Vulnerability Response detecções de item vulnerável de integrações de terceiros

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • Exiba todas as informações coletadas por verificações de terceiros na sua instância Now Platform®. Exiba os resultados retornados das verificações na detecção e nos registros de item vulnerável (VI) em sua instância, pois esses resultados são exibidos nos scanners.

    Visão geral

    A aplicação Vulnerability Response oferece suporte a integrações de terceiros que recuperam dados de item vulnerável do seu ambiente empresarial. Dados detalhados sobre detecções, ou seja, ocorrências únicas e distintas de vulnerabilidades conforme relatado pelos scanners de suas integrações de terceiros, são importados e exibidos na detecção e nos registros de item vulnerável em sua instância da Now Platform.

    As integrações de terceiros recuperam dados de detecção de item vulnerável. As detecções são ocorrências distintas de vulnerabilidades, conforme relatado pelos scanners. Os dados de detecção são emparelhados com itens vulneráveis e o estado do IV é atualizado com base no estado das detecções. Se um IV não for encontrado, um novo será criado. As detecções são abertas ou encerradas somente pelos dados encontrados diretamente por um scanner.

    Em versões anteriores do Vulnerability Response, as detecções de item vulnerável, o relacionamento entre um IC (ativo) em seu ambiente e uma vulnerabilidade importada de um scanner de terceiros, criavam um item vulnerável exclusivo em sua instância da Now Platform.

    A granularidade dos dados originais fornecidos pelo scanner é preservada. Com as detecções, os dados de detecção são emparelhados com itens vulneráveis. Durante uma ingestão, se um item vulnerável não for encontrado, um novo IV será criado.

    A partir da versão 21.0 do Vulnerability Response, uma propriedade do sistema sn_vul.show_last_open_detection é fornecida no sistema de base. Por padrão, o valor desta propriedade é definido como falso e o comportamento atual de agregar os valores da detecção inicial ao IV permanece inalterado. No entanto, se for definido como verdadeiro, um IV será atualizado automaticamente com a última detecção aberta após uma ingestão. Os campos como endereço IP, SSL, Porta, Protocolo, NetBIOS e Prova são atualizados para as detecções de IV. Se necessário, você pode personalizar os campos de detecção que devem ser atualizados modificando o script DetectionBase.

    Para exibir os valores da última detecção de abertura, navegue até a guia Última detecção de abertura na exibição do formulário IV. Para atualizar todos os IVs abertos no ano passado com os últimos valores de detecção de abertura, você pode executar o trabalho programado Update Last Open Detection Value To VITs sob demanda. Este trabalho programado também é fornecido no sistema de base.

    Nota:
    Quando um item de configuração (IC) muda em um item descoberto, as atualizações correspondentes também são refletidas nas detecções. Como resultado, as detecções podem ser movidas de um IV para outro. Com base nessa mudança e no valor da propriedade sn_vul.show_last_open_detection, os valores das detecções são acumulados para os IVs de origem e de destino.

    Versões compatíveis de Vulnerability Response

    Para obter mais informações sobre como instalar ou atualizar a aplicação Vulnerability Response, consulte Como instalar Vulnerability Response.

    Integrações de terceiros compatíveis

    Uma integração de terceiros compatível com a aplicação Vulnerability Response é necessária para detecções de itens vulneráveis. As seguintes integrações de terceiros são compatíveis com a aplicação Vulnerability Response para detecções de item vulnerável:
    • Qualys Host Detection Integration
    • Depósito de dados da Rapid7:
      • Integração de item vulnerável
      • Integração de resolução de item vulnerável
    • Integração de resolução de item vulnerável Rapid7 (InsightVM)
      • Insight VM integration
      • Integração de item vulnerável - API
    • Tenable Vulnerability Integration
    • Microsoft Defender Threat and Vulnerability Management

    Essas integrações de terceiros estão disponíveis com uma assinatura separada da ServiceNow Store. Para obter mais informações sobre essas integrações, consulte Integrações do Vulnerability Response e Security Operations e o ServiceNow Store para obter mais informações sobre como obter o direito.

    Para verificar se o scanner de terceiros está configurado para importação, consulte Instalar e configurar a aplicação Rapid7 Integration for Security Operations e Instalar o Qualys Vulnerability Integration.

    Termos-chave para detecções de item vulnerável

    Vulnerabilidade
    Dados sobre pontos fracos em software, sistemas operacionais e ativos importados de fontes internas e externas. Esses dados são importados e comparados aos ativos existentes (itens de configuração, ICs) listados no CMDB.
    Item vulnerável
    Um item vulnerável é criado ou atualizado quando uma vulnerabilidade importada corresponde a um IC no CMDB.
    Detecção
    Uma ocorrência única e distinta de uma vulnerabilidade, conforme relatado por um scanner conhecido como Detecção de item vulnerável no ambiente Now Platform. Uma detecção inclui dados aprimorados sobre uma vulnerabilidade e todos os itens vulneráveis correspondentes. Esses dados são exibidos no registro de detecção (nº de VID) e na exibição da lista de itens vulneráveis que inclui os seguintes detalhes:
    • Encontrado pela primeira vez (dados)
    • Último encontrado (data)
    • Nome DNS
    • Net BIOSname
    • Endereço IP
    • Porta
    • Protocolo
    • Prova
    • SSL
    • Horas encontradas
    Nota:
    Adicionar uma regra de negócios na tabela de detecção afetará o desempenho da ingestão.
    Chave de detecção
    Uma combinação de hash de campos que fornecia uma maneira de identificar e vincular uma detecção a um item vulnerável. As chaves de detecção são específicas da integração.
    Tabela 1. Configurações de chave de detecção
    Scanner Vulnerabilidade Porta Protocolo ID do ativo Prova NIC
    Qualys Sim Sim Sim Sim Não N/D
    Tenable Sim Sim Sim Sim Não N/D
    Rapid7 Sim Sim Sim Sim Sim (não faz distinção entre maiúsculas e minúsculas) Sim
    Nota:
    • Se a chave de detecção não for especificada, ou para versões anteriores a Vulnerability Response 14.0, a chave de detecção será uma combinação de entrada de vulnerabilidade, porta, protocolo, ID de ativo e prova.
    • A partir da v19.0 de Vulnerability Response, uma nova chave de detecção NIC é adicionada para Rapid7 InsightVM, que é ativado por padrão. As detecções existentes sem NIC são atualizadas com a primeira NIC de entrada na carga útil de Rapid7. A chave de detecção é recalculada e preenchida novamente na detecção, incluindo o NIC. Novas detecções serão criadas se detecções semelhantes forem vistas com diferentes valores de NIC. Esses dados não são acumulados na tabela Item vulnerável. O valor do NIC é armazenado em uma nova coluna na tabela sn_vul_detection_key_config e sn_vul_detection.
    Duplicata
    O processo usado pela aplicação Vulnerability Response de recolher detecções individuais em um único IV quando os dados atendem a determinados critérios codificados.
    ID externo do IV
    O valor armazenado no campo ID externo da tabela IV. Este valor é um hash composto pela combinação de chaves em um IV que representa o que o torna exclusivo na aplicação. Ele é composto por um IC e uma entrada vulnerável.

    Reabrir itens vulneráveis resolvidos

    Itens vulneráveis definidos como Resolvidos na sua instância Now Platform, mas não transicionados para Encerrado/Corrigido pelas execuções de integração subsequentes, serão reabertos se forem detectados durante novas verificações.

    Os IVs encerrados com um subestado fixo ou obsoleto serão reabertos se uma nova detecção for criada e os IVs puderem ser correspondidos com a nova vulnerabilidade.

    De acordo com a inclusão de script, DetectionBase, método _shouldReOpenVI(), se o VIT foi encerrado anteriormente com subestado Fixo, Obsoletoou IC desativado, ele será reaberto e a detecção será mapeada para o VIT existente.

    Por exemplo, digamos que a data de encerramento de um VIT seja posterior à data last_found de uma detecção. Você esperaria que esses registros de VIT permanecessem fechados. No entanto, se você vir um VIT encerrado anteriormente reaberto, isso significa que o VIT foi encerrado por uma detecção anterior e a vulnerabilidade foi encontrada novamente em uma verificação posterior. Quando é encontrada uma nova detecção que corresponde ao VIT encerrado que tem a mesma vulnerabilidade no item de configuração do VIT, o VIT é reaberto.

    Para Rapid7 detecções, agora está disponível uma opção na página de configuração do Rapid7 em sua instância para reabrir IVs resolvidos por idade. Se habilitado, os IVs definidos como Resolvidos, mas não transicionados para Encerrado/Corrigido pelas verificações subsequentes, retornam para Aberto após o número de dias inserido.

    Para Qualys detecções, se o scanner continuar a encontrar IVs que foram definidos como Resolvidos, mas não transicionados para Encerrado/Corrigido pelas verificações subsequentes, esses IVs retornam para Aberto quando a última data encontrada for posterior à data Resolvido.

    Exibir dados de detecção

    Você exibe os dados importados das detecções de item vulnerável no registro IV. Para obter mais informações, consulte Exibir Vulnerability Response dados de detecção de item vulnerável e Verificar Vulnerability Response registros de dados de detecção de item vulnerável na execução de integração (VINTRUN).