Réponse aux vulnérabilités Détections d’éléments vulnérables à partir d’intégrations tierces

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Affichez toutes les informations collectées par les analyses tierces dans votre Now Platform® instance. Affichez les résultats renvoyés des analyses sur les enregistrements de détection et d’éléments vulnérables (VI) de votre instance tels qu’ils sont affichés sur les scanners.

    Vue d'ensemble

    L’application Réponse aux vulnérabilités prend en charge les intégrations tierces qui récupèrent les données des éléments vulnérables de votre environnement d’entreprise. Les données détaillées sur les détections, c’est-à-dire les occurrences uniques et distinctes des vulnérabilités signalées par les analyseurs de vos intégrations tierces, sont importées et affichées à la fois sur les enregistrements de détection et les enregistrements d’éléments vulnérables dans votre instance Now Platform.

    Les intégrations tierces récupèrent les données de détection des éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners. Les données de détection sont couplées à des éléments vulnérables et l’état de VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par des données trouvées directement par un scanner.

    Dans les versions précédentes de , les détections d’éléments Réponse aux vulnérabilitésvulnérables, la relation entre un CI (actif) dans votre environnement et une vulnérabilité importée à partir d’un scanner tiers, créait un élément vulnérable unique dans votre instance Now Platform.

    La granularité des données d’origine fournies par le scanner est préservée. Avec les détections, les données de détection sont couplées à des éléments vulnérables. Lors d’une ingestion, si aucun élément vulnérable n’est trouvé, un nouvel élément vulnérable est créé.

    À partir de la version 21.1.2 de Réponse aux vulnérabilités, une propriété sn_vul.show_last_open_detection système est fournie dans le système de base. Par défaut, la valeur de cette propriété est définie sur false et le comportement actuel d’agrégation des valeurs de la détection initiale au VI reste inchangé. Toutefois, si elle est définie sur vrai, un VI est automatiquement mis à jour avec la dernière détection ouverte après une ingestion. Les champs tels que adresse IP, SSL, port, protocole, NetBIOS et Preuve sont mis à jour pour les détections de VI. Si nécessaire, vous pouvez personnaliser les champs de détection qui doivent être mis à jour en modifiant le script DetectionBase .

    Pour afficher les valeurs de la dernière détection ouverte, accédez à l’onglet Dernière détection ouverte sur la vue du formulaire VI. Pour mettre à jour tous les VI ouverts au cours de l’année écoulée avec les dernières valeurs de détection ouvertes, vous pouvez exécuter la tâche Update Last Open Detection Value To VITs planifiée sur demande. Cette tâche planifiée est également fournie dans le système de base.

    Remarque :
    Lorsqu’un élément de configuration (CI) change sur un élément détecté, les mises à jour correspondantes sont également reflétées dans les détections. Par conséquent, les détections peuvent être déplacées d’un élément vulnérable à un autre. En fonction de ce changement et de la valeur de la sn_vul.show_last_open_detection propriété, les valeurs des détections sont déployées sur les VI source et cible.

    Versions prises en charge de Réponse aux vulnérabilités

    Pour en savoir plus sur l’installation ou la mise à jour de l’application, reportez-vous à la Réponse aux vulnérabilités section Installer Réponse aux vulnérabilités.

    Intégrations tierces prises en charge

    Une intégration tierce prise en charge avec votre Réponse aux vulnérabilités application est requise pour les détections d’éléments vulnérables. Les intégrations tierces suivantes sont prises en charge par l’application pour les Réponse aux vulnérabilités détections d’éléments vulnérables :
    • Intégration de la détection d’hôte Qualys
    • Entrepôt de données Rapid7 :
      • Intégration d’éléments vulnérables
      • Intégration de résolution des éléments vulnérables
    • Intégration de résolution des éléments vulnérables Rapid7 (InsightVM)
      • Intégration d’Insight VM
      • Intégration d’éléments vulnérables : API
    • Tenable Vulnerability Integration
    • Gestion des menaces et des vulnérabilités par Microsoft Defender

    Ces intégrations tierces sont disponibles avec un abonnement distinct à partir du ServiceNow Store. Pour plus d’informations sur ces intégrations, consultez Intégrations de Réponse aux vulnérabilités et pour plus d’informations sur l’obtention d’autorisations.

    Pour vérifier que votre scanner tiers est configuré pour l’importation, consultez Installer et configurer l’application Rapid7 Integration for Security Operations et Installer Qualys Vulnerability Integration.

    Termes clés pour la détection des éléments vulnérables

    Vulnérabilité
    Données sur les faiblesses des logiciels, des systèmes d’exploitation et des ressources importées de sources internes et externes. Ces données sont importées et comparées aux actifs existants (éléments de configuration, CI) répertoriés dans la CMDB.
    Élément vulnérable
    Un élément vulnérable est créé ou mis à jour lorsqu’une vulnérabilité importée correspond à un CI dans la CMDB.
    Détection
    Une occurrence unique et distincte d’une vulnérabilité signalée par un scanner, appelée détection d’élément vulnérable dans l’environnement Now Platform . Une détection inclut des données enrichies sur une vulnérabilité et tous les éléments vulnérables correspondants. Ces données sont affichées dans l’enregistrement de détection (VID#) et dans la vue de liste des éléments vulnérables qui comprend les détails suivants :
    • Premier trouvé (données)
    • Dernier trouvé (date)
    • Nom DNS
    • Nom du BIOS net
    • Adresse IP
    • Port
    • Protocole
    • Preuve
    • SSL
    • Durées trouvées
    Remarque :
    L’ajout d’une règle métier à la table de détection impacte les performances de l’ingestion.
    Clé de détection
    Une combinaison hachée de champs qui fournit un moyen d’identifier et de lier une détection à un élément vulnérable. Les clés de détection sont spécifiques à l’intégration.
    Tableau 1. Configurations des clés de détection
    Scanner Vulnérabilité Port Protocole ID de l'actif Preuve Carte réseau
    Qualys Oui Oui Oui Oui Non N/A
    Tenable Oui Oui Oui Oui Non N/A
    Rapid7 Oui Oui Oui Oui Oui (il n’est pas sensible à la casse) Oui
    Remarque :
    • Si la clé de détection n’est pas spécifiée, ou pour les versions antérieures à Réponse aux vulnérabilités la version 14.0, la clé de détection est une combinaison de l’entrée de vulnérabilité, du port, du protocole, de l’ID d’actif et de la preuve.
    • À partir de la version 19.0 de , une nouvelle carte réseau de clé de Réponse aux vulnérabilitésdétection est ajoutée pour Rapid7 InsightVM, qui est activée par défaut. Les détections existantes sans carte réseau sont mises à jour avec la première carte réseau entrante dans la charge utile à partir de Rapid7. La clé de détection est recalculée et renseignée sur la carte réseau de détection incluse. De nouvelles détections sont créées si des détections similaires sont observées avec des valeurs de carte réseau différentes. Ces données ne sont pas déployées dans la table Élément vulnérable. La valeur NIC est stockée dans une nouvelle colonne de la table sn_vul_detection_key_config et sn_vul_detection.
    De dup
    Le processus utilisé par l’application de la Réponse aux vulnérabilités réduction des détections individuelles en un seul VI lorsque les données répondent à certains critères codés en dur.
    ID externe VI
    Valeur stockée dans le champ ID externe de la table des VI. Cette valeur est un hachage composé de la combinaison de clés au sein d’un VI qui représente ce qui le rend unique au sein de l’application. Il est composé d’un CI et d’une entrée vulnérable.

    Rouvrir les éléments vulnérables résolus

    Les éléments vulnérables définis sur Résolu dans votre Now Platform instance, mais pas sur Fermé/Résolu par les exécutions d’intégration suivantes, sont rouverts s’ils sont détectés lors des nouvelles analyses.

    Les VI fermés avec un sous-état Fixe ou Périmé sont rouverts si une nouvelle détection est créée et les VI peuvent être mis en correspondance avec la nouvelle vulnérabilité.

    Selon l’include de script, DetectionBase_shouldReOpenVI(), si le VIT a été précédemment fermé avec le sous-état Fixe, Périmé ou CI désactivé, il est rouvert et la détection est mappée au VIT existant.

    Par exemple, supposons que la date de fermeture d’un VIT soit postérieure à la date de last_found d’une détection. Vous pouvez vous attendre à ce que ces enregistrements VIT restent fermés. Toutefois, si vous voyez une VIT précédemment fermée rouverte, cela signifie que la VIT a été fermée par une détection antérieure et que la vulnérabilité a été détectée à nouveau lors d’une analyse ultérieure. Lorsqu’une nouvelle détection est trouvée qui correspond au VIT fermé qui présente la même vulnérabilité sur l’élément de configuration du VIT, le VIT est rouvert.

    Pour Rapid7 les détections, une option est désormais disponible sur la page de configuration Rapid7 de votre instance pour rouvrir les VI résolus par âge. Si cette option est activée, les VI définis sur Résolu , mais qui ne sont pas ensuite transférés à l’état Fermé/Corrigé par les analyses suivantes, reviennent à l’état Ouvert après le nombre de jours que vous entrez.

    Pour Qualys les détections, si le scanner continue de rechercher des VI qui ont été définis sur Résolu mais qui ne sont pas ensuite passés à l’état Fermé/Fixe par les analyses suivantes, ces VI reviennent à l’état Ouvert lorsque la dernière date de recherche est postérieure à la date de résolution.

    Afficher les données de détection

    Vous affichez les données importées à partir des détections d’éléments vulnérables sur l’enregistrement VI. Pour plus d'informations, consultez Afficher les Réponse aux vulnérabilités données de détection des éléments vulnérables et Vérifier Réponse aux vulnérabilités les données de détection d’éléments vulnérables sur les enregistrements d’exécution de l’intégration (VINTRUN).