Configurar a integração de vulnerabilidade da Tenable usando o assistente de configuração

Versão de lançamento: Washingtondc

Atualizado 6 de fev. de 2024

10 min. de leitura

Depois de instalar a aplicação Integração do Vulnerability Response com Tenable, configure-a usando o Assistente de configuração.

Antes de Iniciar

Use as seções a seguir para complementar as instruções e os avisos fornecidos no Assistente de configuração para a integração Integração do Vulnerability Response com Tenable.

Verifique se você já instalou a aplicação antes de começar. Para obter mais informações, consulte Instalar Vulnerability Response aplicações de terceiros usando o Assistente de configuração.
Consulte Preparando para a integração de vulnerabilidade da Tenable para obter mais informações antes de configurar o Tenable para Vulnerability Response.
Verifique se você tem credenciais de conta de terceiros disponíveis. Eles são necessários para editar alguns aplicativos de terceiros.

Funções necessárias: System Admin (admin) para instalação, Vulnerability Admin (sn_vul.vulnerability_admin) ou sn_vul.admin (obsoleto) e Configure Integration (sn_vul_tenable.configure_integrations) para configuração.

Procedimento

Se não for exibido, navegue até Todos > Vulnerability Response > Administração > Assistente de configuração > Configuração de Integração > Integrações do Scanner.

As integrações Tenable.io e Tenable.sc são exibidas.

A Tenable é uma integração de várias origens e você pode ter várias implantações da mesma integração de terceiros. As configurações da integração original de terceiros são usadas como modelo para as configurações de cada nova integração.

Nota:
Se você excluir a integração de vulnerabilidade original, precisará selecionar outra integração para usar como modelo. Considere desabilitar a integração em vez de excluí-la. As integrações criadas a partir de modelos desabilitados são desabilitadas por padrão.

Os dados de cada integração de terceiros são identificados exclusivamente e estão disponíveis em uma única instância de Vulnerability Response.
À direita da integração da Tenable que você deseja configurar, clique em Editar.
No formulário Credenciais da conta, preencha os campos.
- Tenable.io requer acesso de administrador com um atributo de permissão maior ou igual a 64.
  Nota:
  A partir da v3.8 do Vulnerability Response Integration with Tenable, o acesso ao Tenable.io não precisa mais de privilégios de administrador. Um usuário básico com um atributo de permissão igual a 16 também pode acessar o produto.
- Tenable.sc requer acesso de Analista de Segurança ou Gerente.
1. Selecione seu produto Tenable.
2. Insira o nome da sua conta da Tenable.
3. No campo URL da instância, insira o URL da sua plataforma Tenable.
4. Selecione um método de autenticação.
  Com base na sua versão de Tenable.sc, você tem duas opções de autenticação:
  1. A partir da v5.13 de Tenable.sc, selecione Autenticação de chave de API. Insira suas chaves secretas e de acesso da Tenable.
  2. Antes da v5.13, a autenticação do usuário era compatível com sua instância Now Platform® e era obrigatória. Insira seu nome de usuário Now Platform e senha.
  Somente a autenticação de chave de API é compatível com Tenable.sc. Insira suas chaves secretas e de acesso da Tenable.
5. Opcional: Selecione um MID Server.
  Se sua instância Now Platform e sua aplicação Tenable.sc não estiverem no mesmo local, escolha um MID Server configurado na lista de seleção. Para obter mais informações, consulte MID Server.
  - Começando com v15.0 de Vulnerability Response e v3.0 de Tenable Vulnerability Integration, você tem a opção de habilitar o parâmetro Async_request conforme descrito em Configurações de recuperação de dados para a integração de vulnerabilidade da Tenable. Alguma configuração com o Tenable será necessária se você quiser fazer chamadas síncronas. Entre em contato com o produto Tenable para obter ajuda. Este parâmetro, uma vez ativado, é aplicável a todas as integrações da Tenable.sc e tem um tempo limite de 30 segundos. Para exibir os scripts de correção, navegue até Definição do Sistema > Corrigir Scripts.
  - Para os clientes existentes, um script de correção está disponível se você estiver usando chamadas assíncronas.
  Se sua instância Now Platform e sua aplicação Tenable.sc estiverem no local, embora não sejam obrigatórias, você terá a opção de selecionar um MID Server configurado na lista de seleção.
  Nota:
  Quer você opte por empregar um MID Server ou não, as integrações expiram após cinco minutos e uma mensagem é exibida quando não há resposta do servidor.
  Se você receber um erro de tempo limite, no Assistente de configuração, verifique se você inseriu as credenciais e o URL corretos.
Clique em Avançar para salvar suas mudanças e prosseguir para o primeiro formulário de integração.
O formulário Configuração de importação de ativo é exibido.
Neste formulário, ative ou desative a integração de importação de ativo, determine a data de início inicial dos ativos que você deseja importar e programe quando a importação de ativo da Tenable deve ser executada.
Para Tenable.io
- A integração de ativos pode ser usada com os resultados de conformidade Tenable.io e a integração de backfill de resultados de conformidade para importar dados de avaliação de configuração segura sobre seus ativos para a aplicação Configuration Compliance.
- A versão 12.2 da aplicação Configuration Compliance será necessária em sua instância se você quiser importar e exibir esses dados de avaliação de configuração segura.
  Consulte Configuration Compliance dados importados para obter mais informações sobre quais dados são importados com essas integrações e onde eles são publicados.
- Os resultados de conformidade Tenable.io e as integrações de preenchimento de resultados de conformidade não são ativados por padrão. Se você ativá-los, talvez prefira usar as configurações de programação padrão fornecidas. Consulte as etapas listadas abaixo para saber como localizar e ativar integrações para o Tenable Vulnerability Integration.
- Você pode iniciar uma nova verificação sob demanda para itens vulneráveis para o produto Tenable.io de sua instância. A integração de modelo Tenable.io e a integração de credencial de verificação Tenable.io devem ser ativadas antes de iniciar novas verificações.
Por padrão, essas integrações estão desativadas. Quando você insere suas credenciais para Tenable.io, todas as integrações Tenable.io são ativadas automaticamente. Para ativar ou desativar manualmente essas integrações:
1. Navegar até Integração de vulnerabilidade Tenable > Administração > Integrações.
2. Na lista exibida, localize os registros de integração Tenable.io desejados.
3. Abra cada registro e marque a caixa de seleção Ativo para ativar a integração.
4. Clique em Atualizar para salvar suas mudanças.
5. Retorne ao Assistente de configuração para continuar com sua configuração para Tenable Vulnerability Integration com Vulnerability Response.
- Para a integração Tenable.io, você também tem a opção de ativar e desativar a importação de etiquetas do ativo. As etiquetas do ativo são importadas por padrão e usadas para organizar e rastrear os ativos listados no seu CMDB no ambiente Tenable.io.
- Para os produtos Tenable.io e Tenable.sc, se você selecionar Habilitar pesquisa por partição de rede em Pesquisa por partição de rede, poderá criar ICs individuais usando o mecanismo de Identificação e Reconciliação (IRE) para seus ativos que têm o mesmo endereço IP. Para obter mais informações, consulte Atualizar itens de configuração com o identificador de partição de rede para Tenable Vulnerability Integration e Criando ICs para Vulnerability Response usando o mecanismo de Identificação e Reconciliação.
- Na parte superior da tela, ao lado do link Importação de ativo, clique no link Regras de pesquisa de IC para exibir as regras de pesquisa do item de configuração (IC) padrão. As Regras de pesquisa de IC definem como os dados de ativo de terceiros são usados para identificar itens de configuração (IC)s no Now Platform CMDB. Você tem a opção de adicionar regras de pesquisa ou modificar as regras de pesquisa de IC padrão nesta página. Para obter mais informações, consulte Regras de pesquisa de IC para identificar itens de configuração de Vulnerability Response integrações de vulnerabilidade de terceiros.
- Clique em Importar ativos agora para importar dados sob demanda.
- O link Configurações avançadas leva você ao registro de integração de ativos. A partir da v3.3, é possível adicionar parâmetros que são compatíveis com o produto Tenable.io para suas consultas programadas para ajudá-lo a filtrar os dados de vulnerabilidade importados com os Tenable.io Ativos e as integrações de vulnerabilidades fixas e abertas. Consulte Definir parâmetros de filtro adicionais para importações de Tenable.io para obter mais informações.
Clique em Avançar para salvar suas mudanças e prosseguir para o próximo formulário.
O formulário Configuração de importação de plug-ins é exibido.
Neste formulário, habilite ou desabilite a importação de plug-ins (entradas de vulnerabilidade de terceiros), determine a data de início inicial dos plug-ins que você deseja importar e programe quando a importação de plug-ins da Tenable deve ser executada.
Se você quiser importar todos os plug-ins, vulnerabilidades e ativos, deixe a data de início inicial em branco.
- Clique em Importar plug-ins agora para importar dados sob demanda.
- O link Configurações avançadas direciona você para o registro de integração de plug-ins.
- Para a importação de vulnerabilidades, você pode programar e definir níveis de severidade para Tenable.io para as vulnerabilidades que deseja ingerir. Determine uma data para que somente as vulnerabilidades criadas ou atualizadas a partir de uma data específica sejam importadas.
- Para a integração Tenable.sc, você pode determinar um filtro de consulta e uma data para que somente as vulnerabilidades criadas ou atualizadas a partir de uma data específica sejam importadas.
Clique em Avançar para salvar suas mudanças e prosseguir para o próximo formulário.
O formulário Configuração de importação de vulnerabilidades é exibido. Habilite ou desabilite a integração e determine a data de início das vulnerabilidades que você deseja importar.
Para o produto Tenable.io :
- Importe somente as vulnerabilidades e os IVs associados que correspondam às condições escolhidas com o filtro de Severidade.
- Para a integração de ativos [ Tenable.io, Last Scan Time é importado e atualizado somente para ativos que têm vulnerabilidades.
- Habilite a opção Vulnerabilidades corrigidas para exibir IVs para registros de detecção corrigidos. Se este sinalizador estiver habilitado no Assistente de configuração, novos IVs serão criados para detecções no estado Fixo que ainda não existem em sua instância. Quando habilitado, este recurso pode afetar negativamente o desempenho da ingestão.
- O link Configurações avançadas ao lado de Importar filtros direciona você para o registro de integração de vulnerabilidades.
- Clique no link Importar programações na parte superior para configurar a frequência com que as vulnerabilidades são ingeridas e habilitar a integração.
Para o produto Tenable.sc :
- Importe somente as vulnerabilidades e os IVs associados que correspondam aos filtros de condição definidos por uma consulta da Tenable na plataforma Tenable. Consulte a documentação da Tenable para obter mais informações sobre consultas da Tenable.
  O filtro de consulta da Tenable selecionado no Assistente de configuração também se aplica à Integração de ativos Tenable.sc. Somente os ativos com as vulnerabilidades que correspondem às condições do filtro de consulta são importados.
- Habilite a opção Vulnerabilidades corrigidas para exibir IVs para registros de detecção corrigidos. Se este sinalizador estiver ativo no Assistente de configuração, novos IVs serão criados para detecções no estado Fixo que ainda não existem em sua instância. Quando ativo, este recurso pode afetar negativamente o desempenho da ingestão.
- Para incluir o identificador de partição de rede na pesquisa de endereço IP, selecione Habilitar pesquisa por partição de rede caixa de seleção do Pesquisa por partição de rede seção. Para obter mais informações, consulte Atualizar itens de configuração com o identificador de partição de rede para Tenable Vulnerability Integration.
- Clique em Importar programações na parte superior para configurar a frequência com que as vulnerabilidades são ingeridas e habilitar a integração.
- O link Configurações avançadas ao lado de Importar filtros direciona você para o registro de integração de vulnerabilidades.
- A ServiceNow® Tenable.sc Integração de credencial de verificação é habilitada (Ativo) automaticamente no Assistente de configuração em sua instância quando você configura as Tenable.sc Integrações de vulnerabilidades (Tenable.sc Integrações de vulnerabilidades abertas e corrigidas).
  Esta integração importa e atualiza as credenciais do scanner do produto Tenable.sc em sua instância. Esta integração é executada semanalmente para importar e armazenar com segurança seus dados de credenciais da Tenable. Navegar até Integração de vulnerabilidade Tenable > Integrações > Integração de credencial de verificação da Tenable.sc para exibir mais informações sobre a integração de credencial de verificação.
Clique em Concluir para salvar suas mudanças e concluir a configuração no Assistente de configuração.

O que Fazer Depois

(Opcional) Navegue até Todos > Vulnerability Response > Administração > Calculadoras de vulnerabilidade > Calculadora de Risco Padrão > Regra de risco da Tenable para habilitar a regra de risco da Tenable.

No formulário Regra da Calculadora de Vulnerabilidade exibido, marque a caixa de seleção Ativa para habilitá-la.

A Regra de risco da Tenable é instalada com a aplicação Integração do Vulnerability Response com Tenable como parte da Calculadora de risco padrão nas Calculadoras de vulnerabilidade da Vulnerability Response. A classificação de prioridade de vulnerabilidade (VPR) é um atributo do produto Tenable que é importado e usado com a nova calculadora de risco padrão. Esta regra de risco é desativada por padrão. Ao habilitar a regra da calculadora de risco da Tenable, os valores de VPR importados são usados para calcular a pontuação de risco dos itens vulneráveis. A distribuição de peso padrão para esta calculadora de risco: VPR = 70%, Ativo = 15% e Criticalidade dos negócios = 15%. Habilitar esta regra da Calculadora de risco da Tenable pode afetar o desempenho da ingestão de dados.

Veja Vulnerability Response calculadoras e regras da calculadora de vulnerabilidade