Lancer une nouvelle analyse pour l’intégration Tenable.io

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 9 minutes de lecture

    • Vérifiez que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés en lançant de nouvelles analyses dans la plateforme Tenable. Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables pour le Tenable.io produit à partir de votre Now Platform® instance.

    Avant de commencer

    Rôles requis : sn_vul.write_all ou sn_vul.write_assigned

    Vérifiez que votre scanner est activé avant de commencer. Accédez à la Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.

    Pourquoi et quand exécuter cette tâche

    Remarque :
    Tenable.io ne prend pas en charge le lancement de RECAN sur les machines basées sur agent.

    Pour réduire les frais généraux et le volume liés aux analyses complètes planifiées, en tant que propriétaire de rattrapage, informaticien, analyste de vulnérabilité ou gestionnaire de vulnérabilité, vous pouvez lancer de nouvelles analyses ciblées à la demande. Vous pouvez rechercher des vulnérabilités spécifiques sur les actifs (éléments de configuration) de vos environnements. Vous pouvez lancer de nouvelles analyses à partir d’enregistrements d’éléments vulnérables (VI), de tâches de rattrapage (VUL), d’entrée tierce (TPE) ou d’éléments découverts (SDI) à partir de votre Now Platform instance. Les nouvelles analyses vous permettent de vérifier que vos activités de rattrapage, correctifs et autres actions ont correctement corrigé des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    Remarque :
    Lorsque vous demandez une nouvelle analyse à partir de votre Now Platform® instance, la sélection des informations d’identification Intégration de Réponse aux vulnérabilités à Tenable est facultative. L’intégration ServiceNow® Tenable.io des informations d’identification de numérisation importe et met à jour les informations d’identification Tenable.io du scanner du produit dans votre instance. Cette intégration s’exécute chaque semaine pour importer et stocker en toute sécurité vos données d’informations d’identification Tenable.

    Notez que ces données importées n’incluent pas les mots de passe Tenable ni d’autres informations sensibles sur le compte Tenable.

    Les informations suivantes décrivent les informations d’identification que vous importez afin que vos utilisateurs puissent les afficher selon les besoins à partir de votre Now Platform instance :
    • Les informations d’identification créées avec le rôle d’utilisateur administrateur sont disponibles pour les Tenable.io utilisateurs de toutes vos organisations.
    • Les informations d’identification créées avec le rôle d’utilisateurs de l’organisation Tenable.io ne sont disponibles que pour les utilisateurs de cette organisation. Ces informations d’identification ne sont pas importées dans le Now Platform pour les utilisateurs extérieurs à l’organisation du créateur, sauf si elles sont partagées avec le compte de l’utilisateur utilisé pour se connecter à l’instance.

      Consultez le site web de la Tenable.io documentation pour plus d’informations.

    • L’intégration Tenable.io du modèle et l’intégration des informations d’identification Tenable.io de numérisation doivent être activées avant de lancer de nouvelles analyses. Pour afficher plus d’informations sur l’intégration des informations d’identification de numérisation, accédez à Intégration de vulnérabilité Tenable > Intégrations > Intégration des informations d’identification Tenable.io Scan.
      Par défaut, les intégrations de modèle et d’informations d’identification d’analyse sont désactivées. Lorsque vous saisissez vos informations d’identification pour Tenable.io, toutes les Tenable.io intégrations sont automatiquement activées. Pour activer ou désactiver manuellement ces intégrations :
      1. Accédez à la Tout > Intégration de vulnérabilité Tenable > Administration > Intégrations.
      2. Dans la liste qui s’affiche, recherchez les enregistrements d’intégration Tenable.io souhaités.
      3. Ouvrez chaque enregistrement et cochez la case Actif pour activer l’intégration.
      4. Cliquez sur Mettre à jour pour enregistrer vos modifications.
      5. Revenez à l’assistant de configuration pour poursuivre votre configuration pour le Tenable Vulnerability Integration avec Réponse aux vulnérabilités.

    Pour plus d’informations sur la configuration des produits andTenable.sc, reportez-vous Configurer l’intégration de vulnérabilité Tenable à l’aide de l’assistant de configuration à la Tenable.io section .

    Supposons que l’ensemble de votre environnement soit analysé une fois toutes les trois semaines. L’analyse complète la plus récente a été terminée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines pour la prochaine analyse planifiée afin de vérifier qu’elle a été corrigée. Pour vérifier que votre correctif a corrigé avec succès une vulnérabilité critique découverte lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform pour rechercher Tenable.io les éléments vulnérables.

    Vous pouvez afficher les résultats mis à jour sur les enregistrements à partir desquels vous avez lancé les analyses après la prochaine importation planifiée de l’intégration des vulnérabilités corrigées.

    Au cours de l’exécution de l’intégration, plusieurs processus sont générés et les données sont reçues sous forme de pages. Chaque processus peut contenir une ou plusieurs entrées de file d’attente d’importation avec des données jointes dans les pages. Ces entrées doivent traiter les données dans le délai d’une heure. Toutefois, si la taille de la charge utile est importante, le temps de traitement peut dépasser une heure ou être bloqué, ce qui entraîne une erreur de délai d’expiration de l’intégration. L’intégration continue de traiter les données malgré l’erreur de délai d’expiration. Pour éviter cette mauvaise communication, à partir de la version 18.2.4 de , des horodatages (intervalles de Réponse aux vulnérabilitésmise à jour) sont envoyés périodiquement pour indiquer si la file d’attente est active et traite des données. Le champ Dernier enregistrement traité de la page Entrée de file d’attente d’importation est mis à jour en fonction du nombre d’enregistrements créés ou mis à jour par la file d’attente d’importation. Si une entrée de file d’attente d’importation dépasse la limite d’une heure, le système vérifie le champ Dernier enregistrement traité pour voir s’il date également de plus d’une heure. Si c’est le cas, cela indique que l’entrée de file d’attente d’importation est bloquée et qu’elle a expiré pour éviter tout retard supplémentaire dans le traitement.
    Remarque :
    Le champ Dernier enregistrement traité est mis à jour en fonction de ce qui est défini dans les propriétés système suivantes :
    • sn_sec_cmn.record_threshold_heartbeat: définit le nombre d’enregistrements traités, après quoi les intervalles de mise à jour (horodatage) sont envoyés à l’entrée de file d’attente d’importation.
    • sn_sec_cmn.maximum_heartbeat_delay: définit le délai après lequel l’entrée de file d’attente d’importation doit expirer.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez déclencher une nouvelle analyse et ouvrez-le.
      Remarque :
      Si vous utilisez le Tenable.io scanner, vous ne pouvez lancer de nouvelles analyses que pour les éléments vulnérables ayant Tenable.io comme source. Vérifier Tenable.io s’affiche dans la colonne Source des vues de listes des VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le générateur de conditions pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue de liste des VI, dans le coin supérieur gauche de la liste, cliquez sur l’icône Personnaliser la liste (icône Engrenage) et utilisez la zone de liste double pour déplacer la source de Disponible à Sélectionné.
    3. Vous pouvez également accéder à Tout > Réponse aux vulnérabilités > Tâches de remédiation ou Réponse aux vulnérabilités > Bibliothèques > Tiers pour les enregistrements que vous souhaitez utiliser pour la nouvelle analyse.

      Selon votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un enregistrement de VI unique, le VI doit être dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI doivent provenir du Tenable.io produit et dans un état autre que Fermé.
      • Pour les enregistrements de tâche de rattrapage, seules les tâches de rattrapage dans un état autre que Fermé sont prises en charge. Tous les VI associés doivent être dans un état autre que Fermé et être utilisés Tenable.io comme source.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement de VI associé du Tenable.io produit dans un état autre que Fermé.
      • Sur les enregistrements d’éléments détectés, l’enregistrement doit avoir au moins un enregistrement de VI associé du Tenable.io produit dans un état autre que Fermé.
      • Dans la liste Éléments vulnérables, vous pouvez sélectionner des éléments vulnérables individuels que vous souhaitez analyser à nouveau. Utilisez le menu Actions sur les lignes sélectionnées en bas à gauche de l’écran pour lancer la nouvelle analyse. Vous êtes invité à saisir vos informations d’identification.
    4. Dans l’angle supérieur droit d’un enregistrement, cliquez sur Analyser à nouveau.
      Vous êtes invité à choisir l’instance ou les instances pour la nouvelle analyse et les informations d’identification du scanner que vous souhaitez utiliser pour accéder au scanner. Les informations d’identification affichées sont celles importées par l’intégration des informations d’identification Tenable.io de numérisation.
    5. Dans la boîte de dialogue, sélectionnez l’instance et/ou les instances et les types d’informations d’identification que vous souhaitez utiliser.

      Dans l’image suivante, une instance d’intégration, Tenable.io s’affiche. Si vous avez plusieurs Tenable.io instances, elles sont toutes affichées dans la section Tenable.io du formulaire.

      Tenable.io les informations d’identification d’analyse et les instances d’intégration affichées
      ChampDescription
      Instance Tenable.io Choisissez une Tenable.io instance d’intégration à partir de laquelle vous souhaitez lancer la nouvelle analyse.

      Toutes vos instances d’intégration pour Tenable.io s’affichent. Si un élément vulnérable existe dans plusieurs instances d’intégration, vous pouvez utiliser ce filtre pour limiter ou développer les instances que vous souhaitez analyser.

      Remarque :
      Si vous choisissez d’analyser à nouveau les éléments vulnérables à partir d’un enregistrement de tâche de rattrapage pour une seule instance d’intégration, seuls les éléments vulnérables actifs associés à cette tâche de rattrapage, pour cette instance, à l’aide des informations d’identification que vous sélectionnez sont analysés.
      Filtre de type d’informations d’identification du scanner Utilisez ce filtre pour afficher les informations d’identification par type.
      Volet avec les informations d’identification du scanner, Tenable.io instance, type d’informations d’identification du scanner Il s’agit des informations d’identification de scanner disponibles importées à partir des Tenable.io produits.

      Choisissez une ou plusieurs informations d’identification à utiliser pour l’analyse.
    6. Cliquez sur Demander une nouvelle analyse.

      Un message s’affiche pour indiquer que votre analyse est en cours de traitement et qu’un enregistrement d’analyse parent est créé. L’état de toutes les analyses enfants peut être trouvé à tout moment dans les listes connexes d’analyse sur les enregistrements du VI, de la tâche de rattrapage, du TPE et du SDI que vous avez utilisés pour lancer les nouvelles analyses. Dans le message, cliquez sur Afficher les détails pour afficher l’état de la nouvelle analyse et afficher toutes les autres nouvelles analyses lancées à partir d’un enregistrement donné.

      Le champ État de l’enregistrement d’analyse parent est marqué comme terminé une fois que toutes les analyses enfants ont été terminées avec succès. Les analyses enfants importent des données. Chaque analyse prend en charge une combinaison unique d’instance d’intégration, de TPE, d’adresse IP et d’ID de réseau. Vous pouvez voir plusieurs analyses enfants sur un enregistrement d’analyse parent. Par exemple, le nombre maximum d’adresses IP qu’une analyse enfant peut prendre en charge est de 1 000. S’il existe 1 002 adresses IP pour un élément vulnérable, deux analyses enfants sont créées et répertoriées dans la liste connexe Analyses pour prendre en charge la demande. L’enregistrement d’analyse parent est un conteneur pour les analyses enfants et son état reflète l’état des analyses enfants.

      Votre Now Platform® instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine avec succès ou jusqu’à ce que la période de suivi définie expire, selon la première éventualité. Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état de Now Platform® votre nouvelle analyse a cessé, et non au moment où la nouvelle analyse réelle s’est arrêtée. Tous les VI qui sont passés ou passeront à l’état Fermé/Corrigé sont importés avec la prochaine importation planifiée de l’intégration Tenable.io des vulnérabilités corrigées.

      Pour les analyses qui présentent une erreur, vous pouvez vérifier les analyses enfants sur l’enregistrement d’analyse parent. Affichez l’erreur dans la charge utile de la réponse de l’analyse enfant.

      Vous pouvez afficher les résultats mis à jour sur les enregistrements à partir desquels vous avez lancé les analyses après la prochaine importation planifiée de l’intégration des vulnérabilités corrigées.