Visão geral
A integração do Tenable.io (INT-003) ingere os findings de vulnerabilidades no CaseBender, os enriquece com severidade baseada em CVSS e observáveis CVE, e os converte em alertas (e opcionalmente casos).A sondagem usa a API de exportação de vulnerabilidades do Tenable.io,
autenticada com um par de chaves de API (access key + secret key).
Recursos
Pré-requisitos
1
Criar chaves de API
No Tenable.io, vá em Settings → My Account → API Keys e gere um par de chaves. Copie a
Access Key e a Secret Key.
2
Saída de rede
O sondador do CaseBender deve alcançar
https://cloud.tenable.com (ou a URL da sua região
privada do Tenable.io).Configurar a integração no CaseBender
1
Abrir o catálogo de integrações
Vá em Settings → Integrations → Create e escolha Tenable.io na categoria
Vulnerability Management.
2
Inserir as chaves de API
3
Ativar a sondagem automática (recomendado)
4
Configurar a criação automática de casos
Entrada (sondagem automática)
O Tenable expõe dados de vulnerabilidades incrementais por meio de um job de exportação assíncrono. O CaseBender gerencia esse fluxo automaticamente:1
Solicitar uma exportação
A cada intervalo, o CaseBender solicita uma exportação das vulnerabilidades
OPEN/REOPENED
atualizadas desde o último cursor (opcionalmente filtradas por severidade). Na primeira
execução, a janela é pollingInitialLookbackHours.2
Aguardar + retomar
O CaseBender aguarda (de forma limitada) a conclusão da exportação e baixa seus chunks. Se a
exportação ainda estiver sendo gerada quando o orçamento de tempo do ciclo se esgotar, seu ID é
salvo e o próximo ciclo a retoma — nenhum dado é perdido.
3
Cursor + deduplicação
Após uma exportação concluída, o cursor avança até o horário de execução. Os findings são
deduplicados por
asset.uuid + plugin.id, de modo que janelas sobrepostas nunca criam
duplicatas.Como as exportações são assíncronas, os findings podem aparecer alguns minutos após serem
atualizados no Tenable. Isso é esperado para dados de vulnerabilidades e é controlado por
pollingIntervalMinutes.Considerações de segurança
- Manejo de segredos — as chaves de API são armazenadas nas configurações da integração; faça a rotação conforme a política da sua organização.
- Privilégio mínimo — use chaves vinculadas a uma conta de usuário com acesso de leitura a vulnerabilidades.
- Rede — restrinja a saída à URL da sua região do Tenable.io.
Solução de problemas
A sondagem está ativada, mas nenhum finding aparece
A sondagem está ativada, mas nenhum finding aparece
Confirme que as chaves access/secret são válidas e que existem findings
OPEN/REOPENED
atualizados desde o cursor. As exportações levam tempo; permita pelo menos um intervalo completo.
Reduza a Minimum severity se ela filtrar tudo.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker,
docker compose ps deve mostrar os serviços worker e misp-processor como Up.A exportação falhou
A exportação falhou
Um erro
Tenable export … failed indica que o job de exportação falhou no lado do servidor. Ele
será repetido no próximo intervalo. Verifique se as chaves têm permissão de exportação de
vulnerabilidades.