Mappage de données
Les données de Prisma Cloud sont importées dans le Configuration Compliance module de l’instance ServiceNow .
| Terminologie antérieure à la version 14.9 | Terminologie à partir de la version 14.9 |
|---|---|
| Groupe de résultats des tests | Tâche de rattrapage |
| Règle de groupe | Règles de la tâche de rattrapage |
| Politique | Groupe de tests |
Les données de Prisma Cloud sont importées avec un nom différent, comme Configuration Compliance mentionné dans la table.
| Prisma Cloud | Configuration Compliance |
|---|---|
| Politique | Test |
| Alerte | Résultat de test |
| Norme de conformité | Source de référence |
| Sections | Contenu source d'autorité |
| Actif | Élément de détection/élément de configuration (CI) |
Tests
Une politique dans Prisma Cloud est importée en tant que test dans Configuration Compliance. Les politiques sont liées aux documents de référence et aux enregistrements de test, et elles peuvent être modifiées pour répondre aux besoins de votre organisation. Vous pouvez afficher les tests en accédant à .
Si Vulnerability Response Integration with Palo Alto Prisma Cloud est installé, la tâche Prisma Policy Integration d’intégration récupère les tests. Vous pouvez afficher la tâche d’intégration en accédant à .
Résultats des tests
Une alerte dans Prisma Cloud est importée en tant que résultat de test dans Configuration Compliance. Les alertes sont corrigées à l’aide de groupes de résultats de tests. Vous pouvez afficher les résultats des tests en accédant à .
Le Configuration Compliance groupe importe les résultats des tests dans le cadre d’une intégration tierce. Une fois qu’ils sont visibles sur l’application Configuration Compliance , ils sont corrigés à l’aide de groupes de résultats des tests.
Si Vulnerability Response Integration with Palo Alto Prisma Cloud est installé, la tâche d’intégration Prisma Alert Integration récupère les résultats des tests. Vous pouvez afficher cette tâche d’intégration en accédant à .
L’intégration d’alertes Prisma est une tâche d’intégration qui s’exécute quotidiennement et extrait les résultats des tests avec le changement d’état après l’heure définie dans le champ Heure de début de l’onglet Intégration.
Lorsque l’intégration d’alerte Prisma a terminé l’importation des données, un événement est démarré pour déclencher des calculs de fin d’importation. Si l’alerte échoue continuellement au cours des derniers jours, l’intégration n’extrait pas les alertes, car il n’y a aucun changement d’état pour l’alerte. Ainsi, pour maintenir les données des résultats des tests à jour avec les alertes Prisma, une nouvelle tâche d’intégration, Prisma Comprehensive alert Integration , est ajoutée et extrait les alertes mises à jour au cours des sept derniers jours. Il s’exécute chaque semaine et extrait tous les résultats des tests qui ne sont pas réussis.
Sources d'autorité
Configuration Compliance utilise des sources et des citations faisant autorité lors de la génération d’alertes de vulnérabilité pour les tests. Les sources faisant autorité renvoient généralement à des sections de normes industrielles publiées, telles que ISO 27001 et PCI DSS 3.2.1.
Ces enregistrements sources contiennent des références à des informations sur les problèmes connus de configuration logicielle et matérielle provenant d’experts dans le domaine de la sécurité informatique. Les références définissent les exigences relatives aux politiques et procédures de sécurité. Accédez à la pour afficher les sources faisant autorité.
Actifs
Si le Vulnerability Response Integration with Palo Alto Prisma Cloud est installé, la tâche Prisma Alerts Integration planifiée capture les informations relatives à l’alerte dans le module ou la table Éléments détectés. Vous pouvez afficher cette tâche planifiée en accédant à .
- Balises d’hôte : une ressource peut avoir plusieurs balises. Les balises d’hôte sont disponibles au format de paire de valeurs clés. Par exemple, le système d’exploitation est Windows 10 et la version Java est 1.8.
- Attributs dans le cloud pour les actifs : les attributs dans le cloud suivants sont disponibles :
- Compte dans le cloud : fournit l’ID de compte à partir de l’intégration. Les informations sont renseignées à partir des comptes dans le cloud [sn_sec_cmn_cloud_account. LISTE].
- Région du cloud : fournit l’emplacement où la ressource a été hébergée. Les informations sont renseignées à partir de la section Régions cloud [sn_sec_cmn_region. LISTE].
- Type de ressource dans le cloud : fournit des informations sur le type de ressource, par exemple s’il s’agit d’un ordinateur virtuel ou d’une instance de base de données, et ainsi de suite. Les informations sont renseignées à partir du type de ressource dans le cloud [sn_sec_cmn_cloud_resource_type. LISTE].
- Fournisseur de services dans le cloud : fournit des informations sur le fournisseur de services dans le cloud, qu’il s’agisse d’Amazon Web Services (AWS), d’Oracle Cloud, etc. Les informations sont renseignées à partir du fournisseur de services dans le cloud [sn_sec_cmn_cloud_service_provider. LISTE].
- Groupes de comptes dans le cloud : fournit des informations sur les groupes de comptes. Les informations sont renseignées à partir de la table Groupes de comptes dans le cloud [sn_vul_prismacloud_account_group.list].Remarque :L’attribut Groupes de comptes dans le cloud n’est disponible que pour Prisma.
Règles de recherche de CI
Les règles de recherche de CI du système de base sont disponibles pour l’ID de ressource, le nom et la catégorie S3. Pour plus d’informations sur les règles de recherche de CI, reportez-vous à Règles de recherche de CI pour Microsoft Defender for Cloud Integration et Security OperationsPalo Alto Prisma Cloud.