Lancer une nouvelle analyse pour l’intégration Tenable.io

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Vérifiez que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés en lançant de nouvelles analyses dans la plateforme Tenable. Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables pour le Tenable.io produit à partir de votre Now Platform® instance.

    Avant de commencer

    Rôles requis : sn_vul.write_all ou sn_vul.write_assigned

    Vérifiez que votre scanner est activé avant de commencer. Accédez à la Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.

    Pourquoi et quand exécuter cette tâche

    Remarque :
    Tenable.io ne prend pas en charge le lancement d’une nouvelle analyse sur les ordinateurs basés sur des agents.

    Pour aider à réduire les frais généraux et le volume liés aux analyses complètes planifiées, en tant que propriétaire du rattrapage, spécialiste informatique, analyste des vulnérabilités ou gestionnaire des vulnérabilités, vous pouvez lancer des réanalyses ciblées sur demande. Vous pouvez rechercher des vulnérabilités spécifiques sur les actifs (éléments de configuration) de vos environnements. Vous pouvez lancer de nouvelles analyses à partir d’enregistrements d’éléments vulnérables (VI), de tâches de rattrapage (VUL), d’entrée tierce (TPE) ou d’éléments détectés (SDI) depuis votre Now Platform instance. Les nouvelles analyses vous permettent de vérifier que vos activités de correction, correctifs et autres actions ont corrigé avec succès des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    Remarque :
    Lorsque vous demandez une nouvelle analyse à partir de votre Now Platform® instance, la sélection des informations d’identification Vulnerability Response Integration with Tenable est facultative. L’intégration ServiceNow® Tenable.io des informations d’identification de l’analyse importe et met à jour les informations d’identification du scanner à partir Tenable.io du produit dans votre instance. Cette intégration s’exécute chaque semaine pour importer et stocker en toute sécurité vos données d’identification Tenable.

    Notez que ces données importées n’incluent pas les mots de passe Tenable ou d’autres informations sensibles sur le compte Tenable.

    Les informations suivantes décrivent les informations d’identification que vous importez afin que vos utilisateurs puissent les voir au besoin à partir de votre Now Platform instance :
    • Les informations d’identification créées avec le Tenable.io rôle d’utilisateur administrateur sont disponibles pour les utilisateurs de toutes vos organisations.
    • Les informations d’identification créées avec le rôle d’utilisateur Tenable.io organisationnel ne sont disponibles que pour les utilisateurs au sein de cette organisation. Ces informations d’identification ne sont pas importées dans le Now Platform pour les utilisateurs extérieurs à l’organisation du créateur, à moins qu’elles ne soient partagées avec le compte de l’utilisateur utilisé pour se connecter à l’instance.

      Consultez le site Web de la Tenable.io documentation pour plus d’informations.

    • L’intégration Tenable.io de modèle et l’intégration des informations d’identification Tenable.io de numérisation doivent être activées avant de lancer de nouvelles analyses. Pour afficher plus d’informations sur l’intégration des informations d’identification de numérisation, accédez à Intégration de vulnérabilité tenable > Intégrations > Intégration des informations d’identification d’analyse Tenable.io.
      Par défaut, les intégrations de modèle et d’informations d’identification d’analyse sont désactivées. Lorsque vous saisissez vos informations d’identification pour Tenable.io, toutes les Tenable.io intégrations sont automatiquement activées. Pour activer ou désactiver manuellement ces intégrations :
      1. Accédez à la Tout > Intégration de vulnérabilité tenable > Administration > Intégrations.
      2. Dans la liste qui s’affiche, localisez les enregistrements d’intégration Tenable.io souhaités.
      3. Ouvrez chaque enregistrement et cochez la case Actif pour activer l’intégration.
      4. Cliquez sur Mettre à jour pour enregistrer vos modifications.
      5. Revenez à l’Assistant de configuration pour poursuivre votre configuration pour le Tenable Vulnerability Integration avec Vulnerability Response.

    Consultez Configurer l’intégration de vulnérabilité Tenable à l’aide de l’assistant de configuration pour plus d’informations sur la configuration des Tenable.io produits et Tenable.sc .

    Supposons que l’ensemble de votre environnement soit analysé toutes les trois semaines. L’analyse complète la plus récente a été terminée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines la prochaine analyse planifiée pour vérifier qu’elle a été corrigée. Pour vérifier que votre correctif a corrigé avec succès une vulnérabilité critique détectée lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform recherche Tenable.io d’éléments vulnérables.

    Vous pouvez afficher les résultats mis à jour sur les enregistrements à partir desquels vous avez lancé les analyses après la prochaine importation planifiée de l’intégration des vulnérabilités corrigées.

    Lors de l’exécution de l’intégration, plusieurs processus sont générés et les données sont reçues sous forme de pages. Chaque processus peut contenir une ou plusieurs entrées de file d’attente d’importation avec des données jointes dans les pages. Ces entrées doivent traiter les données dans le délai d’une heure. Toutefois, si la taille de la charge utile est importante, le temps de traitement peut dépasser une heure ou rester bloqué, ce qui entraîne une erreur de délai d’expiration d’intégration. L’intégration continue de traiter les données malgré l’erreur de délai d’expiration. Pour éviter cette mauvaise communication, à partir de la version 18.2.4 de , des horodatages (intervalles de Vulnerability Responsetravail) sont envoyés périodiquement pour indiquer si la file d’attente est active et traite des données. Le champ Dernier enregistrement traité de la page Entrée de file d’attente d’importation est mis à jour en fonction du nombre d’enregistrements créés ou mis à jour par la file d’attente d’importation. Si une entrée de file d’attente d’importation dépasse la limite de temps d’une heure, le système vérifie le champ Dernier enregistrement traité pour voir s’il date également de plus d’une heure. Si c’est le cas, cela indique que l’entrée de file d’attente d’importation est bloquée et qu’elle a expiré pour éviter tout retard supplémentaire dans le traitement.
    Remarque :
    Le champ Dernier enregistrement traité est mis à jour en fonction de ce qui est défini dans les propriétés système suivantes :
    • sn_sec_cmn.record_threshold_heartbeat: définit le nombre d’enregistrements traités, après quoi les intervalles de mise à jour (horodatage) sont envoyés à l’entrée de file d’attente d’importation.
    • sn_sec_cmn.maximum_heartbeat_delay: définit le délai après lequel l’entrée de file d’attente d’importation doit expirer.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez lancer une nouvelle analyse et ouvrez-le.
      Remarque :
      Si vous utilisez le Tenable.io scanner, vous ne pouvez lancer de nouvelles analyses que pour les VI dont Tenable.io la source est la source. Verify Tenable.io s’affiche dans la colonne Source des vues de listes de VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le créateur de condition pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue de listes VI, en haut à gauche de la liste, cliquez sur l’icône Personnaliser la liste (icône d’engrenage) et utilisez la zone de liste double pour déplacer la source de Disponible à Sélectionné.
    3. Vous pouvez également accéder à Tout > Réponse aux vulnérabilités > Tâches de remédiation ou Réponse aux vulnérabilités > Bibliothèques > Tiers pour les enregistrements que vous souhaitez utiliser pour la nouvelle analyse.

      Selon votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un seul enregistrement de VI, le VI doit être dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI doivent provenir du Tenable.io produit et être dans un état autre que Fermé.
      • Pour les enregistrements de tâches de rattrapage, seules les tâches de rattrapage dans un état autre que Fermé sont prises en charge. Tous les VI associés doivent être dans un état autre que Fermé et être utilisés Tenable.io comme source.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement Tenable.io de VI associé du produit dans un état autre que Fermé.
      • Sur les enregistrements d’éléments détectés, l’enregistrement doit avoir au moins un enregistrement de Tenable.io VI associé du produit dans un état autre que Fermé.
      • Dans la liste Éléments vulnérables, vous pouvez sélectionner des éléments vulnérables individuels que vous souhaitez scanner à nouveau. Utilisez le menu Actions sur les lignes sélectionnées en bas à gauche de l’écran pour lancer la nouvelle analyse. Vous êtes invité à entrer vos informations d’identification.
    4. En haut à droite d’un enregistrement, cliquez sur Analyser à nouveau.
      Vous êtes invité à choisir l’instance ou les instances pour la nouvelle analyse et les informations d’identification du scanner que vous souhaitez utiliser pour accéder au scanner. Les informations d’identification affichées sont celles importées par l’intégration des informations d’identification d’analyse Tenable.io .
    5. Dans la boîte de dialogue, sélectionnez l’instance et/ou les instances et les types d’informations d’identification que vous souhaitez utiliser.

      Dans l’image suivante, une instance d’intégration Tenable.io s’affiche. Si vous avez plusieurs instances, elles s’affichent Tenable.io toutes sous la section Tenable.io du formulaire.

      Tenable.io les informations d’identification d’analyse et les instances d’intégration affichées
      ChampDescription
      Instance Tenable.io Choisissez l’instance d’intégration Tenable.io à partir de laquelle vous souhaitez lancer une nouvelle analyse.

      Toutes vos instances d’intégration sont Tenable.io affichées. Si un VI existe dans plusieurs instances d’intégration, vous pouvez utiliser ce filtre pour limiter ou développer les instances que vous souhaitez analyser.

      Remarque :
      Si vous choisissez d’analyser à nouveau les VI à partir d’un enregistrement de tâche de rattrapage pour une seule instance d’intégration, seuls les VI actifs associés à cette tâche de rattrapage, pour cette instance, à l’aide des informations d’identification que vous sélectionnez sont analysés.
      Filtre de type d’informations d’identification du scanner Utilisez ce filtre pour afficher les informations d’identification par type.
      Volet avec informations d’identification du scanner, Tenable.io instance, type d’informations d’identification du scanner Il s’agit des informations d’identification du scanner disponibles importées à partir Tenable.io des produits.

      Choisissez une ou plusieurs informations d’identification à utiliser pour l’analyse.
    6. Cliquez sur Demander une nouvelle analyse.

      Un message s’affiche pour indiquer que votre analyse est en cours de traitement et qu’un enregistrement d’analyse parent est créé. L’état de toutes les analyses enfants peut être consulté à tout moment sous les listes connexes de l’analyse sur les enregistrements VI, Tâche de rattrapage, TPE et SDI que vous avez utilisés pour lancer les nouvelles analyses. Dans le message, cliquez sur Afficher les détails pour afficher l’état de la nouvelle analyse et afficher toutes les autres analyses lancées à partir d’un enregistrement donné.

      Le champ État de l’enregistrement d’analyse parent est marqué comme terminé une fois que toutes les analyses enfants sont terminées avec succès. Les analyses enfants importent les données. Chaque analyse prend en charge une combinaison unique d’instance d’intégration, de TPE, d’adresse IP et d’ID de réseau. Vous pouvez voir plusieurs analyses enfants sur un enregistrement d’analyse parent. Par exemple, le nombre maximal d’adresses IP qu’une analyse enfant peut prendre en charge est de 1 000. S’il existe 1 002 adresses IP pour un élément vulnérable, deux analyses enfants sont créées et répertoriées sur la liste connexe Analyses pour prendre en charge la demande. L’enregistrement d’analyse parent est un conteneur pour les analyses enfants et son état reflète l’état des analyses enfants.

      Votre Now Platform® instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine avec succès ou jusqu’à ce que la période de suivi définie expire, selon la première éventualité. Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état Now Platform® de votre nouvelle analyse a cessé, et non à la date à laquelle la nouvelle analyse s’est arrêtée. Tous les VI qui sont passés, ou qui passeront à l’état Fermé/Fixe , sont importés avec la prochaine importation planifiée de l’intégration Tenable.io des vulnérabilités corrigées.

      Pour les analyses qui génèrent une erreur, vous pouvez vérifier les analyses enfants sur l’enregistrement d’analyse parent. Affichez l’erreur dans la charge utile de réponse de l’analyse enfant.

      Vous pouvez afficher les résultats mis à jour sur les enregistrements à partir desquels vous avez lancé les analyses après la prochaine importation planifiée de l’intégration des vulnérabilités corrigées.