Vulnerability Cris Management
Crie e rastreie eventos de vulnerabilidade crítica por meio do fluxo de trabalho do Vulnerability Crisis Management. Crie registros de avaliação de vulnerabilidade, registre os principais atributos da vulnerabilidade para calcular o risco, execute a avaliação para identificar o nível de exposição e envolva as partes interessadas para uma resposta coordenada e rápida às vulnerabilidades.
Gerenciamento de eventos de crise de vulnerabilidade
- Identifique com eficiência os itens de configuração vulneráveis, correlacionando vulnerabilidades críticas com o inventário de instalação de software do inventário Gestão de ativos de software e Lista de materiais de software (SBOM), vulnerabilidades relatadas pelo scanner e Configuration Management Database (CMDB).
- Converta os resultados da avaliação em itens vulneráveis para correção.
- Inicie um incidente de segurança grave para garantir uma resposta rápida e coordenada à ameaça.
- Envolva-se e colabore com equipes em toda a organização, facilitando uma resposta unificada às vulnerabilidades.
- Forneça relatórios de status regulares para partes interessadas multifuncionais e equipes envolvidas para manter a transparência e a comunicação durante a crise.
Vulnerability Crisis Management usando o Vulnerability Assessment Workspace
Ao identificar uma vulnerabilidade de interesse, o gerenciador de eventos de vulnerabilidade cria um registro de avaliação de vulnerabilidade com informações sobre a origem da inteligência contra ameaças, características da vulnerabilidade e produtos afetados. Essas informações são usadas para análises adicionais de impacto e exposição.
Depois que o registro de uma vulnerabilidade de interesse foi criado, uma avaliação de risco é realizada. Esta avaliação compreende pontuação de risco estruturada, revisão do registro e as observações do analista que executa a tarefa. A pontuação de risco inicial para uma vulnerabilidade de interesse é calculada usando os atributos disponíveis no momento da criação do evento. A pontuação de risco da avaliação pode mudar conforme a inteligência adicional se torna disponível. Use a pontuação de risco para determinar o possível impacto da exploração e estabelecer prioridades de resposta.
Depois que a avaliação de uma vulnerabilidade de interesse tiver sido criada e determinada como apresentando risco à infraestrutura da organização, você poderá analisar a ameaça ainda mais, atualizando a avaliação de risco com uma avaliação de exposição detalhada com o inventário de instalação de software de Gestão de ativos de software, Lista de materiais de software (SBOM) inventário, vulnerabilidades relatadas pelo scanner e Configuration Management Database (CMDB). Os itens de configuração e as aplicações afetados são identificados automaticamente por meio da avaliação. Outros itens afetados podem ser adicionados manualmente.
Depois que a avaliação for concluída, os itens vulneráveis ou os itens vulneráveis da aplicação poderão ser criados para os resultados de exposição que ainda não tenham um item vulnerável associado. A calculadora de pontuação de risco de itens vulneráveis pode ser aproveitada/configurada para ajustar a pontuação de risco de itens vulneráveis vinculados a registros de avaliação de vulnerabilidade. O registro de avaliação de vulnerabilidade pode ser atribuído a nível de exposição e prioridade de evento. Com base na prioridade do evento, o gerenciador de eventos de vulnerabilidade pode optar por propor, promover ou vincular a avaliação de vulnerabilidade a um incidente de segurança grave.
Use Gestão de incidentes graves de segurança para rastrear e gerenciar a atividade de correção, vincular incidentes de segurança em andamento, criar tarefas ad-hoc, envolver as equipes afetadas, enviar relatórios de status e colaborar usando integrações de colaboração disponíveis em Gestão de incidentes graves de segurança.
ServiceNow® Gestão de ativos de software e Lista de materiais de software (SBOM) lógica de processamento de avaliação
Usando os dados Gestão de ativos de software, os CPEs provenientes do NVD para o CVE e os modelos de descoberta são obtidos usando a lógica de correspondência de cadeia de caracteres. Depois de buscar os modelos de descoberta, uma verificação de instalações relacionadas é executada, os itens de configuração relacionados são buscados e a tabela Item de configuração afetado é preenchida. Você pode fornecer mais detalhes como Fornecedor, Produto, Versão e Edição. Com base neles, todos os modelos de descoberta correspondentes e as instalações de software para o registro são buscados. Posteriormente, os itens de configuração relacionados são obtidos e a tabela Item de configuração afetado é preenchida novamente.
Para SBOM, o software associado ao CVE da tabela relacionada (m2m) (entre CVE e Software) é buscado. Depois de extrair os detalhes do software, os componentes do SBOM relacionados são identificados correspondendo o produto e a versão do componente do SBOM ao produto e à versão do software identificado.Depois que os componentes associados são encontrados, as entidades relacionadas aos componentes são buscadas. O modelo de produto das entidades e o IC relacionado (se encontrado) são obtidos e o item de configuração é salvo na tabela Item de configuração afetado. Se o item de configuração não tiver itens vulneráveis, você poderá usá-lo para criar o item vulnerável. Se um item de configuração não for encontrado, o modelo do produto será salvo na tabela Modelo de software afetado e poderá ser usado para criar itens vulneráveis da aplicação.
Para obter mais informações sobre como usar o fluxo de trabalho Vulnerability Crisis Management, consulte Como usar o espaço de avaliação de vulnerabilidade.