Pular para o conteúdo principal

Visão geral

A integração do Tenable.io (INT-003) ingere os findings de vulnerabilidades no CaseBender, os enriquece com severidade baseada em CVSS e observáveis CVE, e os converte em alertas (e opcionalmente casos).
Recomendado: ative a sondagem automática. O CaseBender extrai novas vulnerabilidades diretamente do Tenable.io de forma agendada usando a API de exportação de vulnerabilidades — sem endpoint de entrada. Consulte Sondagem automática.
A sondagem usa a API de exportação de vulnerabilidades do Tenable.io, autenticada com um par de chaves de API (access key + secret key).

Recursos

Pré-requisitos

1

Criar chaves de API

No Tenable.io, vá em Settings → My Account → API Keys e gere um par de chaves. Copie a Access Key e a Secret Key.
2

Saída de rede

O sondador do CaseBender deve alcançar https://cloud.tenable.com (ou a URL da sua região privada do Tenable.io).

Configurar a integração no CaseBender

1

Abrir o catálogo de integrações

Vá em Settings → Integrations → Create e escolha Tenable.io na categoria Vulnerability Management.
2

Inserir as chaves de API

3

Ativar a sondagem automática (recomendado)

4

Configurar a criação automática de casos

Entrada (sondagem automática)

O Tenable expõe dados de vulnerabilidades incrementais por meio de um job de exportação assíncrono. O CaseBender gerencia esse fluxo automaticamente:
1

Solicitar uma exportação

A cada intervalo, o CaseBender solicita uma exportação das vulnerabilidades OPEN/REOPENED atualizadas desde o último cursor (opcionalmente filtradas por severidade). Na primeira execução, a janela é pollingInitialLookbackHours.
2

Aguardar + retomar

O CaseBender aguarda (de forma limitada) a conclusão da exportação e baixa seus chunks. Se a exportação ainda estiver sendo gerada quando o orçamento de tempo do ciclo se esgotar, seu ID é salvo e o próximo ciclo a retoma — nenhum dado é perdido.
3

Cursor + deduplicação

Após uma exportação concluída, o cursor avança até o horário de execução. Os findings são deduplicados por asset.uuid + plugin.id, de modo que janelas sobrepostas nunca criam duplicatas.
Como as exportações são assíncronas, os findings podem aparecer alguns minutos após serem atualizados no Tenable. Isso é esperado para dados de vulnerabilidades e é controlado por pollingIntervalMinutes.

Considerações de segurança

  • Manejo de segredos — as chaves de API são armazenadas nas configurações da integração; faça a rotação conforme a política da sua organização.
  • Privilégio mínimo — use chaves vinculadas a uma conta de usuário com acesso de leitura a vulnerabilidades.
  • Rede — restrinja a saída à URL da sua região do Tenable.io.

Solução de problemas

Confirme que as chaves access/secret são válidas e que existem findings OPEN/REOPENED atualizados desde o cursor. As exportações levam tempo; permita pelo menos um intervalo completo. Reduza a Minimum severity se ela filtrar tudo.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker, docker compose ps deve mostrar os serviços worker e misp-processor como Up.
Um erro Tenable export … failed indica que o job de exportação falhou no lado do servidor. Ele será repetido no próximo intervalo. Verifique se as chaves têm permissão de exportação de vulnerabilidades.

Documentação relacionada