Lancer une nouvelle analyse pour l’intégration Tenable.sc

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 7 minutes de lecture

    • Vérifiez que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés en lançant de nouvelles analyses dans la plateforme Tenable. Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables pour le Tenable.sc produit à partir de votre Now Platform® instance.

    Avant de commencer

    Rôles requis : sn_vul.write_all ou sn_vul.write_assigned
    Remarque :
    Tenable.sc ne prend pas en charge le lancement de RECAN sur les machines basées sur agent.

    Vérifiez que votre scanner est activé avant de commencer. Accédez à la Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.

    Pourquoi et quand exécuter cette tâche

    Pour lancer une nouvelle analyse à partir des espaces de travail, reportez-vous à la section Analyser Tenable.io de nouveau et Tenable.sc les éléments vulnérables à partir des espaces de Réponse aux vulnérabilités travail.

    Suivez les étapes énumérées ci-dessous pour lancer une nouvelle analyse dans l’environnement classique.

    Pour réduire les frais généraux et le volume liés aux analyses complètes planifiées, les propriétaires de rattrapages, les spécialistes informatiques, les analystes de vulnérabilité ou les gestionnaires de vulnérabilité peuvent lancer de nouvelles analyses ciblées à la demande pour détecter des vulnérabilités spécifiques sur les actifs (éléments de configuration) de leurs environnements. Vous pouvez lancer de nouvelles analyses à partir d’enregistrements d’éléments vulnérables (VI), de tâches de rattrapage (RT), d’entrée tierce (TPE) ou d’éléments découverts à partir de votre Now Platform instance.

    Les nouvelles analyses permettent à vos propriétaires de rattrapage et à vos analystes de vulnérabilité de vérifier que vos activités de rattrapage, correctifs et autres actions ont corrigé avec succès des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    Par exemple, l’ensemble de votre environnement est analysé une fois toutes les trois semaines. L’analyse complète la plus récente a été terminée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines pour la prochaine analyse planifiée afin de vérifier qu’elle a été corrigée. Pour vérifier que votre correctif a corrigé avec succès une vulnérabilité critique découverte lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform pour rechercher Tenable.sc les éléments vulnérables.

    Remarque :
    Lorsque vous demandez une nouvelle analyse à partir de votre Now Platform® instance, la sélection des informations d’identification Intégration de Réponse aux vulnérabilités à Tenable est facultative. L’intégration ServiceNow® Tenable.sc des informations d’identification de numérisation importe et met à jour les informations d’identification Tenable.sc du scanner du produit dans votre instance. Cette intégration s’exécute chaque semaine pour importer et stocker en toute sécurité vos données d’informations d’identification Tenable.

    Notez que ces données importées n’incluent pas les mots de passe Tenable ni d’autres informations sensibles sur le compte Tenable. L’intégration ServiceNow® Tenable.sc des informations d’identification d’analyse est activée (active) automatiquement à partir de l’assistant de configuration de votre instance lorsque vous configurez les Tenable.sc intégrations de vulnérabilités (Tenable.sc intégrations de vulnérabilités ouvertes et corrigées).

    Notez les informations suivantes concernant les informations d’identification que vous importez afin que vos utilisateurs puissent les consulter selon les besoins de votre Now Platform instance :
    • Les informations d’identification créées avec le rôle d’utilisateur administrateur sont disponibles pour les Tenable.sc utilisateurs de toutes vos organisations.
    • Les informations d’identification créées avec le rôle d’utilisateurs de l’organisation Tenable.sc ne sont disponibles que pour les utilisateurs de cette organisation. Ces informations d’identification ne sont pas importées dans le Now Platform pour les utilisateurs extérieurs à l’organisation du créateur, sauf si elles sont partagées avec le compte de l’utilisateur utilisé pour se connecter à l’instance.

    Consultez le site web de la Tenable.sc documentation pour plus d’informations.

    Pour plus d’informations sur la configuration de l’application, reportez-vous à la Tenable.sc section Configurer l’intégration de vulnérabilité Tenable à l’aide de l’assistant de configuration . Pour afficher plus d’informations sur l’intégration des informations d’identification de numérisation, accédez à Tout > Intégration de vulnérabilité Tenable > Intégrations > Intégration des informations d’identification de numérisation Tenable.sc.

    Au cours de l’exécution de l’intégration, plusieurs processus sont générés et les données sont reçues sous forme de pages. Chaque processus peut contenir une ou plusieurs entrées de file d’attente d’importation avec des données jointes dans les pages. Ces entrées doivent traiter les données dans le délai d’une heure. Toutefois, si la taille de la charge utile est importante, le temps de traitement peut dépasser une heure ou être bloqué, ce qui entraîne une erreur de délai d’expiration de l’intégration. L’intégration continue de traiter les données malgré l’erreur de délai d’expiration. Pour éviter cette mauvaise communication, à partir de la version 18.2.4 de , des horodatages (intervalles de Réponse aux vulnérabilitésmise à jour) sont envoyés périodiquement pour indiquer si la file d’attente est active et traite des données. Le champ Dernier enregistrement traité de la page Entrée de file d’attente d’importation est mis à jour en fonction du nombre d’enregistrements créés ou mis à jour par la file d’attente d’importation. Si une entrée de file d’attente d’importation dépasse la limite d’une heure, le système vérifie le champ Dernier enregistrement traité pour voir s’il date également de plus d’une heure. Si c’est le cas, cela indique que l’entrée de file d’attente d’importation est bloquée et qu’elle a expiré pour éviter tout retard supplémentaire dans le traitement.
    Remarque :
    Le champ Dernier enregistrement traité est mis à jour en fonction de ce qui est défini dans les propriétés système suivantes :
    • sn_sec_cmn.record_threshold_heartbeat: définit le nombre d’enregistrements traités, après quoi les intervalles de mise à jour (horodatage) sont envoyés à l’entrée de file d’attente d’importation.
    • sn_sec_cmn.maximum_heartbeat_delay: définit le délai après lequel l’entrée de file d’attente d’importation doit expirer.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez déclencher une nouvelle analyse et ouvrez-le.
      Remarque :
      Vous ne pouvez lancer de nouvelles analyses que pour les VI ayant Tenable.sc comme source. Vérifier Tenable.sc s’affiche dans la colonne Source des vues de listes des VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le générateur de conditions pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue de liste des VI, dans le coin supérieur gauche de la liste, cliquez sur l’icône Personnaliser la liste (icône Engrenage) et utilisez la zone de liste double pour déplacer la source de Disponible à Sélectionné.
    3. Vous pouvez également accéder à Tout > Réponse aux vulnérabilités > Tâches de remédiation ou Réponse aux vulnérabilités > Bibliothèques > Tiers pour la tâche de rattrapage ou les enregistrements d’entrée tierce, respectivement, que vous souhaitez utiliser pour la nouvelle analyse.

      Selon votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un enregistrement de VI unique, l’élément vulnérable doit provenir du Tenable.sc produit et se trouver dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI doivent provenir du produit Tenable.sc et dans un état autre que Fermé.
      • Sur un enregistrement RT, la tâche de rattrapage peut être dans n’importe quel état autre que Fermé, et tous les VI associés doivent provenir du Tenable.sc produit.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement de VI associé du Tenable.sc produit dans un état autre que Fermé.
    4. Dans l’angle supérieur droit de l’enregistrement, cliquez sur Analyser à nouveau.
      Vous êtes invité à choisir les informations d’identification du scanner pour accéder au scanner. Il s’agit des informations d’identification importées par l’intégration des informations d’identification Tenable.sc de numérisation.
    5. Dans la boîte de dialogue, sélectionnez les filtres et les types d’informations d’identification souhaités.
    6. Cliquez sur Demander une analyse.

      Un message s’affiche pour indiquer que votre analyse est en cours de traitement. L’état de toutes les nouvelles analyses peut être trouvé à tout moment dans les listes associées à l’analyse sur les enregistrements VI, RT, TPE que vous avez utilisés pour lancer les nouvelles analyses. Dans le message, cliquez sur Afficher les détails pour afficher l’état de la nouvelle analyse et afficher toutes les autres nouvelles analyses lancées à partir d’un enregistrement donné.

      Le champ État de l’enregistrement d’analyse parent est marqué comme terminé une fois que toutes les analyses enfants ont été terminées avec succès. Les analyses enfants importent des données. L’enregistrement d’analyse parent est un conteneur pour les analyses enfants.

      Votre Now Platform® instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine avec succès ou jusqu’à ce que la période de suivi définie expire, selon la première éventualité. Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état de Now Platform® votre nouvelle analyse a cessé, et non au moment où la nouvelle analyse réelle s’est arrêtée. Tous les éléments vulnérables qui sont passés ou passeront à l’état Fermé/Corrigé sont importés lors de la prochaine importation planifiée de l’intégration des vulnérabilités corrigées Tenable.sc.