Noções básicas sobre o Rapid7 Vulnerability Integration

  • Versão de lançamento: Washingtondc
  • Atualizado 26 de jan. de 2024
  • 10 min. de leitura

    • O ServiceNow® Rapid7 Vulnerability Integration usa dados importados do data warehouse [ Rapid7 ou dos produtos Rapid7 InsightVM para ajudar a determinar o impacto e a prioridade de ameaças potencialmente mal-intencionadas.

    Os sensoresRapid7 Nexpose coletam dados e os enviam automaticamente para os produtos de data warehouse Rapid7 (no local) ou Rapid7 InsightVM (baseados em nuvem), que analisam e correlacionam continuamente as informações. Ele se integra facilmente com ServiceNow® Vulnerability Response para mapear vulnerabilidades para ICs e serviços. O Rapid7 Vulnerability Integration enriquece os dados de vulnerabilidade em sua instância.

    Rapid7 integrações são pontos de entrada que interagem com o data warehouse [ Rapid7 ou produtos Rapid7 InsightVM, invocados como trabalhos programados. Os trabalhos programados simplificam o ciclo de vida de correção de vulnerabilidades, mantendo a instância sincronizada com outros sistemas de gestão de vulnerabilidades. Os trabalhos programados são executados automaticamente e na ordem especificada. Você também pode executar trabalhos programados individuais manualmente.
    Nota:
    Se você usar Rapid7 data warehouse e Rapid7 InsightVM como fontes para seus dados, você corre o risco de duplicar registros de vulnerabilidade.
    Nota:
    Ao migrar do tipo de integração de Data Warehouse para o tipo InsightVM, você pode desduplicar seus registros de data warehouse existentes. Para obter mais informações, consulte Desduplicar Rapid7 Vulnerability Integration registros de data warehouse.
    Se você tiver várias implantações da integração de vulnerabilidade Rapid7 InsightVM, poderá adicionar uma integração para cada implantação. Os ativos, identificados por várias implantações de terceiros e suas vulnerabilidades, são consolidados e reconciliados com o seu CMDB. Essa consolidação acontece mesmo quando os processos de verificação se sobrepõem entre as várias implantações. Os dados provenientes de cada implantação são identificados e disponíveis em uma única instância de Vulnerability Response.
    Nota:
    Você não pode excluir a integração de vulnerabilidade original, mas pode desabilitá-la. As integrações criadas a partir de modelos desabilitados são desabilitadas por padrão.

    Há um usuário executado configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Não altere este valor.

    Versões disponíveis

    Versão de lançamento para Washington DC Notas de versão

    Rapid7 Vulnerability Integration v13.6, 13.7

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Funções

    Rapid7 tarefas de integração de vulnerabilidade envolvem as funções a seguir.
    • sn_vul_r7.admin: pode ler, gravar e excluir registros.
    • sn_vul_r7.user: pode ler e gravar registros.
    • sn_vul_r7.read: pode ler registros.

    Persona e funções granulares estão disponíveis para ajudá-lo a gerenciar o que usuários e grupos podem ver e fazer na aplicação Vulnerability Response. Para obter uma atribuição inicial das funções de persona no Assistente de configuração, consulte Atribua as funções de persona Vulnerability Response usando o Assistente de configuração. Para obter mais informações sobre como gerenciar funções granulares, consulte Gerenciar persona e funções granulares para Vulnerability Response.

    Integrações do Rapid7 Vulnerability Integration

    Para exibir o Rapid7 Vulnerability Integration, navegue até Rapid7 > Administração > Integrações.

    As integrações a seguir estão incluídas no sistema de base.

    Tabela 1. Rapid7 integrações de data warehouse
    Integração Descrição
    Rapid7 Vulnerability Integration Recupera dados de vulnerabilidade de Rapid7 Nexpose e os processa em sua instância.
    Rapid7 Integração da lista de ativos Recupera dados de verificação uma vez por semana do Rapid7 Nexpose data warehouse e os armazena no módulo Itens descobertos em sua instância. Ajuda a identificar ativos que não foram verificados recentemente usando a data da última verificação. Exiba a hora da última verificação na lista de itens descobertos em Vulnerability Response.
    Rapid7 Integração de categoria Recupera informações de categoria de Rapid7 Nexpose. As categorias fornecem classificação de alto nível para vulnerabilidades.
    Rapid7 Explorar integração Recupera informações de exploração de Rapid7 Nexpose.
    Rapid7 Integração do kit de malware Recupera informações do kit de malware de Rapid7 Nexpose.
    Rapid7 Integração de referência Recupera referências a documentos de autoridade externa, como CVEs ou referências de vulnerabilidade específicas do fornecedor.
    Rapid7 Integração da Solução Recupera dados da solução de Rapid7 Nexpose, que fornece soluções recomendadas para vulnerabilidades específicas.
    Rapid7 Integração da solução de substituição Recupera informações sobre quais soluções são substituídas por outras soluções.
    Rapid7 Integração da solução de pré-requisito Recupera informações sobre as soluções que são pré-requisitos para outras soluções. Quando esta integração é executada, ela busca o mapeamento de soluções e soluções de pré-requisito do data warehouse Rapid7.
    Nota:
    Esta integração funciona somente se o plug-in Solução de gerenciamento de vulnerabilidade estiver ativado.
    Rapid7 Integração do mapa de solução de vulnerabilidade Recupera o mapeamento para associar soluções a vulnerabilidades.
    Rapid7 Integração de item vulnerável Recupera dados de item vulnerável de Rapid7 Nexpose e os processa em sua instância.

    As saídas desta integração são itens vulneráveis.
    Rapid7 Integração de resolução de item vulnerável

    Recupera informações sobre quais itens vulneráveis estão marcados como encerrados em Rapid7 Nexpose e fecha os itens vulneráveis correspondentes em Vulnerability Response.
    Rapid7 Integração de Site Recupera dados do site de Rapid7 Nexpose. Um site é uma coleção de ativos direcionados para uma verificação.
    Rapid7 Integração da lista de ativos Recupera marcadores de host e dados de verificação uma vez por semana do data warehouse Rapid7 e os armazena no módulo Itens descobertos em sua instância. Ajuda a identificar ativos que não foram verificados recentemente usando a data da última verificação. Exibir a hora da última verificação na lista de itens descobertos em Vulnerability Response
    Rapid7 Integração abrangente de item vulnerável Importa todas as detecções do Rapid7 para todos os itens de configuração verificados desde a última execução de integração bem-sucedida. Com base nos dados importados mais atuais, os itens vulneráveis encontrados não recentemente durante as verificações são transferidos automaticamente para "Encerrado" quando o módulo Fechar automaticamente itens vulneráveis obsoletos está habilitado.
    Tabela 2. Integrações do Rapid7 InsightVM
    Integração Descrição
    Rapid7 Integração de item vulnerável - API Recupera dados de item vulnerável do Rapid7 InsightVM e os processa em sua instância.
    Rapid7 Vulnerability Integration — API Recupera dados de referência, categoria, exploração, kit de malware e vulnerabilidade do Rapid7 InsightVM e os processa em sua instância.
    Rapid7 Integração da lista de ativos - API Recupera marcadores de host e dados de verificação uma vez por semana de Rapid7 InsightVM e os armazena no módulo Itens descobertos em sua instância. Ajuda a identificar ativos que não foram verificados recentemente usando a data da última verificação. Exiba a hora da última verificação na lista de itens descobertos em Vulnerability Response.
    Rapid7 Integração de item vulnerável abrangente - API Importa todas as detecções do Rapid7 para todos os itens de configuração verificados desde a última execução de integração bem-sucedida. Com base nos dados importados mais atuais, os itens vulneráveis encontrados não recentemente durante as verificações são transferidos automaticamente para "Encerrado" quando o módulo Fechar automaticamente itens vulneráveis obsoletos está habilitado.
    Rapid7 Integração de Site Recupera dados do site do produto Rapid7 InsightVM. Esta integração está definida para ser executada semanalmente às 00:00:00.

    Durante a importação, os registros CVE que ainda não estão presentes são criados como registros NVD e referenciados em entradas de terceiros para Rapid7 por padrão. A integração do modelo para Rapid7 não pode ser excluída. Em vez disso, desabilite-o.

    O Conector do Service Graph para Rapid7

    A partir da versão 2.0, o Conector do Service Graph para Rapid7 está disponível na ServiceNow® Store. Para obter mais informações, consulte Service Graph Connector for Rapid7.

    Regras de Pesquisa de IC

    As Regras de Pesquisa de IC determinam como preencher o campo Item de configuração em um registro de item vulnerável.

    Para obter mais informações sobre como funcionam as regras de pesquisa de IC, consulte Regras de pesquisa de IC para identificar itens de configuração de Vulnerability Response integrações de vulnerabilidade de terceiros.

    Para criar ou editar regras de pesquisa, consulte Criar uma regra de pesquisa de IC do Vulnerability Response.
    Nota:
    As regras, depois de removidas, não podem ser recuperadas. Em vez de remover as regras existentes, desative-as ao criar novas.

    Itens Descobertos

    Este módulo lista os itens de configuração detectados durante a importação das Rapid7 Integrações de item vulnerável (armazém de dados ou API InsightVM) e a Rapid7 Integração da lista de ativos - API. A Rapid7 Integração da lista de ativos - API importa todos os ativos Rapid7 verificados quanto a vulnerabilidades desde a última execução da integração. A integração da lista de ativos do data warehouse Rapid7 está incluída.
    Nota:
    O filtro padrão desta lista é definido como Incompatível. Você pode exibir todos os itens descobertos de uma importação removendo o filtro.

    Consulte Itens Descobertos em Vulnerability Response para obter mais informações sobre o módulo Itens descobertos.

    Marcadores de host

    Os marcadores de host são importados como parte da Rapid7 Integração da lista de ativos - integração de API para Rapid7 InsightVM. Eles são usados principalmente para filtragem em Vulnerability Response Regras de tarefa de atribuição e correção em Rapid7 InsightVM. Eles são exibidos no formulário Item descoberto.

    Marcadores de host
    Nota:
    A integração Rapid7 Lista de ativos - integração de API deve ser executada antes da criação de Regras de atribuição ou de tarefa de correção em Vulnerability Response para que todos os marcadores possam estar presentes nas regras e antes que os itens vulneráveis sejam importados e agrupados.
    • O armazenamento de marcador não faz distinção entre maiúsculas e minúsculas. Se um marcador San Diego for criado, um marcador SAN DIEGO não poderá ser armazenado na tabela de marcadores do host. "San Diego" e "SAN DIEGO" são considerados o mesmo marcador de host. Qualquer marcador que tenha sido importado primeiro vencerá.
    • Usar marcadores de host como uma chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. Os marcadores de host devem ser usados somente no Construtor de condição.
    • Os marcadores de host são controlados pela propriedade do sistema global sn_vul.import_host_tags. Esta propriedade é definida como verdadeira por padrão. Desativar os marcadores os desativa em todas as instâncias.

    Sites

    Um site é uma coleção de ativos direcionados para uma verificação. Um site consiste em ativos de destino, um modelo de verificação, um ou mais mecanismos de verificação e outras configurações relacionadas à verificação, como programações ou alertas. Os sites são gerenciados por aplicações Rapid7.

    Rapid7 Vulnerability Integration A filtragem de site durante a configuração permite categorizar e solicitar ativos por site durante a importação. Consulte Filtrar por Rapid7 sites para obter mais informações sobre como filtrar importações.

    O data warehouse Rapid7 InsightVMRapid7 e as integrações de sites [] importam sites como um trabalho programado semanalmente.

    Para exibir os sites importados em uma lista, navegue até Rapid7 > Sites.

    Reabrir itens vulneráveis resolvidos não encerrados por verificações

    Itens vulneráveis definidos como "Resolvidos" em sua instância Now Platform, mas não transicionados para "Encerrado/Corrigido" pelas execuções de integração subsequentes, serão reabertos se forem detectados durante novas verificações.

    Para Rapid7 detecções, agora está disponível uma opção na página de configuração do Rapid7 em sua instância para reabrir IVs resolvidos por idade. Se habilitado, os IVs definidos como "Resolvido", mas não transicionados para "Encerrado/Corrigido" pelas verificações subsequentes, retornam para "Aberto" após o número de dias inserido.

    Criar ICs usando o Mecanismo de Identificação e Reconciliação (IRE)

    Você pode usar o Mecanismo de Identificação e Reconciliação para criar novos ICs quando um IC existente não puder ser correspondido com um host importado de um scanner de terceiros. Habilite o plug-in CMDB CI Class Models para criar ICs usando as novas classes, caso contrário, ICs incompatíveis serão criados nas classes de IC incompatíveis. Para obter mais informações, consulte Criando ICs para Vulnerability Response usando o mecanismo de Identificação e Reconciliação. Para obter mais informações sobre como configurar a categorização de recursos de nuvem incompatíveis em sua classe de IC preferencial, consulte Atualizando classe de IC para ativos de nuvem incompatíveis.

    Verificar novamente itens vulneráveis

    Inicie novas verificações na plataforma Rapid7 para verificar se os itens vulneráveis foram corrigidos entre os ciclos de verificação programados. Consulte Iniciar nova verificação para a integração de vulnerabilidade Rapid7.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    Rapid7 gestão de soluções

    Se você ativou o plug-in Solução de gerenciamento de vulnerabilidade, as soluções Rapid7Rapid7 para o data warehouse [] e Rapid7 InsightVM ] serão preenchidas na tabela Soluções de vulnerabilidade [sn_vul_solution]. No entanto, se você não ativou o plug-in Solução de gerenciamento de vulnerabilidade, o Rapid7 Vulnerability Integration funcionará como está e importará as soluções na tabela [sn_vul_r7_solution] personalizada. Para obter mais informações, consulte Rapid7 gestão de soluções.