Iniciar nova verificação para a integração Tenable.io

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 9 min. de leitura

    • Verifique se os itens vulneráveis foram corrigidos entre os ciclos de verificação programados iniciando novas verificações na plataforma Tenable. Você pode iniciar uma nova verificação sob demanda de itens vulneráveis para o produto Tenable.io da sua instância Now Platform®.

    Antes de Iniciar

    Funções necessárias: sn_vul.write_all ou sn_vul.write_assigned

    Verifique se o scanner está ativado antes de começar. Navegar até Vulnerability Response > Verificação de Vulnerabilidades > Scanners.

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Tenable.io não é compatível com a inicialização de uma nova verificação em máquinas baseadas em agente.

    Para ajudar a reduzir a sobrecarga e o volume envolvidos com verificações completas programadas, como proprietário de correção, especialista de TI, analista de vulnerabilidade ou gerente de vulnerabilidade, você pode iniciar novas verificações direcionadas sob demanda. você pode verificar vulnerabilidades específicas em ativos (itens de configuração) em seus ambientes. Você pode iniciar novas verificações a partir de item vulnerável (IV), tarefas de correção (VUL), entrada de terceiros (TPE) ou registros de item descoberto (SDI) da sua instância Now Platform. As novas verificações permitem que você verifique se suas atividades de correção, patches e outras ações corrigiram vulnerabilidades específicas em seus itens de configuração (ICs).

    Nota:
    Ao solicitar uma nova verificação da sua instância Now Platform®, a seleção das credenciais Integração do Vulnerability Response com Tenable é opcional. O ServiceNow® Tenable.io Scan Credential Integration importa e atualiza as credenciais do scanner do produto Tenable.io em sua instância. Esta integração é executada semanalmente para importar e armazenar com segurança seus dados de credenciais da Tenable.

    Observe que esses dados importados não incluem senhas da Tenable ou outras informações confidenciais da conta da Tenable.

    As informações a seguir descrevem as credenciais que você importa para que os usuários possam vê-las conforme necessário na sua instância Now Platform :
    • As credenciais criadas com a função de usuário administrador Tenable.io estão disponíveis para usuários em todas as suas organizações.
    • As credenciais criadas com a função de usuários organizacionais Tenable.io estão disponíveis somente para usuários dessa organização. Essas credenciais não são importadas para o Now Platform para usuários fora da organização do criador, a menos que sejam compartilhadas com a conta do usuário que está sendo usada para se conectar à instância.

      Consulte o site de documentação Tenable.io para obter mais informações.

    • A integração de modelo Tenable.io e a integração de credencial de verificação Tenable.io devem ser ativadas antes de iniciar novas verificações. Para exibir mais informações sobre o Scan Credential Integration, navegue até Integração de vulnerabilidade Tenable > Integrações > Integração de credencial de verificação da Tenable.io.
      Por padrão, as integrações de modelo e credencial de verificação são desativadas. Quando você insere suas credenciais para Tenable.io, todas as integrações Tenable.io são ativadas automaticamente. Para ativar ou desativar manualmente essas integrações:
      1. Navegar até Todos > Integração de vulnerabilidade Tenable > Administração > Integrações.
      2. Na lista exibida, localize os registros de integração Tenable.io desejados.
      3. Abra cada registro e marque a caixa de seleção Ativo para ativar a integração.
      4. Clique em Atualizar para salvar suas mudanças.
      5. Retorne ao Assistente de configuração para continuar com sua configuração para Tenable Vulnerability Integration com Vulnerability Response.

    Consulte Configurar a integração de vulnerabilidade da Tenable usando o assistente de configuração para obter mais informações sobre como configurar os produtos Tenable.io e Tenable.sc.

    Digamos que todo o seu ambiente seja verificado uma vez a cada três semanas. A verificação completa mais recente foi concluída há uma semana, mas você aplicou um patch ontem para corrigir uma vulnerabilidade crítica. Devido à natureza desta vulnerabilidade, você não pode esperar duas semanas pela próxima verificação programada para verificar se ela foi corrigida. Para verificar se o patch corrigiu com sucesso uma vulnerabilidade crítica descoberta durante uma verificação anterior, você pode iniciar uma nova verificação direcionada de seus Now Platform para Tenable.io itens vulneráveis.

    Você pode exibir resultados atualizados nos registros a partir dos quais iniciou as verificações após a próxima importação programada da integração de vulnerabilidades corrigidas.

    Durante a execução da integração, vários processos são gerados e os dados são recebidos na forma de páginas. Cada processo pode conter uma ou mais entradas da fila de importação com dados anexados em páginas. Essas entradas devem processar os dados dentro do limite de uma hora. No entanto, se o tamanho da carga for grande, o tempo de processamento poderá exceder uma hora ou ficar travado, resultando em um erro de tempo limite de integração. A integração continua a processar os dados, apesar do erro de tempo limite. Para evitar essa falha de comunicação, a partir da versão 18.2.4 do Vulnerability Response, os carimbos de data/hora (pulsações) são enviados periodicamente para indicar se a fila está ativa e processando dados. O campo Último registro processado na página Entrada da fila de importação é atualizado com base na contagem de registros que a fila de importação cria ou atualiza. Caso uma entrada da fila de importação exceda o limite de uma hora, o sistema verificará o campo Último registro processado para ver se ele também tem mais de uma hora. Em caso afirmativo, isso indica que a entrada da fila de importação está travada e expirou para evitar mais atrasos no processamento.
    Nota:
    O campo Último registro processado é atualizado com base no que é definido nas seguintes propriedades do sistema:
    • sn_sec_cmn.record_threshold_heartbeat: define o número de registros processados, após o qual a pulsação (carimbo de data/hora) é enviada para a entrada da fila de importação.
    • sn_sec_cmn.maximum_heartbeat_delay: define o tempo após o qual a entrada da fila de importação deve atingir o tempo limite.

    Procedimento

    1. Navegar até Todos > Vulnerability Response > Itens vulneráveis.
    2. Localize o registro do item vulnerável do qual você deseja acionar uma nova verificação e abra-o.
      Nota:
      Se você estiver usando o scanner Tenable.io, só poderá iniciar novas verificações de IVs com Tenable.io como origem. Verifique se Tenable.io é exibido na coluna Origem nas exibições de Lista de IV ou nos campos Origem em registros individuais. Você pode usar o construtor de condição para agrupar IVs por origem. Ou, se a coluna Origem não for exibida na exibição da lista de IVs, no canto superior esquerdo da lista, clique no ícone Personalizar lista (ícone de engrenagem) e use o Slushbucket para mover a origem de Disponível para Selecionado.
    3. Como alternativa, navegue até Todos > Vulnerability Response > Tarefas de correção ou Vulnerability Response > Bibliotecas > Terceiros para os registros que você deseja usar para a nova verificação.

      Dependendo da sua escolha, o botão Verificar novamente está disponível nos seguintes registros:

      • Em um único registro de IV, o IV deve estar em qualquer estado diferente de Encerrado. Para vários registros de IV, todos os IVs devem ser do produto Tenable.io e em qualquer estado diferente de Encerrado.
      • Para registros de tarefa de correção, somente tarefas de correção em qualquer estado diferente de Encerrado são compatíveis. Todos os IVs associados devem estar em qualquer estado diferente de Encerrado e usar Tenable.io como origem.
      • Em um registro de entrada de terceiros (TPE), o registro deve ter pelo menos um registro IV associado do produto Tenable.io em qualquer estado diferente de Encerrado.
      • Em registros de itens descobertos, o registro deve ter pelo menos um registro IV associado do produto Tenable.io em qualquer estado diferente de Encerrado.
      • Na lista Itens vulneráveis, você pode selecionar itens vulneráveis individuais que deseja verificar novamente. Use o menu Ações nas linhas selecionadas no canto inferior esquerdo da tela para iniciar a nova verificação. Você será solicitado a inserir suas credenciais.
    4. No canto superior direito de um registro, clique em Verificar novamente.
      Você será solicitado a escolher a instância ou as instâncias para a nova verificação e as credenciais do scanner que deseja usar para acessar o scanner. As credenciais exibidas são aquelas importadas pela Tenable.io Scan Credential Integration.
    5. Na caixa de diálogo, selecione a instância e ou as instâncias e os tipos de credencial que você deseja usar.

      Na imagem a seguir, uma instância de integração, Tenable.io, é exibida. Se você tiver mais de uma instância Tenable.io, todas elas serão exibidas na seção Tenable.io no formulário.

      Credenciais de verificação Tenable.io e instâncias de integração exibidas
      CampoDescrição
      Instância da Tenable.io Escolha uma instância de integração Tenable.io a partir da qual você deseja iniciar a nova verificação.

      Todas as suas instâncias de integração para Tenable.io serão exibidas. Se houver um IV em mais de uma instância de integração, você poderá usar este filtro para limitar ou expandir as instâncias que deseja verificar.

      Nota:
      Se você optar por verificar novamente os IVs de um registro de tarefa de correção para uma única instância de integração, somente os IVs ativos que estão associados a essa tarefa de correção, para essa instância, usando as credenciais selecionadas serão verificados.
      Filtro de tipo de credenciais do scanner Use este filtro para exibir credenciais por tipo.
      Painel com Credenciais do scanner, instância Tenable.io, tipo de credenciais do scanner Essas são as credenciais de scanner disponíveis importadas dos produtos Tenable.io.

      Escolha uma ou mais credenciais para usar na verificação.
    6. Clique em Solicitar nova verificação.

      Uma mensagem é exibida indicando que a verificação está sendo processada e que um registro de verificação primário foi criado. O status de todas as verificações secundárias pode ser encontrado a qualquer momento nas listas relacionadas à verificação no IV, na tarefa de correção, no TPE e nos registros de SDI usados para iniciar as novas verificações. Na mensagem, clique em Exibir detalhes para exibir o status da nova verificação e todas as outras verificações iniciadas a partir de um determinado registro.

      O campo Estado no registro de verificação primário é marcado como concluído depois que todas as verificações secundárias são concluídas com sucesso. O secundário verifica os dados de importação. Cada verificação oferece suporte a uma combinação exclusiva de instância de integração, TPE, IP e ID de rede. Você pode ver várias verificações secundárias em um registro de verificação primário. Por exemplo, o número máximo de endereços IP que uma verificação secundária pode suportar é 1000. Se houver 1002 IPs para um item vulnerável, duas verificações secundárias serão criadas e listadas na lista relacionada Verificações para oferecer suporte à solicitação. O registro de verificação primário é um contêiner para as verificações secundárias e seu estado de reflete o status das verificações secundárias.

      Sua instância Now Platform® rastreia o status de nova verificação até que ela seja concluída com sucesso ou até que o período de acompanhamento definido expire, o que acontecer primeiro. O tempo limite não interrompe a verificação. O tempo limite se refere a quando Now Platform® parou de acompanhar seu status de nova verificação, não quando a nova verificação real parou. Todos os IVs que fizeram a transição, ou farão a transição, para Encerrado/Corrigido são importados com a próxima importação programada da Tenable.io Integração de vulnerabilidades fixas.

      Para verificações com erro, você pode verificar as verificações secundárias no registro de verificação primário. Exiba o erro na carga de resposta da verificação secundária.

      Você pode exibir resultados atualizados nos registros a partir dos quais iniciou as verificações após a próxima importação programada da integração de vulnerabilidades corrigidas.