB.
    Détection
    Occurrence unique et distincte d’une vulnérabilité telle que signalée par un scanner appelée détection d’élément vulnérable dans l’environnement ServiceNow AI Platform . Une détection inclut des données enrichies sur une vulnérabilité et tous les éléments vulnérables correspondants. Ces données sont affichées dans l’enregistrement de détection (VID#) et la vue de liste des éléments vulnérables, qui comprend les détails suivants :
    • Première occurrence trouvée (données)
    • Dernier trouvé (date)
    • Nom DNS
    • Nom du BIOS du réseau
    • Adresse IP
    • Port
    • Protocole
    • Preuve
    • SSL
    • Durées trouvées
    Remarque :
    L’ajout d’une règle métier à la table de détection aura un impact sur les performances de l’ingestion.
    Clé de détection
    Combinaison hachée de champs qui permet d’identifier et de lier une détection à un élément vulnérable. Les clés de détection sont spécifiques à l’intégration.
    Tableau 1. Configurations des clés de détection
    Scanner Vulnérabilité Port Protocole ID de l'actif Preuve Carte réseau
    Qualys Oui Oui Oui Oui Non N/A
    Tenable Oui Oui Oui Oui Non N/A
    Rapid7 Oui Oui Oui Oui Oui (il n’est pas sensible à la casse) Oui
    Remarque :
    • Si la clé de détection n’est pas spécifiée, ou pour les versions antérieures à Réponse aux vulnérabilités 14.0, la clé de détection est une combinaison d’entrée de vulnérabilité, de port, de protocole, d’ID d’actif et de preuve.
    • À partir de la version 19.0 de , une nouvelle clé de Réponse aux vulnérabilités détection NIC est ajoutée pour Rapid7 InsightVM, qui est activée par défaut. Les détections existantes sans carte réseau sont mises à jour avec la première carte réseau entrante dans la charge utile de Rapid7. La clé de détection est recalculée et renseignée sur la carte réseau incluant la détection. De nouvelles détections sont créées si des détections similaires sont observées avec des valeurs de carte réseau différentes. Ces données ne sont pas déployées dans la table des éléments vulnérables. La valeur de la carte réseau est stockée dans une nouvelle colonne de la table sn_vul_detection_key_config et sn_vul_detection.
    De dup
    Processus utilisé par l’application Réponse aux vulnérabilités de la réduction des détections individuelles en un seul VI lorsque les données répondent à certains critères codés en dur.
    ID externe VI
    Valeur stockée dans le champ ID externe de la table des VI. Cette valeur est un hachage composé de la combinaison de clés au sein d’un VI qui représente ce qui le rend unique dans l’application. Il est composé d’un CI et d’une entrée vulnérable.

    Rouvrir les éléments vulnérables résolus

    Les éléments vulnérables définis sur Résolu dans votre ServiceNow AI Platform instance, mais qui ne sont pas passés à l’état Fermé/Corrigé par les exécutions d’intégration suivantes sont rouverts s’ils sont détectés lors de nouvelles analyses.

    Les VI fermés avec un sous-état fixe ou périmé sont rouverts si une nouvelle détection est créée et que les VI peuvent être mis en correspondance avec la nouvelle vulnérabilité.

    Selon la méthode _shouldReOpenVI()include de script, DetectionBase, si le VIT a été précédemment fermé avec le sous-état Fixe, Périmé ou CI désactivé, il est rouvert et la détection est mappée sur le VIT existant.

    Par exemple, supposons que la date de fermeture d’un VIT est postérieure à la date de last_found d’une détection. Vous vous attendez à ce que ces enregistrements VIT restent fermés. Toutefois, si vous voyez un VIT précédemment fermé rouvert, cela signifie que le VIT a été fermé par une détection antérieure et que la vulnérabilité a été trouvée à nouveau lors d’une analyse ultérieure. Lorsqu’une nouvelle détection est trouvée qui correspond au VIT fermé qui présente la même vulnérabilité sur l’élément de configuration du VIT, le VIT est rouvert.

    Pour Rapid7 les détections, une option est maintenant disponible sur la page de configuration Rapid7 de votre instance pour rouvrir les VI résolus par âge. Si cette option est activée, les VI définis sur Résolu , mais qui ne sont pas passés à l’état Fermé/Corrigé par les analyses suivantes repassent à l’état Ouvert après le nombre de jours que vous entrez.

    En ce Qualys qui concerne les détections, si le scanner continue de trouver des VI qui ont été définis sur Résolu , mais qui ne sont pas passés à l’état Fermé/Corrigé par les analyses suivantes, ces VI repassent à l’état Ouvert lorsque la dernière date de détection est postérieure à la date de résolution.

    Afficher les données de détection

    Vous affichez les données importées à partir des détections d’éléments vulnérables sur l’enregistrement de VI. Pour plus d'informations, consultez Afficher les Réponse aux vulnérabilités données de détection d’éléments vulnérables et Vérifier les Réponse aux vulnérabilités données de détection d’éléments vulnérables sur les enregistrements d’exécution de l’intégration (VINTRUN).