Comprendre l’intégration de vulnérabilité Tenable

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 13 minutes de lecture

    • L’application Intégration de Réponse aux vulnérabilités à Tenable développée par ServiceNow l’ingénierie pour Tenable Vulnerability Integration utilise des données importées à partir des produits , Tenable.sc et pour vous aider à classer par ordre Tenable.io de priorité et à corriger les vulnérabilités de vos actifs. L’application est disponible avec un abonnement distinct du ServiceNow® Store.

    Remarque :
    À partir de la version 14.9 de Conformité de la configuration, les termes suivants ont été renommés :
    Tableau 1. Changements de terminologie
    Terminologie antérieure à la version 14.9 Terminologie v14.9 et ultérieures
    Groupe de résultats des tests Tâche de remédiation
    Règles de groupe Règles de la tâche de remédiation
    Politique Groupe de test
    L’intégration de vulnérabilité Tenable utilise trois intégrations Tenable, Tenable.io et , Tenable.sc pour importer des données d’analyseurs tiers concernant vos actifs et vos vulnérabilités. L’application Intégration de Réponse aux vulnérabilités à Tenable prend en charge le produit à partir de la version 5.13 et le Tenable.sc produit à partir de la version 5.0.1.
    • Tenable.io est une intégration d’entreprise basée sur le cloud.
    • Tenable.sc est une intégration locale qui vous donne la possibilité d’utiliser un serveur MID si le Tenable.sc produit et votre Now Platform instance se trouvent dans le même environnement.
    • Si le Tenable.sc produit et votre Now Platform instance ne se trouvent pas dans le même environnement, vous devez utiliser un serveur MID.
    • est une intégration d’entreprise basée sur le cloud.

    L’application Intégration de Réponse aux vulnérabilités à Tenable est disponible sur le ServiceNow Store avec un abonnement séparé.

    Pour obtenir des listes et des descriptions des intégrations dans , reportez-vous Tenable Vulnerability Integration aux sections Tenable.io Intégrations avec les Réponse aux vulnérabilitésConformité de la configuration et les applications et Tenable.sc intégrations avec l’application Réponse aux vulnérabilités.

    Figure 1. Intégration de vulnérabilité tenable
    Workflow d’intégration de vulnérabilité Tenable.

    Versions disponibles pour Yokohama

    Version de mise en production Notes de mise en production

    Intégration de Réponse aux vulnérabilités à Tenable v3.13.1, v4.1, v5.0.1

    Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements apportés à la matrice de compatibilité de Réponse aux vulnérabilités et au schéma de mise en production

    Termes et fonctionnalités clés des intégrations

    Éléments vulnérables et vulnérabilités
    Un élément vulnérable est créé dans votre Now Platform instance lorsque :
    • Une vulnérabilité importée à partir d’un scanner tiers est mise en correspondance avec un actif existant (un élément de configuration dans votre CMDB). Le produit Tenable qualifie ces correspondances de vulnérabilités.
    • Une vulnérabilité importée à partir d’un scanner tiers ne correspond pas à un actif existant dans votre CMDB. Dans ce cas, un CI sans correspondance est également créé avec un élément vulnérable.

      Pour les CI sans correspondance, vous pouvez également utiliser Identification and Reconciliation Engine (IRE, Moteur d’identification et de rapprochement) pour créer des CI dans deux nouvelles classes lorsqu’un CI existant ne peut pas correspondre à un hôte. Sinon, des CI sans correspondance sont créés dans les classes CI sans correspondance. Pour plus d'informations, consultez .

    Entrées et modules d’extension de vulnérabilité tiers
    Les entrées de vulnérabilité tierces sont importées à partir d’analyseurs tiers et répertoriées dans la table Entrées de vulnérabilité tierces de votre Now Platform instance. À partir de la version 24.0 de Réponse aux vulnérabilités, la colonne Logiciels de la table Entrées de vulnérabilité tierces renseigne les énumérations de plateforme commune (CPE) associées à une entrée tierce. Les entrées de vulnérabilité tierces de Tenable sont ingérées et mises en correspondance avec les actifs existants répertoriés Réponse aux vulnérabilités dans votre CMDB. Tenable fait référence aux entrées de vulnérabilité tierces sous forme de modules d’extension.
    Élément de configuration (CI)
    Les éléments de configuration sont les actifs existants répertoriés dans votre CMDB.
    Élément détecté
    Les actifs ingérés à partir de l’importation d’actifs Tenable sont mis en correspondance avec les éléments de configuration existants dans votre CMDB. Les actifs importés sont mis à jour.

    Si aucune correspondance n’est trouvée, un CI est créé dans la classe CI sans correspondance du .CMDB Si le module d’extension Modèles de classe CI CMDB est activé, Identification and Reconciliation Engine (IRE, Moteur d’identification et de rapprochement) crée des CI à l’aide de nouvelles classes. Pour plus d'informations, consultez . Si le CI d’origine sans correspondance est reclassé, les enregistrements de l’élément détecté sont mis à jour pour refléter l’état. Les éléments détectés vous donnent une visibilité sur la façon dont les actifs sont identifiés et mappés aux CI dans le CMDB.

    Règles de recherche de CI
    Lorsque les données sont importées à partir d’une intégration tierce, Réponse aux vulnérabilités utilise automatiquement les données de l’hôte (actif) pour rechercher des correspondances dans la base de données de gestion des configurations (CMDB). Les règles de recherche de CI sont utilisées pour identifier les CI et les ajouter aux enregistrements de VI lorsque des VIT sont créés pour vous aider dans la correction.
    Nouvelle analyse et analyse de rattrapage
    Vous pouvez lancer une commande de nouvelle analyse ciblée sur un élément de configuration, une tâche de rattrapage ou une entrée tierce spécifique directement à partir d’enregistrements d’entrée d’élément vulnérable, de tâche de rattrapage et de vulnérabilité tierce dans votre Now Platform instance. Tenable qualifie cette nouvelle analyse d’analyse de remédiation.
    Fermer automatiquement les anciens VI
    Avec le module Fermer automatiquement les éléments vulnérables périmés de votre Now Platform, vous pouvez nettoyer les éléments vulnérables périmés plus anciens (VI) qui n’ont pas été récemment trouvés par vos intégrations tierces. Le déplacement de ces VI vers Fermé vous aide à réduire le nombre d’éléments vulnérables actifs et de tâches de rattrapage, et à rapprocher les actifs dans votre CMDB. Vous pouvez utiliser toutes les intégrations avec Intégration de Réponse aux vulnérabilités à Tenable pour fermer automatiquement les VI périmés.
    Instance
    Ce terme fait référence à une occurrence distincte de votre Now Platform® application.
    Intégration
    Une intégration est une référence à une intégration propre à un produit, comme l’intégration Tenable.io des ressources ou l’intégration du module d’extension Tenable.sc . Il s’agit des intégrations distinctes qui appartiennent à des produits Tenable spécifiques dans l’intégration de vulnérabilité Tenable de votre instance.
    Instance d'intégration
    Ce terme fait référence aux intégrations Tenable distinctes répertoriées par leurs Tenable.io et Tenable.sc produits.
    Déploiement
    Lorsqu’une intégration prend en charge le multi-sources, une existence d’intégration unique et distincte est appelée un déploiement de votre intégration. Le terme est utilisé pour désigner la ou les intégrations et produits dans votre environnement. Par exemple, vous pouvez avoir plusieurs déploiements de diverses intégrations de Tenable.io produits dans Tenable.sc votre environnement.

    Les Tenable.io intégrations , Tenable.sc et incluent également les fonctionnalités clés suivantes :

    • Les résultats de l’évaluation de la configuration, c’est-à-dire les résultats des tests ainsi que les politiques, les tests de configuration (contrôles) et les contenus des documents de référence avec des sources faisant autorité, peuvent être importés dans l’application Conformité de la configuration avec le Tenable.io produit. Consultez Tenable.io Intégrations avec les Réponse aux vulnérabilitésConformité de la configuration et les applications et Explorer Conformité de la configuration pour en savoir plus sur le fonctionnement de cette intégration avec l’application Conformité de la configuration .
    • À partir de la version 2.1 de la Tenable Vulnerability Integration, créez des éléments de configuration (CI) uniques qui incluent différents identificateurs de partition de réseau pour les ressources de votre environnement qui partagent la même adresse IP. Identifiez les différents actifs de votre environnement et mettez à jour les CI de vos enregistrements d’éléments détectés, d’éléments vulnérables et de détection existants pour obtenir plus de détails sur vos vulnérabilités.
    • Vous pouvez planifier le moment où vous souhaitez que les travaux s’exécutent pour toutes les Tenable.io intégrations et Tenable.sc . Vous pouvez également exécuter des travaux planifiés manuellement sur demande.
    • Pour les importations d’actifs avec Tenable.io, vous pouvez activer les balises d’actifs pour organiser et suivre les actifs répertoriés CMDB dans votre Tenable.io environnement.
    • Les Tenable.io intégrations de , Tenable.sc et vous permettent de configurer des règles de recherche de CI pour définir comment les données d’actifs de sources tierces sont utilisées pour identifier les éléments de configuration (CI) dans votre Now Platform CMDB.
    • Les Tenable.io intégrations , Tenable.sc et vous permettent de définir des filtres d’importation sur l’importation des vulnérabilités afin d’importer uniquement les vulnérabilités de Tenable que vous souhaitez. Pour Tenable.io, vous avez la possibilité d’importer des vulnérabilités corrigées à partir de Tenable avec l’importation de vulnérabilités.
    • Pour Tenable.sc, vous avez la possibilité de lancer de nouvelles analyses sur demande directement à partir d’enregistrements d’entrée d’élément vulnérable, de tâche de rattrapage et de tiers dans votre Now Platform instance. Si des éléments vulnérables sont passés à l’état Fermé/Corrigé , mais ne sont pas encore mis à jour dans votre instance, vous pouvez vérifier que les vulnérabilités sur des éléments de configuration spécifiques ont été corrigées. Voir Lancer une nouvelle analyse pour l’intégration Tenable.sc.

    Les sections suivantes répertorient plus de détails sur les intégrations Tenable.

    Rôles Now Platform requis

    Les tâches d’intégration nécessitent les rôles suivants dans votre Now Platform instance.

    administrateur
    L’administrateur système utilise l’Assistant de configuration pour installer l’application Intégration de Réponse aux vulnérabilités à Tenable . S’il n’est pas affecté, l’administrateur affecte l’administrateur de vulnérabilité (sn_vul.vulnerability_admin) et d’autres rôles dans l’Assistant de configuration.
    sn_vul.vulnerability_admin
    Une fois affecté, l’administrateur de vulnérabilité termine la configuration des intégrations Tenable dans l’Assistant de configuration. Ce rôle dispose d’un accès complet à l’application Réponse aux vulnérabilités (VR) et à ses enregistrements. L’administrateur de vulnérabilité configure toutes les applications VR et les règles pour les intégrations tierces installées.
    sn_vul_tenable.configure_integration
    Ce rôle contient le rôle granulaire sn_vul_tenable.read_integration et les utilisateurs dotés de ce rôle peuvent configurer l’application Intégration de Réponse aux vulnérabilités à Tenable .
    sn_vul_tenable.read_integration
    Les utilisateurs disposant de ces rôles peuvent afficher (lire) mais pas modifier les enregistrements de l’application Intégration de Réponse aux vulnérabilités à Tenable .
    Groupe de réponse aux vulnérabilités
    Par défaut, le groupe Réponse aux vulnérabilités est disponible dans l’Assistant de configuration. Les utilisateurs affectés au groupe Réponse aux vulnérabilités héritent automatiquement des rôles sn_vul.read_all et sn_vul.remediation_owner.

    Éléments vulnérables

    Les éléments vulnérables sont regroupés en tâches de rattrapage en fonction des règles de tâche de rattrapage et affectés au rattrapage en fonction de vos règles d’affectation. Pour plus d'informations, consultez et .

    Règles de recherche d’éléments de configuration (CI)

    Les règles de recherche de CI identifient les CI et déterminent quand les ajouter à un élément vulnérable. Pour en savoir plus sur le fonctionnement des règles de recherche de CI, reportez-vous à la section .
    Remarque :
    Les règles, une fois supprimées, ne peuvent pas être récupérées. Plutôt que de supprimer les règles existantes, désactivez-les lors de leur création.
    Les règles de recherche suivantes Tenable.io sont fournies avec le système de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • Nom d'hôte
    • DNS
    • IP
    Remarque :
    Les Tenable.io règles de recherche de CI classent par ordre de priorité les valeurs d’interface réseau non vides (FDQN, IPV4 et MacAddress) par rapport aux valeurs FDQN, IPV4 et MacAddress standard d’un élément détecté. Lorsque ces valeurs d’interface réseau sont vides, les valeurs FDQN, IPV4 et MacAddress standard sont renseignées pour un élément détecté.
    Les règles de recherche suivantes Tenable.sc sont fournies avec le système de base.
    • MAC_ADDRESS
    • FQDN
    • NetBIOS
    • IP
    Remarque :
    Plusieurs valeurs de ip_address, mac_address, FQDN et network_interfaces sont utilisées pour un actif. Toutes les valeurs sont prises en compte dans les règles de recherche de CI pour la correspondance. Toutes les valeurs sont utilisées pour créer plusieurs cartes réseau à l’aide d’IRE.

    La règle de recherche de l’ID de ressource dans le cloud est fourni avec le système de base.

    Pour plus d’informations sur la configuration de la catégorisation des ressources dans le cloud sans correspondance dans votre classe CI préférée, reportez-vous à la section .

    Nouvelles propriétés à ignorer Adresses IP

    Dans Tenable.io, deux propriétés sont disponibles si vous souhaitez ignorer plusieurs adresses IP ou plusieurs adresses Mac dans le cadre de vos règles de recherche de CI :
    ignoreIPAddress
    Une liste d’adresses IP à ignorer pour la recherche et la création de CI.
    ignoreMacAddress
    Une liste d’adresses MAC à ignorer pour la recherche ou la création de CI.

    Éléments détectés

    Ce module répertorie les éléments de configuration détectés lors de l’importation à partir des intégrations d’éléments vulnérables Tenable et d’actifs Tenable.
    Remarque :
    Le filtre par défaut de cette liste est défini sur Sans correspondance. Vous pouvez afficher tous les éléments détectés à partir d’une importation en supprimant le filtre.
    Pour en savoir plus sur le module Éléments détectés, reportez-vous à la section .

    Balises d'actifs

    Les balises d’actifs (également appelées balises d’hôte) sont utilisées pour organiser et suivre les actifs de votre organisation. Vous pouvez attribuer des balises à vos actifs. Ensuite, lors du lancement des analyses, vous pouvez sélectionner des balises associées aux actifs que vous souhaitez analyser. Le module Balises d’actif vous permet de télécharger des données de balises d’actif vers Tenable.io votre instance de manière planifiée. Les données d’actif qui incluent des balises d’actif sont extraites des cartes de transformation de l’intégration de la transformation de l’actif Tenable.io et transformées à l’aide des cartes de Tenable.io transformation de l’intégration de l’actif .

    Toutes les balises d’actif sont importées dans le cadre de l’intégration Tenable.io des actifs. Les balises d’actifs sont utilisées pour le filtrage dans les règles d’affectation et les Réponse aux vulnérabilités règles de tâche de remédiation. Les balises sont affichées dans le formulaire Élément détecté.
    Remarque :
    Exécutez l’intégration Tenable.io des actifs avant de créer Réponse aux vulnérabilités des règles d’affectation ou des règles de tâche de rattrapage dans l’application Réponse aux vulnérabilités afin que toutes les balises soient disponibles pour ces règles avant que les éléments vulnérables ne soient importés et regroupés. Notez également les points suivants concernant les balises :
    • Le stockage des balises n’est pas sensible à la casse. Par exemple, si vous créez une balise pour décrire les ressources de votre emplacement à San Diego et que vous créez la balise San Diego , vous ne pouvez pas également créer une balise SAN DIEGO et la stocker dans la table Balise d’actif. San Diego et SAN DIEGO sont considérés comme le même actif par le système. La balise importée en premier est la balise qui est stockée et reconnue à l’avenir.
    • L’utilisation de balises d’actifs comme clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les balises d’actifs sont destinées à être utilisées uniquement dans le générateur de conditions.
    • Les balises d’actif sont contrôlées par la propriété système globale sn_vul.import_asset_tags. Par défaut, cette propriété est définie sur vrai . La désactivation des balises les désactive dans toutes les Now Platform® instances.

    Filtres de récupération de données

    Les paramètres de récupération de données vous aident à déterminer spécifiquement le type et le champ d’application des données que vous souhaitez importer de l’application Tenable vers votre Now Platform® instance. Pour obtenir la liste des paramètres les plus couramment utilisés, reportez-vous à la section Paramètres de récupération de données pour l’intégration de vulnérabilité Tenable.

    Évaluation de la priorité de la vulnérabilité (VPR)

    L’évaluation de la priorité de vulnérabilité (VPR) est un attribut du produit Tenable qui est importé et utilisé avec un nouveau calculateur de risque par défaut dans Réponse aux vulnérabilités. La règle de risque Tenable est installée avec l’application dans le Intégration de Réponse aux vulnérabilités à Tenable cadre du calculateur de risque par défaut dans les calculateurs de vulnérabilité de Réponse aux vulnérabilités.

    Cette règle de risque est désactivée par défaut.

    En activant la règle du calculateur de risque Tenable, les valeurs VPR importées sont utilisées pour calculer le score de risque pour les éléments vulnérables. Distribution de pondération par défaut pour ce calculateur de risque : VPR = 70 %, Actif = 15 % et Criticité opérationnelle = 15 %. L’activation de cette règle du calculateur de risque Tenable peut avoir un impact sur vos performances d’ingestion de données. Pour en savoir plus sur Réponse aux vulnérabilités les calculateurs et la règle du calculateur de risque Tenable, reportez-vous à la section .

    Installation et configuration

    Après avoir téléchargé le Intégration de Réponse aux vulnérabilités à Tenable à partir de , l’installation ServiceNow® Store et la configuration sont prises en charge par l’Assistant de configuration dans Réponse aux vulnérabilités. Consultez pour plus d'informations.