Présentation de l’intégration des vulnérabilités de Tenable

  • Rversion finale: Washingtondc
  • Mis à jour 6 févr. 2024
  • 12 minutes de lecture

    • L’application Vulnerability Response Integration with Tenable développée par ServiceNow l’ingénierie pour Tenable Vulnerability Integration utilise les données importées des Tenable.io produits and Tenable.sc pour vous aider à hiérarchiser et à corriger les vulnérabilités de vos actifs. L’application est disponible avec un abonnement distinct à partir de .ServiceNow® Store

    Remarque :
    À partir de la version 14.9 de Configuration Compliance, les termes suivants ont été renommés :
    Tableau 1. Changements de terminologie
    Terminologie antérieure à la version 14.9 Terminologie à partir de la version 14.9
    Groupe de résultats des tests Tâche de rattrapage
    Règle de groupe Règles de la tâche de rattrapage
    Politique Groupe de tests
    L’intégration de vulnérabilité Tenable utilise deux intégrations Tenable.ioTenable.scTenable et , pour importer des données d’analyseurs tiers sur vos actifs et vos vulnérabilités. L’application Vulnerability Response Integration with Tenable prend en charge le produit à partir de la Tenable.sc version 5.13.
    • Tenable.io est une intégration d’entreprise basée sur le cloud.
    • Tenable.sc est une intégration locale qui vous donne la possibilité d’utiliser un MID Server si le Tenable.sc produit et votre Now Platform instance se trouvent dans le même environnement.
    • Si le Tenable.sc produit et votre Now Platform instance ne se trouvent pas dans le même environnement, vous devez utiliser un MID Server.

    L’application Vulnerability Response Integration with Tenable est disponible sur le ServiceNow Store avec un abonnement séparé.

    Pour obtenir des listes et des descriptions des intégrations dans , consultez Tenable Vulnerability IntegrationTenable.ioIntégrations avec les Vulnerability Response applications ET Configuration Compliance et Tenable.scIntégrations à l’application Vulnerability Response.

    Figure 1. Intégration de vulnérabilité tenable
    Workflow d’intégration de vulnérabilité tenable.

    Versions disponibles pour Washington DC

    Version Notes de publication

    Vulnerability Response Integration with Tenable v3.5, v3.6

    Pour plus d’informations sur la compatibilité, consultez KB0856498 matrice de compatibilité de Vulnerability Response et changements de schéma de mise en production

    Termes et fonctionnalités clés des intégrations

    Éléments vulnérables et vulnérabilités
    Un élément vulnérable est créé dans votre Now Platform instance lorsque :
    • Une vulnérabilité importée à partir d’un scanner tiers est mise en correspondance avec un actif existant (un élément de configuration dans votre CMDB). Le produit Tenable qualifie ces correspondances de vulnérabilités.
    • Une vulnérabilité importée d’un scanner tiers ne correspond pas à un actif existant dans votre CMDB. Dans ce cas, un CI sans correspondance est également créé avec un élément vulnérable.

      Pour les CI sans correspondance, vous pouvez également utiliser le moteur Identification et réconciliation (IRE) pour créer des CI dans deux nouvelles classes lorsqu’un CI existant ne peut pas être mis en correspondance avec un hôte. Dans le cas contraire, des CI sans correspondance sont créés dans les classes CI sans correspondance. Pour plus d'informations, consultez Création de CI pour Vulnerability Response l’utilisation du moteur Identification et réconciliation.

    Entrées de vulnérabilité tierces et modules d’extension
    Les entrées de vulnérabilité tierces sont importées à partir d’analyseurs tiers et répertoriées dans la table Entrées de vulnérabilité tierces de votre Now Platform instance. Les entrées de vulnérabilité tierces de Tenable sont ingérées et Vulnerability Response mises en correspondance avec les ressources existantes répertoriées dans votre CMDBfichier . Tenable fait référence aux entrées de vulnérabilité tierces en tant que modules d’extension.
    Élément de configuration (CI)
    Les éléments de configuration sont les actifs existants répertoriés dans votre CMDBfichier .
    Élément détecté
    Les ressources ingérées à partir de l’importation d’actifs Tenable sont mises en correspondance avec les éléments de configuration existants dans votre CMDBfichier . Les actifs importés sont mis à jour.

    Si aucune correspondance n’est trouvée, un CI est créé dans la classe CI sans correspondance du CMDB. Si le module d’extension CMDB CI Class Models est activé, le moteur Identification et réconciliation (IRE) crée de nouveaux CI à l’aide de nouvelles classes. Pour plus d'informations, consultez Création de CI pour Vulnerability Response l’utilisation du moteur Identification et réconciliation. Si le CI d’origine sans correspondance est reclassifié, les enregistrements d’éléments détectés sont mis à jour pour refléter l’état. Les éléments détectés vous donnent une visibilité sur la façon dont les actifs sont identifiés et mappés aux CI dans la CMDB.

    Règles de recherche de CI
    Lorsque les données sont importées à partir d’une intégration tierce, Vulnerability Response utilise automatiquement les données d’hôte (actif) pour rechercher des correspondances dans Configuration Management Database (CMDB). Les règles de recherche de CI sont utilisées pour identifier les CI et les ajouter aux enregistrements de VI lorsque des VI sont créés pour vous aider à corriger.
    Nouvelle analyse et analyse de correction
    Vous pouvez lancer une commande de nouvelle analyse ciblée sur un élément de configuration, un groupe de vulnérabilités ou une entrée tierce spécifique directement à partir des enregistrements d’élément vulnérable, de tâche de rattrapage et d’entrée de vulnérabilité tierce dans votre Now Platform instance. Tenable fait référence à cette nouvelle analyse en tant qu’analyse de correction.
    Fermer automatiquement les VI plus anciens
    Avec le module Fermer automatiquement les éléments vulnérables périmés dans votre Now Platform, vous pouvez nettoyer les éléments vulnérables (VI) anciens et périmés qui n’ont pas été trouvés récemment par vos intégrations tierces. Le déplacement de ces VI vers Fermé vous aide à réduire le nombre d’éléments vulnérables actifs et de tâches de rattrapage, et à rapprocher les actifs dans votre CMDB. Vous pouvez utiliser toutes les intégrations avec le Vulnerability Response Integration with Tenable pour fermer automatiquement les VI périmés.
    Instance
    Ce terme fait référence à une occurrence distincte de votre Now Platform® application.
    Intégration
    Une intégration est une référence spécifique au produit d’une intégration, telle que l’intégration des actifs ou l’intégration Tenable.io du module d’extension Tenable.sc . Il s’agit des intégrations distinctes qui appartiennent à des produits Tenable spécifiques dans l’intégration de vulnérabilité Tenable de votre instance.
    Instance d'intégration
    Ce terme fait référence aux intégrations Tenable distinctes répertoriées par leur Tenable.io et Tenable.sc les produits.
    Déploiement
    Lorsqu’une intégration prend en charge plusieurs sources, une existence d’intégration unique et distincte est appelée déploiement de votre intégration. Le terme est utilisé pour désigner la ou les intégrations et les produits dans votre environnement. Par exemple, vous pouvez avoir plusieurs déploiements de diverses intégrations des Tenable.io produits et Tenable.sc dans votre environnement.

    Les Tenable.io intégrations et Tenable.sc incluent également les fonctionnalités clés suivantes :

    • Les résultats de l’évaluation de la configuration, c’est-à-dire les résultats des tests, ainsi que les politiques, les tests de configuration (contrôles) et les citations avec des sources faisant autorité, peuvent être importés dans l’application Configuration Compliance avec le Tenable.io produit. Consultez Tenable.ioIntégrations avec les Vulnerability Response applications ET Configuration Compliance et Explorer Configuration Compliance pour en savoir plus sur le fonctionnement de cette intégration avec l’application Configuration Compliance .
    • À partir de la version 2.1 de , créez Tenable Vulnerability Integrationdes éléments de configuration (CI) uniques qui incluent différents identificateurs de partition réseau pour les actifs de votre environnement qui partagent la même adresse IP. Identifiez les actifs distincts dans votre environnement et mettez à jour les CI sur vos enregistrements existants d’élément détecté, d’élément vulnérable et de détection pour vous donner plus de détails sur vos vulnérabilités.
    • Vous pouvez planifier le moment où vous souhaitez que les tâches s’exécutent pour toutes les Tenable.io intégrations And Tenable.sc . Vous pouvez également exécuter des tâches planifiées manuellement sur demande.
    • Pour les importations d’actifs avec Tenable.io, vous pouvez activer les balises d’actifs afin d’organiser et de suivre les actifs répertoriés dans votre CMDBTenable.io environnement.
    • Les Tenable.io intégrations et Tenable.sc vous permettent de configurer des règles de recherche de CI pour définir la manière dont les données d’actifs de sources tierces sont utilisées pour identifier les éléments de configuration (CI) dans votre Now Platform CMDB.
    • Les Tenable.io intégrations et Tenable.sc vous permettent de définir des filtres d’importation sur l’importation des vulnérabilités afin d’importer uniquement les vulnérabilités de Tenable que vous souhaitez. Pour Tenable.io, vous avez la possibilité d’importer des vulnérabilités corrigées à partir de Tenable avec l’importation des vulnérabilités.
    • Pour Tenable.sc, vous pouvez lancer de nouvelles analyses sur demande directement à partir des enregistrements d’élément vulnérable, de tâche de rattrapage et d’entrée tierce dans votre Now Platform instance. Si des VI sont passés à l’état Fermé/Résolu , mais ne sont pas encore mis à jour dans votre instance, vous pouvez vérifier que les vulnérabilités sur des éléments de configuration spécifiques ont été corrigées. Consultez Lancer une nouvelle analyse pour l’intégration Tenable.sc.

    Les sections suivantes répertorient plus de détails sur les intégrations Tenable.

    Rôles Now Platform requis

    Les tâches d’intégration nécessitent les rôles suivants dans votre Now Platform instance.

    administrateur
    L’administrateur système utilise l’Assistant de configuration pour installer l’application Vulnerability Response Integration with Tenable . Si elle n’est pas affectée, l’administrateur affecte l’administrateur de vulnérabilité (sn_vul.vulnerability_admin) et d’autres rôles dans l’Assistant de configuration.
    sn_vul.vulnerability_admin
    Une fois ces tâches affectées, l’administrateur de vulnérabilité termine la configuration des intégrations Tenable dans l’Assistant de configuration. Ce rôle dispose d’un accès complet à l’application Vulnerability Response (VR) et à ses enregistrements. L’administrateur de vulnérabilité configure toutes les applications VR et les règles pour les intégrations tierces installées.
    sn_vul_tenable.configure_integration
    Ce rôle contient le rôle granulaire sn_vul_tenable.read_integration et les utilisateurs dotés de ce rôle peuvent configurer l’application Vulnerability Response Integration with Tenable .
    sn_vul_tenable.read_integration
    Les utilisateurs disposant de ces rôles peuvent afficher (lire) les enregistrements de l’application Vulnerability Response Integration with Tenable , mais pas les modifier.
    Groupe Vulnerability Response
    Par défaut, le groupe Vulnerability Response est disponible dans l’Assistant de configuration. Les utilisateurs affectés au groupe Vulnerability Response héritent automatiquement des rôles sn_vul.read_all et sn_vul.remediation_owner.

    Éléments vulnérables

    Les éléments vulnérables sont regroupés en tâches de correction en fonction des règles de groupe, puis affectés pour correction en fonction de vos règles d’affectation. Pour plus d'informations, consultez Vulnerability Response Vue d’ensemble des tâches de rattrapage et des règles de tâche et Vulnerability Response Vue d’ensemble des règles d’affectation.

    Règles de recherche d’éléments de configuration (CI)

    Les règles de Recherche de CI identifient les CI et déterminent quand les ajouter à un élément vulnérable. Pour en savoir plus sur le fonctionnement des règles de recherche de CI, reportez-vous à Règles de recherche de CI pour l’identification des éléments de configuration à partir d’intégrations de Vulnerability Response vulnérabilité tierces.
    Remarque :
    Les règles, une fois supprimées, ne peuvent pas être récupérées. Plutôt que de supprimer les règles existantes, désactivez-les lors de la création de nouvelles règles.
    Les règles de recherche suivantes Tenable.io sont fournies avec le système de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • Nom d'hôte
    • DNS
    • Adresse IP
    Les règles de recherche suivantes Tenable.sc sont fournies avec le système de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • Adresse IP
    Remarque :
    Plusieurs valeurs pour ip_address, mac_address, FQDNS et network_interfaces sont utilisées pour un actif. Toutes les valeurs sont prises en compte dans les règles de recherche de CI pour la correspondance. Toutes les valeurs sont utilisées pour créer plusieurs cartes réseau à l’aide d’IRE.

    Pour plus d’informations sur la configuration de la catégorisation des ressources dans le cloud sans correspondance dans votre classe CI préférée, consultez Mise à jour de la classe CI pour les actifs dans le cloud sans correspondance.

    Nouvelles propriétés pour ignorer les adresses IP

    Dans Tenable.io, deux propriétés sont disponibles si vous souhaitez ignorer plusieurs adresses IP ou plusieurs adresses Mac dans le cadre de vos règles de recherche de CI :
    ignoreIPAddress
    Une liste d’adresses IP à ignorer pour la recherche et la création de CI.
    ignoreMacAddress
    Une liste d’adresses MAC à ignorer pour la recherche ou la création de CI.

    Éléments détectés

    Ce module répertorie les éléments de configuration détectés lors de l’importation à partir des intégrations Tenable Vulnerable Item et Tenable Asset.
    Remarque :
    Le filtre par défaut de cette liste est défini sur Sans correspondance. Vous pouvez afficher tous les éléments détectés à partir d’une importation en supprimant le filtre.
    Pour plus d’informations sur le module Éléments détectés, reportez-vous à Éléments détectés.

    Balises d'actifs

    Les balises d’actif (également appelées balises d’hôte) sont utilisées pour organiser et suivre les actifs de votre organisation. Vous pouvez affecter des balises à vos actifs. Ensuite, lors du lancement des analyses, vous pouvez sélectionner des balises associées aux actifs que vous souhaitez analyser. Le module Balises d’actif vous permet de télécharger des données de balise d’actif depuis Tenable.io votre instance de manière planifiée. Les données d’actif qui incluent des balises d’actif Tenable.io sont extraites et transformées à l’aide des cartes de transformation d’intégration Tenable.io Asset Transform .

    Toutes les balises d’actif sont importées dans le cadre de l’intégration d’actif Tenable.io . Les balises d’actif sont généralement utilisées pour le filtrage dans Vulnerability Response les règles d’affectation et les règles de tâche de rattrapage. Les balises sont affichées dans le formulaire Élément détecté.
    Remarque :
    Exécutez l’intégration des actifs avant de Tenable.io créer Vulnerability Response des règles d’affectation ou des règles de tâche de rattrapage dans l’application afin que toutes les balises soient disponibles pour ces règles avant l’importation et le Vulnerability Response regroupement des éléments vulnérables. Notez également les points suivants concernant les balises :
    • Le stockage des balises n’est pas sensible à la casse. Par exemple, si vous créez une balise pour décrire les actifs de votre emplacement San Diego, et que vous créez la balise San Diego , vous ne pouvez pas créer une balise SAN DIEGO et la stocker dans la table Balise d’actif. San Diego et SAN DIEGO sont considérés comme étant la même balise d’actif par le système. La balise importée en premier est la balise qui est stockée et reconnue à l’avenir.
    • L’utilisation de balises d’actifs en tant que clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les balises d’actif sont destinées à être utilisées uniquement dans le créateur de condition.
    • Les balises d’actifs sont contrôlées par la propriété système globale sn_vul.import_asset_tags. Cette propriété est définie sur true par défaut. La désactivation des balises les désactive dans toutes les Now Platform® instances.

    Filtres de récupération de données

    Les paramètres de récupération de données vous aident à déterminer précisément le type et le périmètre des données que vous souhaitez importer de l’application Tenable vers votre Now Platform® instance. Pour obtenir la liste des paramètres les plus couramment utilisés, reportez-vous à la section Paramètres de récupération de données pour Tenable Vulnerability Integration.

    Évaluation de priorité de vulnérabilité (VPR)

    L’évaluation de priorité de vulnérabilité (VPR) est un attribut du produit Tenable qui est importé et utilisé avec un nouveau calculateur de risque par défaut dans Vulnerability Response. La règle de risque tenable est installée avec l’application dans le Vulnerability Response Integration with Tenable cadre du calculateur de risque par défaut dans les calculateurs de vulnérabilité à partir de Vulnerability Response.

    Cette règle de risque est désactivée par défaut.

    En activant la règle du calculateur de risque Tenable, les valeurs VPR importées sont utilisées pour calculer le score de risque des éléments vulnérables. Distribution de pondération par défaut pour ce calculateur de risque : VPR = 70 %, Actif = 15 % et Criticité opérationnelle = 15 %. L’activation de cette règle du calculateur de risque tenable peut avoir un impact sur vos performances d’ingestion de données. Pour plus d’informations sur Vulnerability Response les calculateurs et la règle du calculateur de risque Tenable, consultez Vulnerability Response Calculateurs et règles du calculateur de vulnérabilité.

    Installation et configuration

    Après avoir téléchargé le Vulnerability Response Integration with Tenable à partir de , ServiceNow® Storel’installation et la configuration sont prises en charge par l’assistant de configuration dans Vulnerability Response. Consultez Configuration Vulnerability Response à l’aide de l’assistant de configuration pour plus d'informations.