Panoramica
L’integrazione di Tenable.io (INT-003) acquisisce i finding di vulnerabilità in CaseBender, li arricchisce con gravità basata sul CVSS e osservabili CVE, e li trasforma in avvisi (ed eventualmente casi).Il polling utilizza l’API di export delle vulnerabilità di Tenable.io,
autenticata con una coppia di chiavi API (access key + secret key).
Funzionalità
Prerequisiti
1
Crea le chiavi API
In Tenable.io, vai su Settings → My Account → API Keys e genera una coppia di chiavi. Copia
l’Access Key e la Secret Key.
2
Uscita di rete
Il poller di CaseBender deve raggiungere
https://cloud.tenable.com (o l’URL della tua regione
privata Tenable.io).Configurare l’integrazione in CaseBender
1
Apri il catalogo delle integrazioni
Vai su Settings → Integrations → Create e scegli Tenable.io nella categoria
Vulnerability Management.
2
Inserisci le chiavi API
3
Abilita il polling automatico (consigliato)
4
Configura la creazione automatica dei casi
Entrata (polling automatico)
Tenable espone i dati di vulnerabilità incrementali tramite un job di export asincrono. CaseBender gestisce questo flusso automaticamente:1
Richiedi un export
A ogni intervallo, CaseBender richiede un export delle vulnerabilità
OPEN/REOPENED
aggiornate dall’ultimo cursore (eventualmente filtrate per gravità). Alla prima esecuzione, la
finestra è pollingInitialLookbackHours.2
Attendi + riprendi
CaseBender attende (in modo limitato) il completamento dell’export e ne scarica i chunk. Se
l’export è ancora in costruzione quando scade il budget di tempo del ciclo, il suo ID viene
salvato e il ciclo successivo lo riprende — nessun dato viene perso.
3
Cursore + deduplicazione
Dopo un export completato, il cursore avanza all’ora di esecuzione. I finding vengono
deduplicati per
asset.uuid + plugin.id, quindi finestre sovrapposte non creano mai
duplicati.Poiché gli export sono asincroni, i finding possono apparire alcuni minuti dopo l’aggiornamento in
Tenable. Questo è previsto per i dati di vulnerabilità ed è controllato da
pollingIntervalMinutes.Considerazioni sulla sicurezza
- Gestione dei segreti — le chiavi API sono memorizzate nelle impostazioni dell’integrazione; ruotale secondo la policy della tua organizzazione.
- Privilegio minimo — usa chiavi legate a un account utente con accesso in lettura alle vulnerabilità.
- Rete — limita l’uscita all’URL della tua regione Tenable.io.
Risoluzione dei problemi
Il polling è abilitato ma non appaiono finding
Il polling è abilitato ma non appaiono finding
Conferma che le chiavi access/secret siano valide e che esistano finding
OPEN/REOPENED
aggiornati dal cursore. Gli export richiedono tempo; concedi almeno un intervallo completo.
Riduci la Minimum severity se filtra tutto.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker,
docker compose ps deve mostrare i servizi worker e misp-processor come Up.L'export è fallito
L'export è fallito
Un errore
Tenable export … failed indica che il job di export è fallito lato server. Verrà
ritentato all’intervallo successivo. Verifica che le chiavi abbiano il permesso di export delle
vulnerabilità.