Passer au contenu principal

Présentation

L’intégration Tenable.io (INT-003) ingère les findings de vulnérabilités dans CaseBender, les enrichit d’une sévérité basée sur le CVSS et d’observables CVE, et les convertit en alertes (et éventuellement en cas).
Recommandé : activez l’interrogation automatique. CaseBender extrait de nouvelles vulnérabilités directement de Tenable.io de façon planifiée à l’aide de l’API d’export de vulnérabilités — sans endpoint entrant. Voir Interrogation automatique.
L’interrogation utilise l’API d’export de vulnérabilités de Tenable.io, authentifiée avec une paire de clés d’API (access key + secret key).

Fonctionnalités

Prérequis

1

Créer des clés d'API

Dans Tenable.io, allez dans Settings → My Account → API Keys et générez une paire de clés. Copiez l’Access Key et la Secret Key.
2

Sortie réseau

L’interrogateur de CaseBender doit atteindre https://cloud.tenable.com (ou l’URL de votre région privée Tenable.io).

Configurer l’intégration dans CaseBender

1

Ouvrir le catalogue d'intégrations

Allez dans Settings → Integrations → Create, puis choisissez Tenable.io dans la catégorie Vulnerability Management.
2

Saisir les clés d'API

3

Activer l'interrogation automatique (recommandé)

4

Configurer la création automatique de cas

Entrant (interrogation automatique)

Tenable expose les données de vulnérabilités incrémentales via une tâche d’export asynchrone. CaseBender gère ce flux automatiquement :
1

Demander un export

À chaque intervalle, CaseBender demande un export des vulnérabilités OPEN/REOPENED mises à jour depuis le dernier curseur (éventuellement filtrées par sévérité). Au premier passage, la fenêtre est pollingInitialLookbackHours.
2

Attendre + reprendre

CaseBender attend (de façon bornée) la fin de l’export et télécharge ses fragments. Si l’export est encore en cours de génération lorsque le budget de temps du cycle est épuisé, son ID est enregistré et le cycle suivant le reprend — aucune donnée n’est perdue.
3

Curseur + déduplication

Après un export terminé, le curseur avance jusqu’à l’heure d’exécution. Les findings sont dédupliqués par asset.uuid + plugin.id, de sorte que les fenêtres qui se chevauchent ne créent jamais de doublons.
Comme les exports sont asynchrones, les findings peuvent apparaître quelques minutes après leur mise à jour dans Tenable. C’est attendu pour les données de vulnérabilités et contrôlé par pollingIntervalMinutes.

Considérations de sécurité

  • Gestion des secrets — les clés d’API sont stockées dans les paramètres de l’intégration ; faites-les tourner selon la politique de votre organisation.
  • Moindre privilège — utilisez des clés liées à un compte utilisateur avec accès en lecture aux vulnérabilités.
  • Réseau — restreignez la sortie à l’URL de votre région Tenable.io.

Dépannage

Confirmez que les clés access/secret sont valides et qu’il existe des findings OPEN/REOPENED mis à jour depuis le curseur. Les exports prennent du temps ; laissez au moins un intervalle complet. Réduisez la Minimum severity si elle filtre tout.Assurez-vous que tous les services CaseBender fonctionnent — avec Docker, docker compose ps doit afficher les services worker et misp-processor en Up.
Une erreur Tenable export … failed indique que la tâche d’export a échoué côté serveur. Elle sera relancée à l’intervalle suivant. Vérifiez que les clés ont la permission d’export de vulnérabilités.

Documentation connexe