Vai al contenuto principale

Panoramica

L’integrazione di Tenable.io (INT-003) acquisisce i finding di vulnerabilità in CaseBender, li arricchisce con gravità basata sul CVSS e osservabili CVE, e li trasforma in avvisi (ed eventualmente casi).
Consigliato: abilita il polling automatico. CaseBender estrae nuove vulnerabilità direttamente da Tenable.io in modo pianificato utilizzando l’API di export delle vulnerabilità — senza endpoint in entrata. Vedi Polling automatico.
Il polling utilizza l’API di export delle vulnerabilità di Tenable.io, autenticata con una coppia di chiavi API (access key + secret key).

Funzionalità

Prerequisiti

1

Crea le chiavi API

In Tenable.io, vai su Settings → My Account → API Keys e genera una coppia di chiavi. Copia l’Access Key e la Secret Key.
2

Uscita di rete

Il poller di CaseBender deve raggiungere https://cloud.tenable.com (o l’URL della tua regione privata Tenable.io).

Configurare l’integrazione in CaseBender

1

Apri il catalogo delle integrazioni

Vai su Settings → Integrations → Create e scegli Tenable.io nella categoria Vulnerability Management.
2

Inserisci le chiavi API

3

Abilita il polling automatico (consigliato)

4

Configura la creazione automatica dei casi

Entrata (polling automatico)

Tenable espone i dati di vulnerabilità incrementali tramite un job di export asincrono. CaseBender gestisce questo flusso automaticamente:
1

Richiedi un export

A ogni intervallo, CaseBender richiede un export delle vulnerabilità OPEN/REOPENED aggiornate dall’ultimo cursore (eventualmente filtrate per gravità). Alla prima esecuzione, la finestra è pollingInitialLookbackHours.
2

Attendi + riprendi

CaseBender attende (in modo limitato) il completamento dell’export e ne scarica i chunk. Se l’export è ancora in costruzione quando scade il budget di tempo del ciclo, il suo ID viene salvato e il ciclo successivo lo riprende — nessun dato viene perso.
3

Cursore + deduplicazione

Dopo un export completato, il cursore avanza all’ora di esecuzione. I finding vengono deduplicati per asset.uuid + plugin.id, quindi finestre sovrapposte non creano mai duplicati.
Poiché gli export sono asincroni, i finding possono apparire alcuni minuti dopo l’aggiornamento in Tenable. Questo è previsto per i dati di vulnerabilità ed è controllato da pollingIntervalMinutes.

Considerazioni sulla sicurezza

  • Gestione dei segreti — le chiavi API sono memorizzate nelle impostazioni dell’integrazione; ruotale secondo la policy della tua organizzazione.
  • Privilegio minimo — usa chiavi legate a un account utente con accesso in lettura alle vulnerabilità.
  • Rete — limita l’uscita all’URL della tua regione Tenable.io.

Risoluzione dei problemi

Conferma che le chiavi access/secret siano valide e che esistano finding OPEN/REOPENED aggiornati dal cursore. Gli export richiedono tempo; concedi almeno un intervallo completo. Riduci la Minimum severity se filtra tutto.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker, docker compose ps deve mostrare i servizi worker e misp-processor come Up.
Un errore Tenable export … failed indica che il job di export è fallito lato server. Verrà ritentato all’intervallo successivo. Verifica che le chiavi abbiano il permesso di export delle vulnerabilità.

Documentazione correlata