Microsoft Threat and Vulnerability Management 취약성 통합을 위한 데이터 변환
임포트하려는 데이터를 식별하면 데이터가 MS TVM(Microsoft Threat and Vulnerability Management) 애플리케이션에서 ServiceNow® 검색되고 데이터 소스 세트를 통해 처리되고 인스턴스에서 변환됩니다.
설치하는 동안 정규화된 심각도 맵이 정규화된 심각도 매핑 모듈에 설치됩니다. 이러한 맵은 인스턴스에서 처리할 수 있도록 임포트한 Microsoft 외부 공급업체 취약성 심각도 수준을 표준 심각도 수준으로 변환합니다. 심각도 맵 생성에 대한 자세한 내용은 을 참조하십시오 심각도 Vulnerability Response 맵 생성.
MS TVM 머신 임포트
임포트한 머신의 데이터는 먼저 MS TVM 머신 임포트 [sn_vul_msft_tvm_machines_import] 테이블에 로드됩니다.
MS TVM 컴퓨터 변환은 임포트한 컴퓨터 정보를 변환하는 데 사용됩니다.
주:
이 변환 맵에 접근하려면 다음으로 이동하십시오. 을 클릭하고 Microsoft TVM Machines Transform을 검색합니다.이 변환 맵을 변경하면 MS TVM 머신 임포트의 데이터가 처리되는 방식이 변경됩니다.
다음 표에는 통합별 변환 맵 필드가 나열되어 있습니다.
| 소스 필드 | 대상 필드 | 설명 |
|---|---|---|
| u_id | source_id | 자산의 고유 ID입니다. 이 ID는 검색된 항목 기록의 source_id에 매핑됩니다. |
| u_ipaddresses.macAddress | mac_address | API에서 cmdb_ci 기록의 호스트 MAC 주소 필드로 매핑되는 MAC 주소입니다. |
| u_ipaddresses.ipAddress | ip_address | cmdb_ci 기록의 IP 주소 필드에 매핑되는 IP 주소 필드입니다. |
| u_lastseen | last_scan_date | 검색된 항목 기록의 last_scan_date 필드에 매핑되는 필드입니다. |
| u_machinetags | sn_sec_cmn_host_tag에 저장된 태그입니다. 태그에서 자산으로의 매핑은 sn_sec_cmn_m2m_src_ci_tag에 저장됩니다. | |
| u_osplatform | os | cmdb_ci 기록의 os 필드에 매핑되는 필드입니다. |
| u_computerdnsname | fqdn | API의 dnsname 필드를 cmdb_ci 기록의 fqdn 필드에 매핑하는 필드입니다. |
다음 변환 스크립트는 변환 프로세스 중에 실행됩니다.
MS TVM 머신 변환 맵 스크립트 타이밍 및 목적
| 스크립트가 실행되는 경우 | 목적 |
|---|---|
| onStart(임포트 세트에서 변환이 시작된 경우) | 통합 프로세스의 범위 변수(sn_vul_msft_tvm)에서 값을 초기화하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onBefore(임포트 세트가 변환을 완료하기 전) | 호스트의 값을 업데이트하고 호스트가 존재하는지 확인하는 데 사용되는 스크립트입니다. 결과에 따라 이 스크립트는 범위 변수(sn_vul_msft_tvm)의 값을 수정합니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onComplete(임포트 세트에서 변환이 완료된 경우) | 작성, 업데이트 및 무시되는 CI 수를 설정하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
MicrosoftTVMMachinesProcessor 스크립트 포함은 onBefore 변환 스크립트에서 호출됩니다. Microsoft TVM 머신의 통합에서 출력을 가져와 CI로 변환합니다. 이 스크립트 포함을 변경하면 CI 및 검색된 항목 테이블에서 Microsoft TVM 컴퓨터의 데이터 변환이 변경될 수 있습니다.
MS TVM 취약성 통합
임포트된 취약성 데이터는 먼저 Microsoft TVM CVE(취약성) 임포트 [sn_vul_msft_tvm_vulnerabilities_import] 테이블에 로드됩니다.
주:
이 변환 맵에 접근하려면 다음으로 이동하십시오. 을 클릭하고 Microsoft TVM 취약성 변환을 검색합니다.이 변환 맵을 변경하면 MS TVM 취약성 임포트의 데이터가 처리되는 방식이 변경됩니다.
다음 표에는 통합별 변환 맵 필드가 나열되어 있습니다.
| 소스 필드 | 대상 필드 | 설명 |
|---|---|---|
| u_id | id | sn_vul_entry 기록의 ID 열에 매핑합니다. |
| u_severity | source_severity | 심각도 필드를 심각도에 매핑합니다. 기본값은 5입니다. |
| u_publishedon | date_published | u_publishedon 필드를 게시 날짜에 매핑합니다. |
| u_publicexploit | public_exploit | 스캐너에서 제공한 u_publicexploit 취약성 항목 테이블의 공개 익스플로잇 열에 매핑합니다. |
| u_cvssv3 | v3_base_score | cvssv3 점수를 취약성 항목 기록의 v3 기본 점수에 매핑합니다. |
| u_description | 요약 | 설명을 취약성 항목 기록의 요약 필드에 매핑합니다. |
| u_exploitinkit | malware_kit | u_exploitinkit 필드를 익스플로잇 테이블의 맬웨어 키트에 매핑합니다. |
| u_exploittypes | 유형 | 익스플로잇 유형을 익스플로잇 테이블의 유형에 매핑합니다. |
| u_exploitverified | is_exploit_verified | 익스플로잇 테이블에서 확인된 익스플로잇에 u_exploitverified 필드를 매핑합니다. |
| u_exploituris | exploit_links | u_exploituris 필드를 익스플로잇 테이블의 익스플로잇 링크에 매핑합니다. |
다음 변환 스크립트는 변환 프로세스 중에 실행됩니다.
| 스크립트가 실행되는 경우 | 목적 |
|---|---|
| onStart(임포트 세트에서 변환이 시작된 경우) | 통합 프로세스의 범위 변수(sn_vul_msft_tvm)에서 값을 초기화하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onBefore(임포트 세트가 변환을 완료하기 전) | NVD 또는 외부 공급업체 항목 테이블에서 값을 만들거나 업데이트하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onComplete(임포트 세트에서 변환이 완료된 경우) | 생성된 새 항목과 업데이트 및 무시된 항목의 값을 설정하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
MS TVM 권장 사항 임포트
임포트한 권장 사항 데이터는 먼저 MS TVM 권장 사항 임포트 [sn_vul_msft_tvm_recom_import] 테이블에 로드됩니다.
주:
이 변환 맵에 접근하려면 다음으로 이동하십시오. 을 클릭하고 MS TVM 권장 사항 변환을 검색합니다.이 변환 맵을 변경하면 MS TVM 권장 사항 임포트의 데이터가 처리되는 방식이 변경됩니다.
다음 표에는 통합별 변환 맵 필드가 나열되어 있습니다.
| 소스 필드 | 대상 필드 | 설명 |
|---|---|---|
| u_recommendedvendor | recommended_vendor | u_recommendedvendor 필드를 벤더 열에 매핑합니다. |
| u_weaknesses | 약점 | u_weaknesses 필드를 약점 열에 매핑합니다. |
| u_exposedmachinescount | src_exposed_machines_cnt | u_exposedmachinescount 필드를 노출된 컴퓨터 수 열에 매핑합니다. |
| u_status | 상태 | 상태를 권장 사항 기록의 상태 필드에 매핑합니다. |
| u_productname | product_name | u_productname 필드를 권장 사항 기록의 제품 이름에 매핑합니다. |
| u_nonproductiv_impactedassets | non_prod_impacted_assets | u_nonproductiv_impactedassets 필드를 권장 사항 기록의 영향받은 자산 열에 매핑합니다. |
| u_activealert | active_alert | u_activealert 필드를 권장 사항 기록의 활성 경보 열에 매핑합니다. |
| u_recommendedversion | recommended_version | u_recommendedversion 필드를 권장 사항 기록의 권장 버전 열에 매핑합니다. |
| u_totalmachinecount | total_machine_count | u_totalmachinecount 필드를 권장 사항 기록의 총 컴퓨터 수 열에 매핑합니다. |
| u_exposureimpact | exposure_impact | u_exposureimpact 필드를 권장 사항 기록의 노출 영향 열에 매핑합니다. |
| u_recommendationname | recommendation_name | u_recommendationname 필드를 권장 사항 기록의 권장 사항 이름 열에 매핑합니다. |
| u_subcategory | 하위 범주 | u_subcategory 필드를 권장 사항 기록의 하위 범주 열에 매핑합니다. |
| u_id | source_id | 권장 사항 ID를 MS TVM에서 소스 ID 열로 매핑합니다. |
| u_remediationtype | remediation_type | u_remediationtype 필드를 권장 사항 기록의 정정 유형 열에 매핑합니다. |
| u_relatedcomponent | related_component | u_relatedcomponent 필드를 권장 사항 기록의 관련 구성요소 열에 매핑합니다. |
| u_recommendedprogram | recommended_program | u_recommendedprogram 필드를 권장 사항 기록의 권장 프로그램 열에 매핑합니다. |
| u_recommendationcategory | recommendation_category | u_recommendationcategory 필드를 권장 사항 기록의 권장 사항 범주 열에 매핑합니다. |
| u_publicexploit | public_exploit | u_publicexploit 필드를 권장 사항 기록의 공개 익스플로잇 열에 매핑합니다. |
| u_vendor | vendor | u_vendor 필드를 권장 사항 기록의 벤더 열에 매핑합니다. |
| [스크립트] | integration_instance | 권장 사항을 임포트할 인스턴스의 이름입니다. |
| [스크립트] | sys_domain | 이 기록이 임포트되는 도메인입니다. |
다음 변환 스크립트는 변환 프로세스 중에 실행됩니다.
| 스크립트가 실행되는 경우 | 목적 |
|---|---|
| onStart(임포트 세트에서 변환이 시작된 경우) | 통합 프로세스의 범위 변수(sn_vul_msft_tvm)에서 값을 초기화하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onBefore(임포트 세트가 변환을 완료하기 전) | 권장 사항의 값을 업데이트하고 권장 사항이 있는지 확인하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onComplete(임포트 세트에서 변환이 완료된 경우) | 작성, 업데이트 및 무시된 항목의 값을 설정하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
MS TVM 머신 취약성 임포트
MS TVM 머신 취약성 변환 맵은 MS TVM에서 임포트한 오픈 및 고정 취약성 정보를 변환하는 데 사용됩니다.
주:
MS TVM 오픈 및 고정 취약성 변환 맵에 액세스하려면 다음으로 이동합니다. 을 클릭하고 MS TVM 머신 취약성 변환을 검색합니다.이 변환 맵을 변경하면 MS TVM 머신 취약성 임포트의 데이터가 처리되는 방식이 변경됩니다.
다음 표에는 통합별 변환 맵 필드가 나열되어 있습니다.
| 소스 필드 | 대상 필드 | 설명 |
|---|---|---|
| u_id | detection_key | u_id 필드를 탐지 테이블의 탐지 키 열에 매핑합니다. |
| u_diskpaths | 증명 | u_diskpaths 필드를 탐지 테이블의 증명 열에 매핑합니다. |
| u_registrypaths | 증명 | u_registrypaths 필드를 탐지 테이블의 증명 열에 매핑합니다. |
| u_recommendedsecurityupdateid | preferred_solution | sn_vul_solution 테이블에 ID가 같은 솔루션이 있는 경우 u_recommendedsecurityupdateid 필드를 취약한 항목 테이블의 기본 솔루션 열에 매핑합니다. |
| u_recommendationreference | 추천 | u_recommendationreference 필드를 취약한 항목 테이블의 권장 사항 열에 매핑합니다. |
| u_cveid | 취약성 | u_cveid 필드를 취약한 항목 테이블의 취약성 열에 매핑합니다. |
| u_status | source_status | u_status 필드를 탐지 테이블의 소스 상태 열에 매핑합니다. |
| u_eventtimestamp | temporal_score | 취약한 항목 테이블의 마지막으로 발견된 열에 u_eventtimestamp 필드를 매핑합니다. |
| u_lastseentimestamp | last_seen | u_lastseentimestamp 필드를 취약한 항목 테이블의 마지막으로 본 열에 매핑합니다. |
| u_firstseentimestamp | first_seen | u_firstseentimestamp 필드를 취약한 항목 테이블의 처음 발견 열에 매핑합니다. |
| u_recommendedsecurityupdate | solution_summary | u_recommendedsecurityupdate 필드를 취약한 항목 테이블의 솔루션 요약 열에 매핑합니다. |
| u_recommendedsecurityupdateurl | solution_summary | u_recommendedsecurityupdateurl 필드를 취약한 항목 테이블의 솔루션 요약 열에 매핑합니다. |
다음 변환 스크립트는 변환 프로세스 중에 실행됩니다.
| 스크립트가 실행되는 경우 | 목적 |
|---|---|
| onStart(임포트 세트에서 변환이 시작된 경우) | 통합 프로세스의 범위 변수(sn_vul_msft_tvm)에서 값을 초기화하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onBefore(임포트 세트가 변환을 완료하기 전) | 취약성 항목 및 탐지가 존재하는지 확인하는 데 사용되는 스크립트입니다. 그렇지 않은 경우 이러한 기록은 해당 테이블에 생성됩니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |
| onComplete(임포트 세트에서 변환이 완료된 경우) | MS TVM에서 임포트한 VI 및 탐지 수를 업데이트하는 데 사용되는 스크립트입니다. 이 스크립트는 내부용이며 수정하거나 삭제하면 안 됩니다. |