Saltar al contenido principal

Descripción general

La integración de Tenable.io (INT-003) ingiere los hallazgos de vulnerabilidades en CaseBender, los enriquece con severidad basada en CVSS y observables CVE, y los convierte en alertas (y opcionalmente casos).
Recomendado: active el sondeo automático. CaseBender extrae nuevas vulnerabilidades directamente de Tenable.io de forma programada usando la API de exportación de vulnerabilidades — sin endpoint entrante. Véase Sondeo automático.
El sondeo usa la API de exportación de vulnerabilidades de Tenable.io, autenticada con un par de claves de API (access key + secret key).

Capacidades

Requisitos previos

1

Crear claves de API

En Tenable.io, vaya a Settings → My Account → API Keys y genere un par de claves. Copie la Access Key y la Secret Key.
2

Salida de red

El sondeador de CaseBender debe alcanzar https://cloud.tenable.com (o la URL de su región privada de Tenable.io).

Configurar la integración en CaseBender

1

Abrir el catálogo de integraciones

Vaya a Settings → Integrations → Create y elija Tenable.io en la categoría Vulnerability Management.
2

Introducir las claves de API

3

Activar el sondeo automático (recomendado)

4

Configurar la creación automática de casos

Entrada (sondeo automático, recomendado)

Tenable expone datos incrementales de vulnerabilidades mediante un trabajo de exportación asíncrono. CaseBender gestiona ese flujo automáticamente:
1

Solicitar una exportación

En cada intervalo, CaseBender solicita una exportación de vulnerabilidades OPEN/REOPENED actualizadas desde el último cursor (opcionalmente filtradas por severidad). En la primera ejecución, la ventana es pollingInitialLookbackHours.
2

Esperar + reanudar

CaseBender espera (de forma acotada) a que la exportación finalice y descarga sus fragmentos. Si la exportación sigue generándose cuando se agota el presupuesto de tiempo del ciclo, su ID se guarda y el siguiente ciclo la reanuda — no se pierden datos.
3

Cursor + deduplicación

Tras una exportación completada, el cursor avanza al momento de la ejecución. Los hallazgos se deduplican por asset.uuid + plugin.id, por lo que las ventanas superpuestas nunca crean duplicados.
Como las exportaciones son asíncronas, los hallazgos pueden aparecer unos minutos después de actualizarse en Tenable. Esto es esperable para datos de vulnerabilidades y se controla con pollingIntervalMinutes.

Consideraciones de seguridad

  • Manejo de secretos — las claves de API se almacenan en la configuración de la integración; rótelas según la política de su organización.
  • Privilegio mínimo — use claves vinculadas a una cuenta de usuario con acceso de lectura a vulnerabilidades.
  • Red — restrinja la salida a la URL de su región de Tenable.io.

Solución de problemas

Confirme que las claves access/secret son válidas y que existen hallazgos OPEN/REOPENED actualizados desde el cursor. Las exportaciones tardan; permita al menos un intervalo completo. Reduzca la Minimum severity si filtra todo.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker, docker compose ps debe mostrar los servicios worker y misp-processor como Up.
Un error Tenable export … failed indica que el trabajo de exportación falló en el servidor. Se reintentará en el siguiente intervalo. Verifique que las claves tienen permiso de exportación de vulnerabilidades.

Documentación relacionada