Présentation
L’intégration Tenable.io (INT-003) ingère les findings de vulnérabilités dans CaseBender, les enrichit d’une sévérité basée sur le CVSS et d’observables CVE, et les convertit en alertes (et éventuellement en cas).L’interrogation utilise l’API d’export de vulnérabilités de Tenable.io,
authentifiée avec une paire de clés d’API (access key + secret key).
Fonctionnalités
Prérequis
1
Créer des clés d'API
Dans Tenable.io, allez dans Settings → My Account → API Keys et générez une paire de clés.
Copiez l’Access Key et la Secret Key.
2
Sortie réseau
L’interrogateur de CaseBender doit atteindre
https://cloud.tenable.com (ou l’URL de votre
région privée Tenable.io).Configurer l’intégration dans CaseBender
1
Ouvrir le catalogue d'intégrations
Allez dans Settings → Integrations → Create, puis choisissez Tenable.io dans la
catégorie Vulnerability Management.
2
Saisir les clés d'API
3
Activer l'interrogation automatique (recommandé)
4
Configurer la création automatique de cas
Entrant (interrogation automatique)
Tenable expose les données de vulnérabilités incrémentales via une tâche d’export asynchrone. CaseBender gère ce flux automatiquement :1
Demander un export
À chaque intervalle, CaseBender demande un export des vulnérabilités
OPEN/REOPENED mises à
jour depuis le dernier curseur (éventuellement filtrées par sévérité). Au premier passage, la
fenêtre est pollingInitialLookbackHours.2
Attendre + reprendre
CaseBender attend (de façon bornée) la fin de l’export et télécharge ses fragments. Si l’export
est encore en cours de génération lorsque le budget de temps du cycle est épuisé, son ID est
enregistré et le cycle suivant le reprend — aucune donnée n’est perdue.
3
Curseur + déduplication
Après un export terminé, le curseur avance jusqu’à l’heure d’exécution. Les findings sont
dédupliqués par
asset.uuid + plugin.id, de sorte que les fenêtres qui se chevauchent ne
créent jamais de doublons.Comme les exports sont asynchrones, les findings peuvent apparaître quelques minutes après leur
mise à jour dans Tenable. C’est attendu pour les données de vulnérabilités et contrôlé par
pollingIntervalMinutes.Considérations de sécurité
- Gestion des secrets — les clés d’API sont stockées dans les paramètres de l’intégration ; faites-les tourner selon la politique de votre organisation.
- Moindre privilège — utilisez des clés liées à un compte utilisateur avec accès en lecture aux vulnérabilités.
- Réseau — restreignez la sortie à l’URL de votre région Tenable.io.
Dépannage
L'interrogation est activée mais aucun finding n'apparaît
L'interrogation est activée mais aucun finding n'apparaît
Confirmez que les clés access/secret sont valides et qu’il existe des findings
OPEN/REOPENED
mis à jour depuis le curseur. Les exports prennent du temps ; laissez au moins un intervalle
complet. Réduisez la Minimum severity si elle filtre tout.Assurez-vous que tous les services CaseBender fonctionnent — avec Docker,
docker compose ps doit afficher les services worker et misp-processor en Up.L'export a échoué
L'export a échoué
Une erreur
Tenable export … failed indique que la tâche d’export a échoué côté serveur. Elle
sera relancée à l’intervalle suivant. Vérifiez que les clés ont la permission d’export de
vulnérabilités.