Initiieren Sie einen erneuten Scan für die Tenable.io -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 8 Minuten Lesedauer

    • Vergewissern Sie sich, dass Ihre angreifbaren Elemente zwischen den geplanten Scan-Zyklen korrigiert wurden, indem Sie erneute Scans in der Tenable-Plattform initiieren. Sie können bei Bedarf einen erneuten Scan für angreifbare Elemente für das Produkt Tenable.io aus Ihrer Instanz von Now Platform® initiieren.

    Vorbereitungen

    Erforderliche Rollen: sn_vul.write_all oder sn_vul.write_assigned

    Stellen Sie sicher, dass Ihr Scanner aktiviert ist, bevor Sie beginnen. Navigieren zu Vulnerability Response > Schwachstellenscan > Scanner.

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Tenable.io unterstützt das erneute Scannen auf Agent-basierten Computern nicht.

    Um den Overhead und das Volumen geplanter, vollständiger Scans zu reduzieren, können Sie als Korrekturbesitzer, IT-Spezialist, Schwachstellenanalyst oder Schwachstellenmanager bei Bedarf gezielte erneute Scans initiieren. können Sie nach bestimmten Schwachstellen in Assets (Konfigurationselementen) in Ihren Umgebungen suchen. Sie können erneute Scans aus Datensätzen für angreifbare Elemente (AEs), Korrekturaufgaben (VUL), Drittanbietereinträgen (TPE) oder erkannten Elementen (SDI) aus Ihrer Now Platform -Instanz initiieren. Mit erneuten Scans können Sie überprüfen, ob mit Ihren Korrekturaktivitäten, Patches und anderen Aktionen bestimmte Schwachstellen in Ihren Konfigurationselementen (Configuration Items, CIs) erfolgreich behoben wurden.

    Hinweis:
    Wenn Sie einen erneuten Scan von Ihrer Instanz Now Platform® anfordern, ist die Auswahl der Anmeldeinformationen von Vulnerability Response Integration with Tenable optional. Die ServiceNow® Tenable.io Scan Credential Integration importiert und aktualisiert Scanner-Anmeldeinformationen aus dem Tenable.io -Produkt in Ihrer Instanz. Diese Integration wird wöchentlich ausgeführt, um Ihre Tenable-Anmeldeinformationsdaten zu importieren und sicher zu speichern.

    Beachten Sie, dass diese importierten Daten keine Tenable-Passwörter oder andere vertrauliche Tenable-Account-Informationen enthalten.

    Die folgenden Informationen beschreiben die Anmeldeinformationen, die Sie importieren, damit Ihre Benutzer sie bei Bedarf in Ihrer Now Platform -Instanz anzeigen können:
    • Mit der Administratorbenutzerrolle Tenable.io erstellte Anmeldeinformationen stehen Benutzern in allen Ihren Organisationen zur Verfügung.
    • Mit der Benutzerrolle der Organisation Tenable.io erstellte Anmeldeinformationen sind nur für Benutzer innerhalb dieser Organisation verfügbar. Diese Anmeldeinformationen werden für Benutzer außerhalb der Organisation des Erstellers nicht in Now Platform importiert, es sei denn, sie werden mit dem Konto des Benutzers geteilt, der für die Verbindung mit der Instanz verwendet wird.

      Weitere Informationen finden Sie auf der Dokumentationswebsite Tenable.io.

    • Die Tenable.io Template Integration und die Tenable.io Scan Credential Integration müssen vor dem Initiieren von erneuten Scans aktiviert werden. Um weitere Informationen zur Integration von Scan-Anmeldeinformationen anzuzeigen, navigieren Sie zu Vertretbare Schwachstellenintegration > Integrationen > Tenable.io-Integration von Scan-Anmeldeinformationen.
      Standardmäßig sind die Integrationen von Vorlagen und Scan-Anmeldeinformationen deaktiviert. Wenn Sie Ihre Anmeldeinformationen für Tenable.ioeingeben, werden alle Tenable.io -Integrationen automatisch aktiviert. So aktivieren oder deaktivieren Sie diese Integrationen manuell:
      1. Navigieren zu Alle > Vertretbare Schwachstellenintegration > Administration > Integrationen.
      2. Suchen Sie in der angezeigten Liste die gewünschten Tenable.io Integrationsdatensätze.
      3. Öffnen Sie jeden Datensatz, und aktivieren Sie das Kontrollkästchen Aktiv, um die Integration zu aktivieren.
      4. Klicken Sie auf Aktualisieren, um die Änderungen zu speichern.
      5. Kehren Sie zum Setup-Assistenten zurück, um mit der Konfiguration für Tenable Vulnerability Integration mit Vulnerability Responsefortzufahren.

    Weitere Informationen zum Konfigurieren der Produkte Konfigurieren Sie die Integration von Tenable Vulnerability mit dem Setup-AssistentenTenable.io und Tenable.sc finden Sie unter [].

    Angenommen, Ihre gesamte Umgebung wird alle drei Wochen gescannt. Der letzte vollständige Scan wurde vor einer Woche abgeschlossen, Sie haben jedoch gestern einen Patch angewendet, um eine kritische Schwachstelle zu beheben. Aufgrund der Art dieser Schwachstelle können Sie nicht zwei Wochen auf den nächsten geplanten Scan warten, um sicherzustellen, dass die Schwachstelle behoben wurde. Um sicherzustellen, dass Ihr Patch eine kritische Schwachstelle, die während eines früheren Scans erkannt wurde, erfolgreich behoben hat, können Sie einen gezielten erneuten Scan von Now PlatformTenable.io auf angreifbare Elemente von [] initiieren.

    Sie können aktualisierte Ergebnisse für die Datensätze anzeigen, aus denen Sie die Scans nach dem nächsten geplanten Import der Integration von festen Schwachstellen initiiert haben.

    Während der Ausführung der Integration werden mehrere Prozesse generiert, und Daten werden in Form von Seiten empfangen. Jeder Prozess kann einen oder mehrere Importwarteschlangeneinträge mit angehängten Daten in Seiten enthalten. Diese Einträge müssen die Daten innerhalb der einstündigen Frist verarbeiten. Wenn die Nutzlast jedoch groß ist, kann die Verarbeitungszeit eine Stunde überschreiten oder hängen bleiben, was zu einem Zeitüberschreitungsfehler bei der Integration führt. Die Integration verarbeitet die Daten trotz der Zeitüberschreitung weiter. Um diese Fehlkommunikation zu vermeiden, werden ab Version 18.2.4 von Vulnerability Responseregelmäßig Zeitstempel (Heartbeats) gesendet, um anzugeben, ob die Warteschlange aktiv ist und Daten verarbeitet. Das Feld Zuletzt verarbeiteter Datensatz auf der Seite „Eintrag der Importwarteschlange“ wird basierend auf der Anzahl der Datensätze aktualisiert, die die Importwarteschlange erstellt oder aktualisiert. Wenn ein Importwarteschlangeneintrag das Zeitlimit von einer Stunde überschreitet, überprüft das System das Feld Zuletzt verarbeiteter Datensatz, um festzustellen, ob er auch älter als eine Stunde ist. Wenn dies der Fall ist, weist dies darauf hin, dass der Importwarteschlangeneintrag hängen bleibt und eine Zeitüberschreitung vorliegt, um weitere Verzögerungen bei der Verarbeitung zu verhindern.
    Hinweis:
    Das Feld Zuletzt verarbeiteter Datensatz wird basierend auf der Definition in den folgenden Systemeigenschaften aktualisiert:
    • sn_sec_cmn.record_threshold_heartbeat: Definiert die Anzahl der verarbeiteten Datensätze, nach denen der Takt (Zeitstempel) an den Importwarteschlangeneintrag gesendet wird.
    • sn_sec_cmn.maximum_heartbeat_delay: Definiert die Zeit, nach der der Importwarteschlangeneintrag überschritten werden muss.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Angreifbare Elemente.
    2. Suchen Sie den Datensatz des angreifbaren Elements, für den Sie einen erneuten Scan auslösen möchten, und öffnen Sie ihn.
      Hinweis:
      Wenn Sie den Scanner Tenable.io verwenden, können Sie erneute Scans für VIs nur mit Tenable.io als Quelle initiieren. Vergewissern Sie sich, dass Tenable.io in der Spalte „ Quelle “ in den VI-Listenansichten oder in den Feldern „ Quelle “ in einzelnen Datensätzen angezeigt wird. Sie können den Bedingungsgenerator verwenden, um AEs nach Quelle zu gruppieren. Oder, wenn die Spalte Quelle nicht in der VI-Listenansicht angezeigt wird, klicken Sie oben links in der Liste auf das Symbol „ Liste personalisieren “ (Zahnradsymbol), und verwenden Sie den Slushbucket, um Quelle von Verfügbar zu Ausgewähltzu verschieben.
    3. Navigieren Sie alternativ zu Alle > Vulnerability Response > Korrekturaufgaben oder Vulnerability Response > Bibliotheken > Drittpartei für die Datensätze, die Sie für den erneuten Scan verwenden möchten.

      Abhängig von Ihrer Auswahl ist die Schaltfläche Erneut scannen für die folgenden Datensätze verfügbar:

      • In einem einzelnen VI-Datensatz muss sich die VI in einem anderen Status als Geschlossenbefinden. Für mehrere VI-Datensätze müssen alle VIs aus dem Produkt Tenable.io stammen und sich in einem anderen Status als Geschlossenbefinden.
      • Für Korrekturaufgabendatensätze werden nur Korrekturaufgaben in einem anderen Status als „Geschlossen“ unterstützt. Alle zugeordneten AEs müssen sich in einem anderen Status als „ Geschlossen “ befinden und Tenable.io als Quelle verwenden.
      • In einem TPE-Datensatz muss mindestens ein zugeordneter VI-Datensatz aus dem Produkt Tenable.io einen anderen Status als Geschlossenaufweisen.
      • Bei Datensätzen für erkannte Elemente muss der Datensatz mindestens einen zugeordneten VI-Datensatz aus dem Produkt Tenable.io in einem anderen Status als Geschlossenhaben.
      • In der Liste „Angreifbare Elemente“ können Sie einzelne angreifbare Elemente auswählen, die Sie erneut scannen möchten. Verwenden Sie das Menü Aktionen für ausgewählte Zeilen links unten auf dem Bildschirm, um den erneuten Scan zu starten. Sie werden aufgefordert, Ihre Anmeldeinformationen einzugeben.
    4. Klicken Sie oben rechts in einem Datensatz auf Erneut scannen.
      Sie werden aufgefordert, die Instanz(en) für den erneuten Scan und die Scanner-Anmeldeinformationen auszuwählen, die Sie für den Zugriff auf den Scanner verwenden möchten. Die angezeigten Anmeldeinformationen sind die, die von der Tenable.io Scan Credential Integration importiert wurden.
    5. Wählen Sie im Dialogfeld die Instanz und/oder Instanzen und die Anmeldeinformationstypen aus, die Sie verwenden möchten.

      In der folgenden Abbildung wird eine Integrationsinstanz, Tenable.io, angezeigt. Wenn Sie mehr als eine Instanz Tenable.io haben, werden sie alle im Abschnitt Tenable.io im Formular angezeigt.

      Angezeigte Tenable.io-Scan-Anmeldeinformationen und Integrationsinstanzen
      FeldBeschreibung
      Tenable.io instance Wählen Sie eine Tenable.io Integrationsinstanz aus, von der aus Sie den erneuten Scan initiieren möchten.

      Alle Ihre Integrationsinstanzen für Tenable.io werden angezeigt. Wenn eine VI in mehr als einer Integrationsinstanz vorhanden ist, können Sie diesen Filter verwenden, um die Anzahl der zu scannenden Instanzen zu beschränken oder zu erweitern.

      Hinweis:
      Wenn Sie VIs aus einem Korrekturaufgabendatensatz für eine einzelne Integrationsinstanz erneut scannen, werden nur die aktiven VIs gescannt, die dieser Korrekturaufgabe für diese Instanz mit den von Ihnen ausgewählten Anmeldeinformationen zugeordnet sind.
      Typfilter für Scanner-Anmeldeinformationen Verwenden Sie diesen Filter, um Anmeldeinformationen nach Typ anzuzeigen.
      Bereich mit Scanner-Anmeldeinformationen, Tenable.io Instanz, Scanner-Anmeldeinformationstyp Dies sind die verfügbaren Scanner-Anmeldeinformationen, die aus den Produkten von Tenable.io importiert wurden.

      Wählen Sie eine oder mehrere Anmeldeinformationen aus, die für den Scan verwendet werden sollen.
    6. Klicken Sie auf Erneutes Scannen anfordern.

      Eine Nachricht wird angezeigt, die angibt, dass Ihr Scan verarbeitet wird, und ein übergeordneter Scan-Datensatz wird erstellt. Der Status für alle untergeordneten Scans kann jederzeit unter den zugehörigen Scan-Listen in den VI-, Korrekturaufgaben-, TPE- und SDI-Datensätzen gefunden werden, die Sie zum Starten der erneuten Scans verwendet haben. Klicken Sie in der Nachricht auf Details anzeigen, um den Status des erneuten Scans anzuzeigen und alle anderen erneuten Scans anzuzeigen, die von einem bestimmten Datensatz aus gestartet wurden.

      Das Feld Status im übergeordneten Scan-Datensatz wird als abgeschlossen markiert, nachdem alle untergeordneten Scans erfolgreich abgeschlossen wurden. Die untergeordneten Scans importieren Daten. Jeder Scan unterstützt eine eindeutige Kombination aus Integrationsinstanz, TPE, IP und Netzwerk-ID. Möglicherweise werden mehrere untergeordnete Scans in einem übergeordneten Scan-Datensatz angezeigt. Zum Beispiel beträgt die maximale Anzahl von IP-Adressen, die ein untergeordneter Scan unterstützen kann, 1000. Wenn 1002 IPs für ein angreifbares Element vorhanden sind, werden zwei untergeordnete Scans erstellt und in der zugehörigen Liste „Scans“ aufgeführt, um die Anforderung zu unterstützen. Der übergeordnete Scan-Datensatz ist ein Container für die untergeordneten Scans, und sein Status spiegelt den Status der untergeordneten Scans wider.

      Ihre Instanz Now Platform® verfolgt den Status des erneuten Scannens bis zum erfolgreichen Abschluss oder bis zum Ablauf des festgelegten Nachverfolgungszeitraums, je nachdem, was zuerst eintritt. Die Zeitüberschreitung stoppt den Scan nicht. Die Zeitüberschreitung bezieht sich auf den Zeitpunkt, zu dem Now Platform® die Nachverfolgung Ihres Status des erneuten Scannens beendet hat, nicht auf das Ende des tatsächlichen erneuten Scannens. Alle VIs, die in den Status „ Geschlossen/ Behoben“ überführt wurden oder werden, werden mit dem nächsten geplanten Import der Tenable.io Integration behobener Schwachstellen importiert.

      Bei Scans, bei denen ein Fehler auftritt, können Sie die untergeordneten Scans im übergeordneten Scan-Datensatz überprüfen. Zeigen Sie den Fehler in der Antwortnutzlast des untergeordneten Scans an.

      Sie können aktualisierte Ergebnisse für die Datensätze anzeigen, aus denen Sie die Scans nach dem nächsten geplanten Import der Integration von festen Schwachstellen initiiert haben.