Datentransformation für die Microsoft Threat and Vulnerability Management-Schwachstellenintegration
Nachdem Sie die Daten identifiziert haben, die Sie importieren möchten, werden die Daten aus der Anwendung ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM) abgerufen, über eine Reihe von Datenquellen verarbeitet und in Ihrer Instanz transformiert.
Während der Installation werden normalisierte Schweregradzuordnungen im Modul „Normalisierte Schweregradzuordnung“ installiert. Diese Zuordnungen transformieren importierte Microsoft Schwachstellenschweregrade von Drittparteien in Standardschweregrade für die Verarbeitung in Ihrer Instanz. Weitere Informationen zum Erstellen von Schweregradzuordnungen finden Sie unter Erstellen Sie eine Vulnerability Response -Schweregradzuordnung.
Import von MS TVM-Computern
Die Daten von den importierten Computern werden zuerst in die Tabelle „MS TVM-Computerimport“ [sn_vul_msft_tvm_machines_import] geladen.
Die MS TVM-Computertransformation wird verwendet, um die importierten Computerinformationen zu transformieren.
Hinweis:
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu und suchen Sie nach Microsoft TVM Machines Transform.Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem Import von MS TVM-Computern verarbeitet werden.
In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | source_id | Eindeutige ID für Assets. Diese ID ist der source_id des erkannten Elementdatensatzes zugeordnet. |
| u_ipaddresses.macAddress | mac_address | MAC-Adresse, die von der API dem Host-MAC-Adressfeld des cmdb_ci-Datensatzes zugeordnet wird. |
| u_ipaddresses.ipAddress | ip_address | IP-Adressfeld, das dem IP-Adressfeld des cmdb_ci-Datensatzes zugeordnet ist. |
| u_lastseen | last_scan_date | Feld, das dem Feld „last_scan_date“ im Datensatz des erkannten Elements zugeordnet ist. |
| u_machinetags | Tags, die in sn_sec_cmn_host_tag gespeichert sind. Die Zuordnung von Tags zu Assets wird in sn_sec_cmn_m2m_src_ci_tag gespeichert. | |
| u_osplatform | os | Feld, das dem BS-Feld im cmdb_ci-Datensatz zugeordnet ist. |
| u_computerdnsname | fqdn | Feld, das das dnsname-Feld der API dem fqdn-Feld im cmdb_ci-Datensatz zuordnet. |
Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.
Timing und Zweck des MS TVM-Computer-Transformationszuordnungsskripts
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde). | Skript, das zum Initialisieren der Werte in der Bereichsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Skript, das verwendet wird, um Werte auf dem Host zu aktualisieren und zu überprüfen, ob der Host vorhanden ist. Basierend auf den Ergebnissen ändert dieses Skript die Werte in der Bereichsvariablen (sn_vul_msft_tvm). Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Skript, das zum Festlegen der Anzahl der erstellten, aktualisierten und ignorierten CIs verwendet wird. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
Die MicrosoftTVMMachinsProcessor-Skripteinbindung wird aus dem onBefore-Transformationsskript aufgerufen. Sie übernimmt die Ausgabe der Integration der Microsoft TVM-Computer und wandelt sie in ein CI um. Alle Änderungen an dieser Skripteinbindung können die Transformation der Daten der Microsoft TVM-Computer in der Tabelle „CI“ und „Erkannte Elemente“ ändern.
Integration von MS TVM-Schwachstellen
Die importierten Schwachstellendaten werden zuerst in die Tabelle „Microsoft TVM CVE (Schwachstellen)“ [sn_vul_msft_tvm_vulnerabilities_import] geladen.
Hinweis:
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu und suchen Sie nach Microsoft TVM Vulnerabilities Transform.Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem Import von MS TVM-Schwachstellen verarbeitet werden.
In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | id | Ordnet auf die ID-Spalte des sn_vul_entry-Datensatzes zu. |
| u_severity | source_severity | Ordnet das Feld Schweregrad dem Schweregrad zu. Der Standardwert ist 5. |
| u_publishedon | date_published | Ordnet das Feld u_publishedon dem Veröffentlichungsdatum zu. |
| u_publicexploit | public_exploit | Ordnet den vom Scanner bereitgestellten u_publicexploit der öffentlichen Exploit-Spalte in der Schwachstelleneintragstabelle zu. |
| u_cvssv3 | v3_base_score | Ordnet die cvssv3-Punktzahl der v3-Basispunktzahl im Datensatz des Schwachstelleneintrags zu. |
| u_description | Zusammenfassung | Ordnet die Beschreibung dem Zusammenfassungsfeld im Datensatz des Schwachstelleneintrags zu. |
| u_exploitinkit | malware_kit | Ordnet das Feld u_exploitinkit dem Malware-Kit in der Exploit-Tabelle zu. |
| u_exploittypes | type | Ordnet den Exploit-Typ dem Typ in der Exploit-Tabelle zu. |
| u_exploit verifiziert | is_exploit_verified | Ordnet das Feld u_exploitverified dem überprüften Exploit in der Exploit-Tabelle zu. |
| u_exploituris | Exploit_Links | Ordnet das Feld u_exploituris den Exploit-Links in der Exploit-Tabelle zu. |
Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde). | Skript, das zum Initialisieren der Werte in der Bereichsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Skript, das zum Erstellen oder Aktualisieren der Werte im NVD oder in der Drittpartei-Eintragstabelle verwendet wird. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Skript, das zum Festlegen der Werte der neuen Elemente verwendet wird, die erstellt wurden, und der Elemente, die aktualisiert und ignoriert wurden. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
Import von MS TVM-Empfehlungen
Die importierten Empfehlungsdaten werden zuerst in die Tabelle „MS TVM-Empfehlungsimport“ [sn_vul_msft_tvm_recom_import] geladen.
Hinweis:
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu und suchen Sie nach MS TVM Recommendation Transform.Änderungen an dieser Transformationszuordnung ändern, wie die Daten aus dem Import von MS TVM-Empfehlungen verarbeitet werden.
In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_recommendedvendor | Recommended_vendor | Ordnet das Feld u_recommendedvendor der Spalte Lieferant zu. |
| u_weaknesses | Schwachstellen | Ordnet das Feld u_weaknesses der Spalte „Schwächen“ zu. |
| u_exposedmachinescount | src_exposed_machines_cnt | Ordnet das Feld u_exposedmachinescount der Spalte Anzahl der exponierten Computer zu. |
| u_status | Status | Ordnet den Status dem Feld Status im Empfehlungsdatensatz zu. |
| u_productname | product_name | Ordnet das Feld u_productname dem Produktnamen im Empfehlungsdatensatz zu. |
| u_nonproductiv_impactedassets | non_prod_impacted_assets | Ordnet das Feld u_nonproductiv_impactedassets der Spalte Betroffene Assets im Empfehlungsdatensatz zu. |
| u_activealert | active_alert | Ordnet das Feld u_activealert der Spalte „Aktive Warnung“ im Empfehlungsdatensatz zu. |
| u_recommendedversion | Recommended_version | Ordnet das Feld u_recommendedversion der Spalte „Empfohlene Version“ im Empfehlungsdatensatz zu. |
| u_totalmachinecount | total_computer_count | Ordnet das Feld u_totalmachinecount der Spalte Gesamtanzahl der Computer im Empfehlungsdatensatz zu. |
| u_exposureimpact | Exposure_impact | Ordnet das Feld u_exposureimpact der Spalte Risikoauswirkung im Empfehlungsdatensatz zu. |
| u_recommendationname | Empfehlungsname | Ordnet das Feld u_recommendationname der Spalte „Empfehlungsname“ im Empfehlungsdatensatz zu. |
| u_subcategory | Unterkategorie | Ordnet das Feld u_subcategory der Spalte „Unterkategorie“ im Empfehlungsdatensatz zu. |
| u_id | source_id | Ordnet die Empfehlungs-ID aus MS TVM der Spalte Quell-ID zu. |
| u_remediationtype | remediation_type | Ordnet das Feld u_remediationtype der Spalte „Korrekturtyp“ im Empfehlungsdatensatz zu. |
| u_relatedcomponent | related_component | Ordnet das Feld u_relatedcomponent der Spalte Zugehörige Komponente im Empfehlungsdatensatz zu. |
| u_recommendedprogram | Recommended_program | Ordnet das Feld u_recommendedprogram der Spalte „Empfohlenes Programm“ im Empfehlungsdatensatz zu. |
| u_recommendationcategory | Empfehlungskategorie | Ordnet das Feld u_recommendationcategory der Spalte „Empfehlungskategorie“ im Empfehlungsdatensatz zu. |
| u_publicexploit | public_exploit | Ordnet das Feld u_publicexploit der Spalte „Öffentlicher Exploit“ im Empfehlungsdatensatz zu. |
| u_vendor | Lieferant | Ordnet das Feld u_vendor der Spalte Lieferant im Empfehlungsdatensatz zu. |
| [Skript] | integration_instance | Name der Instanz, aus der die Empfehlung importiert wird. |
| [Skript] | sys_domain | Domäne, in die dieser Datensatz importiert wird. |
Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde). | Skript, das zum Initialisieren der Werte in der Bereichsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Skript, das verwendet wird, um Werte in den Empfehlungen zu aktualisieren und zu überprüfen, ob die Empfehlungen vorhanden sind. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Skript, das zum Festlegen der Werte von erstellten, aktualisierten und ignorierten Elementen verwendet wird. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
Import von MS TVM-Computer-Schwachstellen
Die Transformationszuordnung für MS TVM-Computerschwachstellen wird verwendet, um Informationen zu offenen und behobenen Schwachstellen zu transformieren, die aus MS TVM importiert werden.
Hinweis:
Um auf die MS TVM-Transformationszuordnungen für offene und feste Schwachstellen zuzugreifen, navigieren Sie zu und suchen Sie nach der Transformation für MS TVM-Computer-Schwachstellen.Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem MS TVM-Computer-Schwachstellenimport verarbeitet werden.
In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | Erkennungsschlüssel | Ordnet das Feld u_id der Spalte „Erkennungsschlüssel“ in der Erkennungstabelle zu. |
| u_diskpaths | Nachweis | Ordnet das Feld u_diskpaths der Nachweisspalte in der Erkennungstabelle zu. |
| u_registrypaths | Nachweis | Ordnet das Feld u_registrypaths der Nachweisspalte in der Erkennungstabelle zu. |
| u_recommendedsecurityupdateid | Bevorzugte_Lösung | Ordnet das Feld u_recommendedsecurityupdateid der Spalte Bevorzugte Lösung in der Tabelle für angreifbare Elemente zu, wenn die Lösung mit derselben ID in der Tabelle sn_vul_solution vorhanden ist. |
| u_recommendationreference | Empfehlung | Ordnet das Feld u_recommendationreference der Spalte „Empfehlung“ in der Tabelle für angreifbare Elemente zu. |
| u_cveid | Schwachstelle | Ordnet das Feld u_cveid der Spalte „Schwachstelle“ in der Tabelle für angreifbare Elemente zu. |
| u_status | source_status | Ordnet das Feld u_status der Spalte Quellstatus in der Erkennungstabelle zu. |
| u_eventtimestamp | temporal_score | Ordnet das Feld u_eventtimestamp der Spalte Zuletzt gefunden in der Tabelle für angreifbare Elemente zu. |
| u_lastseentimestamp | last_seen | Ordnet das Feld u_lastseentimestamp der Spalte Zuletzt gesehen in der Tabelle für angreifbare Elemente zu. |
| u_firstseentimestamp | first_seen | Ordnet das Feld u_firstseentimestamp der Spalte „Zuerst gesehen“ in der Tabelle für angreifbare Elemente zu. |
| u_recommendedsecurityupdate | solution_summary | Ordnet das Feld u_recommendedsecurityupdate der Spalte Lösungszusammenfassung in der Tabelle für angreifbare Elemente zu. |
| u_recommendedsecurityupdate | solution_summary | Ordnet das Feld u_recommendedsecurityupdatorl der Spalte Lösungszusammenfassung in der Tabelle für angreifbare Elemente zu. |
Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde). | Skript, das zum Initialisieren der Werte in der Bereichsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Skript, das verwendet wird, um zu überprüfen, ob der Schwachstelleneintrag und die Erkennungen vorhanden sind. Wenn nicht, werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Skript, das verwendet wird, um die Anzahl der aus MS TVM importierten VIs und Erkennungen zu aktualisieren. Dieses Skript ist für den internen Gebrauch bestimmt und darf nicht geändert oder gelöscht werden. |