Présentation de Microsoft Threat and Vulnerability Management Intégration des vulnérabilités
L’intégration Réponse aux vulnérabilités à l’application Gestion des menaces et des vulnérabilités Microsoft (MS TVM) utilise les données importées de MS TVM pour vous aider à hiérarchiser et à corriger les vulnérabilités de vos actifs. L’application est disponible avec un abonnement distinct du ServiceNow Store.
Vous pouvez utiliser l’intégration de MS TVM Vulnerability pour importer des données d’analyseurs tiers concernant vos actifs et vos vulnérabilités. Vous pouvez ensuite afficher les rapports sur les vulnérabilités et les éléments vulnérables sur les tableaux de Réponse aux vulnérabilités bord.
Versions disponibles
| Version de mise en production | Notes de publication |
|---|---|
Réponse aux vulnérabilités Intégration avec MS TVM v2.2 |
Pour plus d’informations sur les versions publiées de l’application Vulnerability Response, la compatibilité et les changements de schéma, consultez l’article Vulnerability Response Compatibility Matrix and Release Schema Changes [KB0856498] dans la base de connaissances HI. |
Séparation de domaine et MS TVM
Importez les données d’intégration de vulnérabilité dans un domaine spécifié en affectant un utilisateur dans ce domaine pour exécuter les intégrations. Pour créer des importations séparées par domaine pour MS TVM Vulnerability Integration, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.
Termes et fonctionnalités clés des intégrations
- Éléments vulnérables et vulnérabilités
- Un élément vulnérable est créé dans votre Now Platform instance lorsque :
- Une vulnérabilité importée à partir d’un scanner tiers est mise en correspondance avec un actif existant (élément de configuration) dans votre CMDB). Le produit MS TVM appelle ces correspondances des vulnérabilités.
- Une vulnérabilité importée à partir d’un scanner tiers ne correspond pas à un actif existant dans votre CMDB. Dans ce cas, un élément de configuration (CI) sans correspondance est également créé avec un élément vulnérable.
Utilisez le moteur Identification et réconciliation (IRE) pour créer des CI dans deux nouvelles classes lorsqu’un CI existant ne peut pas être mis en correspondance avec un hôte. Dans le cas contraire, des CI sans correspondance sont créés dans les classes de CI sans correspondance. Pour plus d'informations, consultez Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et réconciliation.
- Entrées de vulnérabilité tierces
- Les entrées de vulnérabilité tierces sont importées à partir d’analyseurs tiers tels que MS TVM et sont répertoriées dans la table Entrées de vulnérabilité tierces de votre Now Platform instance. En outre, les entrées de la base de données de vulnérabilité nationale (CVE) sont importées de MS TVM. Les informations d’exploitation associées à ces deux types d’entrées proviennent de MS TVM. Ces informations d’exploitation peuvent être utilisées pour le calcul du risque.Remarque :Une vulnérabilité tierce n’est récupérée que pour les vulnérabilités auxquelles aucune CVE n’a été affectée. MS TVM peut ajouter un nom temporaire pour la vulnérabilité, par exemple,
TVM-XXXX-XXXX.Ce nom est mis à jour après l’affectation d’un ID CVE. - Élément de configuration (CI)
- Les CI sont les actifs existants répertoriés dans votre CMDB.
- Élément découvert
- Les éléments détectés sont les actifs ingérés à partir de l’importation de machine MS TVM qui correspondent aux CI existants dans votre CMDB.
Si aucune correspondance n’est trouvée, un CI est créé dans la classe CI sans correspondance du CMDB. Activez le module d’extension Modèles de classe CI CMDB, le moteur Identification et rapprochement (IRE) crée des CI à l’aide de nouvelles classes. Pour plus d'informations, consultez Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et réconciliation. Si le CI d’origine sans correspondance est reclassé, les enregistrements des éléments détectés sont mis à jour pour refléter cet état. Les éléments détectés vous donnent une visibilité sur la façon dont les actifs sont identifiés et mappés aux CI dans le CMDB.
- Règles de recherche de CI
- Lorsque les données sont importées à partir de MS TVM, Réponse aux vulnérabilités utilise automatiquement les données de la machine (actif) pour rechercher des correspondances dans le CMDB. Les règles de recherche de CI sont utilisées pour identifier les CI et les ajouter aux enregistrements de VI lors de la création de VI.
- Instance
- Une instance fait référence à plusieurs comptes de MS TVM. Chaque compte peut être une instance de l’application MS TVM.
- Intégration
- Une intégration est une tâche planifiée qui récupère des informations à partir d’une source tierce, telle que l’intégration des machines MS TVM.
- Déploiement
- Lorsqu’une intégration prend en charge le multisource, une seule existence d’intégration est considérée comme un déploiement de votre intégration. Un déploiement fait référence aux intégrations et aux produits dans votre environnement. Par exemple, vous pouvez avoir plusieurs déploiements de MS TVM dans votre environnement.
L’intégration MS TVM comprend également les fonctionnalités clés suivantes :
- Vous pouvez identifier les actifs dans votre environnement et mettre à jour les CI sur vos éléments détectés, éléments vulnérables et enregistrements de détection existants pour vous donner plus de détails sur vos vulnérabilités.
- Vous pouvez planifier le moment où vous souhaitez que les tâches s’exécutent pour toutes les intégrations MS TVM. Vous pouvez également exécuter des travaux planifiés sur demande.
- Vous pouvez regrouper les éléments vulnérables.
- Vous pouvez configurer des règles de recherche de CI pour définir comment les données d’actifs de sources tierces sont utilisées pour identifier les CI dans votre CMDB.
Rôles Now Platform requis
Les tâches d’intégration nécessitent les rôles suivants dans votre Now Platform instance.
Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une première affectation des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de personnage à l’aide de l’assistant Réponse aux vulnérabilités de configuration. Pour plus d’informations sur la gestion des rôles granulaires, reportez-vous à la section Gérer le profil et les rôles granulaires pour Réponse aux vulnérabilités.
- administrateur
- L’administrateur système utilise l’Assistant de configuration pour installer l’application MS TVM. S’il n’est pas affecté, l’administrateur affecte l’administrateur de vulnérabilité (sn_vul.vulnerability_admin) et d’autres rôles dans l’assistant de configuration.
- sn_vul.vulnerability_admin
- Une fois affecté, l’administrateur de vulnérabilité termine la configuration des intégrations MS TVM dans l’assistant de configuration. Ce rôle dispose d’un accès complet à l’application Réponse aux vulnérabilités et à ses enregistrements. L’administrateur de vulnérabilité configure toutes les applications et règles pour les Réponse aux vulnérabilités intégrations tierces installées.
- sn_vul_msft_tvm.configure_integration
Ce rôle contient le rôle granulaire
sn_vul_msft_tvm.read_integration. Les utilisateurs disposant de ce rôle peuvent configurer l’intégration de Vulnerability Response avec l’application Microsoft Threat and Vulnerability Management.- sn_vul_msft_tvm.read_integration
Les utilisateurs disposant de ce rôle ne peuvent afficher l’intégration de Vulnerability Response qu’avec les enregistrements de l’application Microsoft Threat and Vulnerability Management.
- Groupe de réponse aux vulnérabilités
- Par défaut, le groupe Réponse aux vulnérabilités est disponible dans l’Assistant de configuration. Les utilisateurs affectés au groupe Réponse aux vulnérabilités héritent automatiquement des rôles sn_vul.read_all et sn_vul.remediation_owner.
Intégrations MS TVM
Le multisource est pris en charge pour toutes les intégrations MS TVM. Vous pouvez ajouter et déployer plusieurs instances des intégrations suivantes dans votre environnement à partir de l’assistant de configuration dans Réponse aux vulnérabilités. Vous installez et configurez également l’intégration avec l’application MS TVM à partir de l’assistant Réponse aux vulnérabilités de configuration.
Pour afficher les intégrations MS TVM, accédez à . Réponse aux vulnérabilités fournit des intégrations avec les points de terminaison MS TVM pour importer les données en fonction des intervalles de temps planifiés. Les intégrations suivantes sont incluses dans le système de base.
| Séquence d’exécution | Calendrier | Intégration | Description |
|---|---|---|---|
| 1 | Tous les jours | Intégration des recommandations Microsoft TVM | Récupère une liste de toutes les recommandations de sécurité activables pour corriger les vulnérabilités. |
| 2 | Tous les jours | Intégration de Microsoft TVM Vulnerability (CVE) | Récupère la liste des entrées de la base de données de vulnérabilité nationale et des entrées de vulnérabilité tierce, ainsi que les informations relatives à leur exploitation. |
| 3 | Tous les jours | Intégration des machines Microsoft TVM | Récupère toutes les données d’actif (machine), y compris les balises machine, à partir de Microsoft TVM et les traite dans votre instance. |
| 4 | Hebdomadaire Remarque : Après l’installation, cette intégration est exécutée automatiquement après l’importation des machines. |
Intégration des vulnérabilités des machines Microsoft TVM (importation complète) | Récupère toutes les vulnérabilités ouvertes sur tous les actifs. |
| 5 | Tous les jours | Intégration des vulnérabilités des machines Microsoft TVM (importation Delta) | Récupère toutes les informations qui ont changé dans l’importation complète des vulnérabilités de l’organisation, y compris les vulnérabilités nouvelles, corrigées et mises à jour. |
Les éléments vulnérables sont regroupés en tâches de rattrapage en fonction des règles de groupe que vous définissez et sont affectés au rattrapage en fonction de vos règles d’affectation. Pour plus d'informations, consultez Réponse aux vulnérabilités Vue d’ensemble des tâches de rattrapage et des règles de tâche de rattrapage et Réponse aux vulnérabilités Vue d’ensemble des règles d’affectation.
Règles de recherche de CI
- MAC_ADDRESS
- FQDN
- IP
Éléments découverts
Balises d’ordinateur
Les balises d’ordinateur, également appelées balises d’hôte, sont utilisées pour organiser et suivre les actifs de votre organisation. Vous attribuez des balises à vos machines.
- Le stockage des balises n’est pas sensible à la casse. Si une balise Paris est créée, une balise PARIS ne peut pas être stockée dans la table Balise de machine. Paris et PARIS sont considérés comme la même balise machine par le système. La balise importée en premier est la balise qui est stockée et reconnue.
- L’utilisation de balises machine comme clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les clés de groupe sont des colonnes dans la table des tâches de rattrapage, tandis que les balises machine sont destinées à être utilisées uniquement dans le générateur de conditions.
- Les balises d’ordinateur sont contrôlées par la propriété système globale sn_vul.import_host_tags. Cette propriété est définie sur vrai par défaut. La désactivation des balises les désactive dans toutes les Now Platform® instances.
Étapes suivantes
Une fois que vous avez téléchargé l’intégration avec Microsoft Threat and Vulnerability Management à partir de , l’installation et la ServiceNow® Storeconfiguration sont prises en charge par l’Assistant Réponse aux vulnérabilités de configuration dans Réponse aux vulnérabilités. Pour plus d'informations, consultez Installez et configurez l’intégration Vulnerability Response avec l’application MS TVM à l’aide de l’assistant de configuration.