Datentransformation für die Integration von Tenable Vulnerability

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 20 Minuten Lesedauer

    • Nachdem Sie die zu importierenden Daten identifiziert haben, werden sie aus dem Tenable-Produkt abgerufen und über eine Reihe von Datenquellen und Transformationen in Ihrer Instanz verarbeitet.

    Während der Installation werden normalisierte Schweregradzuordnungen im Modul „Normalisierte Schweregradzuordnung“ installiert. Diese Zuordnungen transformieren importierte Tenable-Schweregrade in Standardschweregrade für die Verarbeitung in Ihrer Instanz. Weitere Informationen zum Erstellen von Schweregradzuordnungen finden Sie unter Vulnerability Response-Schweregradzuordnungen erstellen in der Dokumentation Vulnerability Response.

    Tenable.io-Asset-Import

    Importierte Asset-Daten werden zuerst in die Tenable.io-Asset-Importtabelle [sn_vul_tenable_io_asset_import] geladen.

    Die Tenable.io Asset Integration-Transformationszuordnung wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Asset-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen. Suchen Sie nach Tenable.io Asset Transform.

    In den folgenden Tabellen werden die Transformationszuordnungsfelder nach Integration aufgelistet.

    Tabelle : 1. Tenable.io Asset-Transformationszuordnungsfelder
    Quellenfeld Zielfeld Beschreibung
    u_id source_id Tenable stellt eine eindeutige ID für Assets bereit, ordnet sie dem Datensatz des erkannten Elements zu und wird für die CI-Suche verwendet.
    u_ipv4s ip_address Ordnet den ersten IP-Wert dem Feld ip_address im Datensatz des erkannten Elements zu.
    u_mac_addresses mac_address Ordnet den ersten mac_address-Wert dem MAC-Adressfeld im Datensatz des erkannten Elements zu.
    u_fqdns fqdn Ordnet den ersten fqdn-Wert dem fqdn-Feld im Datensatz des erkannten Elements zu.
    u_netBIOS_names NetBIOS Ordnet den ersten NetBIOS-Wert dem NetBIOS-Feld im Datensatz des erkannten Elements zu.
    u_operating_systems os Ordnet den ersten BS-Wert dem BS-Feld im Datensatz des erkannten Elements zu.
    (Vor Version 14.0 Vulnerability Response und Version 2.2 von Tenable Vulnerability Integration)u_last_scan_time last_scan_date Ordnet auf das Feld last_scan_date im Datensatz des erkannten Elements zu.
    u_last_authenticated_scan_date last_auth_scan_date Ordnet auf das Feld last_auth_scan_date im Datensatz des erkannten Elements zu.
    [Skript] Name Ordnet den Hostnamen mithilfe der Logik des Skripts zu.
    u_tags Die Tags werden in sn_sec_cmn_host_tag gespeichert. Die Zuordnung von Tags zu Assets wird in sn_sec_cmn_m2m_src_ci_tag gespeichert.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.

    Timing und Zweck des Tenable.io Asset-Transformationszuordnungsskripts

    Wann das Skript ausgeführt wird Zweck
    onStart (wenn die Transformation eines Importsatzes gestartet wurde) Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Eine Funktion, die verwendet wird, um Werte auf dem Host zu aktualisieren und zu überprüfen, ob der Host bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem import_set. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Diese Transformation wird verwendet, um die Werte von neu erstellten CIs sowie von CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.

    Integration von Tenable.io-Plugins

    Die Transformationszuordnung für Tenable.io-Plugins wird verwendet, um aus Tenable.io importierte Plugins zu transformieren.

    Hinweis:
    Änderungen an dieser Transformationszuordnung ändern, wie Daten verarbeitet werden, die von den Tenable-Plugins empfangen wurden.

    Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen. Suchen Sie nach der Tenable.io-Plugin-Transformation.

    Die Nutzlast der Tenable.io-Plugins enthält alle Felder in der Spalte u_attributes der Tabelle sn_vul_tenable_io_plugin_import. Das Attributfeld wird analysiert und den Datensätzen der Drittpartei-Eintragstabelle zugeordnet, wie in der folgenden Tabelle aufgeführt.

    Quellenfeld Zielfeld Beschreibung
    id id Ordnet die ID aus der Quelle zu und fügt das Präfix TEN hinzu. Beispiel: Wenn die empfangene ID 12345 lautet, lautet die ID in der Zieltabelle TEN-12345.
    Beschreibung Zusammenfassung Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu.
    [Skript] Quelle Die Quelle für importierte TPE ist Tenable.io.
    [Skript] source_instance Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert.
    Familie Kategorie Ordnet die Familie des Plugins der Kategoriespalte zu
    Plugin_Änderung_Datum last_modified Ordnet „plugin_modification_date“ dem Feld der letzten Änderung zu.
    Plugin_Veröffentlichung_Datum date_published Ordnet „plugin_publication_date“ dem Veröffentlichungsdatum zu.
    has_patch remediation_type Ordnet den Korrekturtyp dem Wert has_patch zu.
    synopsis Bedrohung Ordnet die Bedrohungsinformationen für diese Schwachstelle zu.
    cvss_base__score Punktzahl Ordnet die CVSS-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu.
    Lösung Lösung Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu.
    Exploit_available Exploit Ordnet den vom Scanner bereitgestellten „ploit_available“ der Exploit-Spalte in der Drittpartei-Eintragstabelle zu
    vpr.Punktzahl source_risk_score Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu.
    [Skript] source_risk_rating Ordnet die VPR-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
    • 9 – 10 – Kritisch
    • 7 – 9 – Hoch
    • 4 – 7 – Mittel
    • 0–4: Niedrig
    vpr.drivers.age_of_vuln „age_of_vuln“ Ordnet das Alter der Schwachstelle vom Scanner der Spalte „age_of_vuln“ in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.exploit_code_maturity Exploit_code_maturity Ordnet die Reife des Exploit-Codes vom Scanner „ploit_code_maturity“ in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.product_coverage product_coverage Ordnet die Produktabdeckung vom Scanner zu product_coverage in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.threat_sources_last28 Bedrohungsquellen Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner „thread_sources“ in der Drittparteitabelle zu.
    vpr.drivers.threat_intensity_last28 Bedrohungsintensität Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu Threat_Intensity in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.threat_recency Threat_recency Ordnet die Bedrohungsaktualitätsinformationen von „scanner“ Threat_recency in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.cvss3_impact_score v3_impact_subscore Ordnet die cvss3-Auswirkungspunktzahl der Spalte „v3_impact_subscore“ in der Drittpartei-Eintragstabelle zu.
    cvss_temporal_score cvss_temporal_score Ordnet die temporäre Punktzahl für CVSS v2 zu.
    cvss_v3_temporal_score v3_temporal_score Ordnet die temporäre Punktzahl für CVSS v3 zu.
    risk_factor source_severity Ordnet auf den Quellschweregrad in der Drittpartei-Eintragstabelle zu.
    Name Name Ordnet den Namen des Plugins dem Namen in der Drittpartei-Eintragstabelle zu.
    stig_severity stig_severity Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu.
    Plugin-Typ check_type Ordnet den Plugin-Typ check_type in der Drittpartei-Eintragstabelle zu.
    unsupported_by_vendor unsupported_by_vendor Ordnet das Feld unsupported_by_vendor der Spalte unsupported_by_vendor zu.
    [Skript] Exploit_Attack_Vector Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt.

    Zusätzlich zu den direkten Feldern werden andere Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.

    Quellenfeld Beschreibung
    cve Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie in sn_vul_m2m_entry_cve.
    bid Die Liste der Fehlerverfolgungen wird als Referenz hinzugefügt.
    see_also Die Liste der URLs wird als Referenz hinzugefügt.
    xrefs Die X-REF-Liste wird als Referenz hinzugefügt.
    [Skript] Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin in sn_vul_m2m_framework_vul ein.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.

    Wann das Skript ausgeführt wird Zweck
    onStart (wenn die Transformation eines Importsatzes gestartet wurde) Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Eine Funktion, die verwendet wird, um die Werte im Drittparteieintrag zu aktualisieren und zu überprüfen, ob der Drittparteieintrag bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem Drittparteieintrag. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Diese Transformation wird verwendet, um die Werte von neu erstellten CIs sowie von CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.

    Die TenableIOPluginsImportProcessor-Skripteinbindung wird aus dem onBefore-Transformationsskript aufgerufen. Die Ausgabe der Tenable.io-Plugin-Integration wird in Now Platform Schwachstelleneinträge von Drittparteien umgewandelt. Alle Änderungen an dieser Skripteinbindung können die Transformation der Tenable.io-Plugin-Daten in der Drittpartei-Eintragstabelle ändern.

    Import von Tenable.io-Schwachstellen

    Die Transformationszuordnung für angreifbare Tenable.io-Elemente wird verwendet, um Informationen zu offenen und behobenen Schwachstellen zu transformieren, die aus Tenable.io importiert wurden.
    Hinweis:
    Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem Tenable-Schwachstellenimport verarbeitet werden.

    Dieselbe Transformationszuordnung wird sowohl für die Integration von Tenable.io mit festen Schwachstellen als auch für die Integration mit Tenable.io Open Vulnerabilities verwendet. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen. Suchen Sie nach der Transformationszuordnung für angreifbares Tenable.io-Element.

    Quellenfeld Zielfeld Beschreibung
    u_asset.uuid id Uuid wird dem ID-Feld des cmdb_ci-Datensatzes zugeordnet.
    u_asset.ipv4 ip_address Das ipv4-Feld wird dem ip-Adressfeld des cmdb_ci-Datensatzes zugeordnet.
    u_asset .last_authenticated_results last_auth_scan_date Das Datum des letzten authentifizierten Scans wird dem Datum des letzten Auth-Scans des cmdb_ci-Datensatzes zugeordnet.
    u_asset.mac_addess mac_address MAC-Adresse wird dem Host-MAC-Adressfeld des cmdb_ci-Datensatzes zugeordnet.
    u_asset.netBIOS_name NetBIOS NetBIOS wird dem NetBIOS-Feld des cmdb_ci-Datensatzes zugeordnet.
    u._plugin.cvss3_base_score v3_base_score CVSS v3-Basispunktzahl wird der v3-Basispunktzahl des Drittpartei-Eintragsdatensatzes zugeordnet.
    u._plugin.cvss3_temporal_score v3_temporal_score Die temporäre CVSS v3-Punktzahl wird der v3 temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u._plugin.cvss_base_score Punktzahl Die CVSS-Basispunktzahl wird dem Punktzahlfeld des Drittpartei-Eintragsdatensatzes zugeordnet.
    u._plugin.cvss_temporal_score temporal_score

    Die temporäre Punktzahl wird der temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u_plugin.description Zusammenfassung Die Beschreibung wird dem Zusammenfassungsfeld im Datensatz „Drittpartei-Eintrag“ zugeordnet.
    u_plugin.familie Kategorie Ordnet die Plugin-Familie der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu.
    u_plugin.modification_date last_modified Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Datensatz des Drittanbietereintrags zugeordnet.
    u_plugin.publication_date date_published Das Veröffentlichungsdatum wird dem Feld „Veröffentlichungsdatum“ des Datensatzes „Drittpartei-Eintrag“ zugeordnet.
    u_plugin.risk_factor source_severity Der Risikofaktor wird dem Feld „source_severity“ des Drittpartei-Eintragsdatensatzes zugeordnet.
    u_plugin.solution Lösung Die Lösung wird dem Lösungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet.
    u_plugin.synotsis Bedrohung Die Synopse wird dem Bedrohungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet.
    u_severity_id Priorität Die Priorität wird der Schweregrad-ID aus der Nutzlast zugeordnet. Der Standardwert ist 5.
    u_plugin.exploit_available Exploit Ordnet den vom Scanner bereitgestellten Exploit_available der Exploit-Spalte in der Drittpartei-Eintragstabelle zu.
    vpr.Punktzahl source_risk_score Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu.
    [Skript] source_risk_rating Ordnet die VPR-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
    • 9 – 10 – Kritisch
    • 7 – 9 – Hoch
    • 4 – 7 – Mittel
    • 0–4: Niedrig
    u_plugin.vpr.drivers.age_of_vuln „age_of_vuln“ Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.exploit_code_maturity Exploit_code_maturity Ordnet die Reife des Exploit-Codes vom Scanner „ploit_code_maturity“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.product_coverage product_coverage Ordnet die Produktabdeckung vom Scanner zu product_coverage in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.threat_sources_last28 Bedrohungsquellen Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner „thread_sources“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.threat_intensity_last28 Bedrohungsintensität Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu Threat_Intensity in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.threat_recency Threat_recency Ordnet die Bedrohungsaktualitätsinformationen vom Scanner Threat_recency in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.cvss3_impact_score v3_impact_subscore Ordnet die CVSS3 v3-Auswirkungspunktzahl der Spalte „v3_impact_subscore“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.type check_type Ordnet den Plugin-Typ check_type in der Drittpartei-Eintragstabelle zu.
    u_plugin.unsupported_by_vendor unsupported_by_vendor Ordnet das Feld „unsupported_by_vendor“ im Plugin der Spalte „unsupported_by_vendor“ zu.
    [Skript] Exploit_Attack_Vector Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt.
    u_plugin.family_id Family_id Ordnet die Familien-ID des Plugins der Spalte „family_id“ in der Drittpartei-Eintragstabelle zu.
    port port Der Port wird dem Feld „Port“ des Datensatzes für angreifbare Elemente zugeordnet.
    protocol protocol Das Protokoll wird dem Protokollfeld des Datensatzes für angreifbare Elemente zugeordnet.
    u_first_found first_found „Zuerst gefunden“ wird dem Feld „Zuerst gefunden“ des Datensatzes für angreifbare Elemente zugeordnet.
    u_last_found last_found „Zuletzt gefunden“ wird dem Feld „Zuletzt gefunden“ des Datensatzes für angreifbare Elemente zugeordnet.
    u_state Status Der Status wird dem Feld Status im Datensatz des angreifbaren Elements zugeordnet
    [Skript] Quelle Die Quelle der Integration wird ausgefüllt. Die aus dieser Integration erstellten angreifbaren Elemente haben Tenable.io als Quelle.
    [Skript] integration_instance integration_instance ist der Name der Instanz, aus der das angreifbare Element importiert wird.
    u_plugin.name Name Ordnet den Namen des Plugins dem Namen in der Drittpartei-Eintragstabelle zu.
    u_plugin.stig_severity stig_severity Ordnet den STIG-Schweregrad des Plugins der Spalte „STIG-Schweregrad“ in der Drittpartei-Eintragstabelle zu

    Zusätzlich zu den direkten Feldern werden andere Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.

    Quellenfeld Beschreibung
    cve Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie in sn_vul_m2m_entry_cve.
    bid Die Liste der Fehlerverfolgungen wird als Referenz hinzugefügt.
    see_also Die Liste der URLs wird als Referenz hinzugefügt.
    xrefs Die X-REF-Liste wird als Referenz hinzugefügt.
    [Skript] Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin zu sn_vul_m2m_framework_vul ein.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.

    Wann das Skript ausgeführt wird Zweck
    onStart (wenn die Transformation eines Importsatzes gestartet wurde) Diese Transformation löst TenableIOVulnerabilitiesProcessor aus, der Daten aus Tenable.io mithilfe des Importsatzes importiert und jeden Datensatz in die CMDB-CI-Tabelle, die Tabelle „Angreifbare Elemente“ und die Tabelle „Drittpartei-Schwachstelle“ lädt.Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen.
    onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Eine Funktion, um zu überprüfen, ob der Drittpartei-Eintrag und die Erkennungen bereits vorhanden sind. Wenn nicht, werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Diese Transformation wird verwendet, um die Anzahl der aus Tenable.io importierten CIs, VIs und Erkennungen zu aktualisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.

    Tenable.sc-Asset-Import

    Aus Tenable.sc importierte Asset-Daten werden zuerst in die Tenable.sc-Asset-Importtabelle (sn_vul_tenable_sc_asset_import) geladen. Die Tenable.sc Asset Integration-Transformationszuordnung wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Asset-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen. Suchen Sie nach Tenable.sc Asset Transform.

    Quellenfeld Zielfeld Beschreibung
    u_uuid id Die UUID wird nicht über die Tenable-API ausgefüllt. Daher wird das Attribut „u_uniqueness“ verwendet, um ein eindeutiges UUID-Feld für Assets zu erstellen und dem cmdb_ci-Datensatz zuzuordnen.
    u_ip ip_address Ordnet das IP-Feld der API dem Feld ip_address in einem cmdb_ci-Datensatz zu.
    u_macaddress mac_address Ordnet das Feld macaddress aus der API dem Adressfeld im cmdb_ci-Datensatz zu.
    u_dnsname fqdn Ordnet das dnsname-Feld der API dem fqdn-Feld im cmdb_ci-Datensatz zu.
    u_netBIOSName NetBIOS Ordnet das NetBIOS-Feld der API dem NetBIOS-Feld im cmdb_ci-Datensatz zu.
    u_oscpe os Die BS-Informationen werden aus dem Attribut oscpe in der Nutzlast extrahiert und dem BS-Feld im cmdb_ci-Datensatz zugeordnet.
    u_lastauthrun last_auth_scan_date Ordnet das Feld „lastauthrun“ der API dem Feld „last_auth_scan_date“ im Datensatz des erkannten Elements zu.
    u_lastauthrun und u_lastunauthrun last_scan_date „lastauthrun“ wird aus der Tenable-API oder „lastunauthrun“ extrahiert. Basierend darauf, welcher Wert in der Nutzlast angezeigt wird, wird das Feld „last_scan_date“ im Datensatz des erkannten Elements ausgefüllt.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.

    Wann das Skript ausgeführt wird Zweck
    onStart (wenn die Transformation eines Importsatzes gestartet wurde) Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Funktion zum Aktualisieren der Werte auf dem Host und Überprüfen, ob der Host bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem import_set. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Diese Transformation wird verwendet, um die Werte von neu erstellten CIs sowie von CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.

    Import von Tenable.sc-Plugins

    Aus Tenable.sc importierte Plugin-Daten werden zuerst in die Tenable.sc-Plugin-Importtabelle (sn_vul_tenable_sc_plugin_import) geladen. Die Tenable.sc-Plugin-Transformationszuordnung wird verwendet, um die importierten Plugin-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Plugin-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen. Suchen Sie nach Tenable.sc Plugin Transform Map.

    Quellenfeld Zielfeld Beschreibung
    u_id id Ordnet die ID der Quelle zu und fügt das Präfix TEN hinzu. Beispiel: Wenn die empfangene ID 12345 lautet, lautet die ID in der Zieltabelle TEN-12345.
    u_description Zusammenfassung Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu.
    [Skript] Quelle Importiertes TPE aus dieser Integration hat Tenable.sc als Quelle.
    [Skript] source_instance Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert.
    u_familie Kategorie Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte zu.
    u_plugin_modification_date last_modified Ordnet „plugin_modification_date“ dem Feld der letzten Änderung zu.
    u_plugin_publication_date date_published Ordnet „plugin_publication_date“ dem Veröffentlichungsdatum zu.
    u_has_patch remediation_type Ordnet den Korrekturtyp dem Wert has_patch zu.
    u_synosis Bedrohung Ordnet die Bedrohungsinformationen für diese Schwachstelle zu.
    u_cvss_base_score Punktzahl Ordnet die CVSS-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu.
    u_solution Lösung Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu.
    u_cvss_temporal_score cvss_temporal_score Ordnet die temporäre Punktzahl für CVSS v2 zu.
    u_cvss_v3_temporal_score v3_temporal_score Ordnet die temporäre Punktzahl für CVSS v3 zu.
    u_risk_factor Quellschweregrad Ordnet auf den Quellschweregrad in der Drittpartei-Eintragstabelle zu.
    u_cvss_v3_base_score v3_base_score Ordnet die CVSS-Basispunktzahl in der Drittpartei-Eintragstabelle zu.
    u_exploit_available Exploit Ordnet das vom Scanner bereitgestellte ExploitAvailable der Exploit-Spalte in der Drittpartei-Eintragstabelle zu.
    u_vpr_score source_risk_score Ordnet die VPR-Punktzahl vom Scanner der Quellrisikopunktzahl in der Drittpartei-Eintragstabelle zu.
    [Skript] source_risk_rating Ordnet die VPR-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
    • 9 – 10 – Kritisch
    • 7 – 9 – Hoch
    • 4 – 7 – Mittel
    • 0–4: Niedrig
    u_vpr_context[id=age_of_vuln] „age_of_vuln“ Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = exploit_code_maturity] Exploit_code_maturity Ordnet die Reife des Exploit-Codes vom Scanner „ploit_code_maturity“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = product_coverage] product_coverage Ordnet die Produktabdeckung vom Scanner zu product_coverage in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = ”threat_sources_last_28] Bedrohungsquellen Ordnet Bedrohungsquellen in den letzten 28 Tagen von „scanner“ zu „thread_sources“ in der Drittparteitabelle zu.
    u_vpr_context [id = ”threat_intensity_last_28] Bedrohungsintensität Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu Threat_Intensity in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = „threat_recency“] Threat_recency Ordnet die Bedrohungsaktualitätsinformationen vom Scanner Threat_recency in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = cvssV3_impactScore] v3_impact_subscore Ordnet die CVSS v3-Auswirkungspunktzahl des Scanners v3_impact_subscore in der Drittpartei-Eintragstabelle zu.
    u_name Name Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu.
    u_stig_severity stig_severity Ordnet das Feld stig_severity im Plugin stig_severity in der Drittpartei-Eintragstabelle zu.
    u_check_type check_type Ordnet den Prüfungstyp check_type in der Drittpartei-Eintragstabelle zu.
    u_familie.id familie_id Ordnet das Plugin „family_id“ „family_id“ in der Drittpartei-Eintragstabelle zu.

    [Skript]

    Exploit_Attack_Vector

    		 Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt.

    Zusätzlich zu den direkten Feldern werden andere Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.

    Quellenfeld Beschreibung
    u_cpe Die Liste der CPEs wird als Referenz hinzugefügt.
    u_see_also Die Liste der URLs wird als Referenz hinzugefügt.
    u_exploit_frameworks Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin in sn_vul_m2m_framework_vul ein.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.

    Wann das Skript ausgeführt wird Zweck
    onStart (wenn die Transformation eines Importsatzes gestartet wurde) Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Funktion zum Aktualisieren der Werte im Drittparteieintrag und zum Überprüfen, ob der Drittparteieintrag bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem Drittparteieintrag. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Diese Transformation wird verwendet, um die Werte der erstellten und ignorierten Plugins festzulegen. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.

    Die TenableSCPluginsImportProcessor-Skripteinbindung wird aus dem onBefore-Transformationsskript aufgerufen. Es übernimmt die Ausgabe der Tenable.sc-Plugin-Integration und wandelt sie in ServiceNow-Schwachstelleneinträge von Drittparteien um. Alle Änderungen an dieser Skripteinbindung können die Umwandlung von Tenable.sc-Plugin-Daten in der Drittpartei-Eintragstabelle ändern.

    Import von Tenable.sc-Schwachstellen

    Die Transformationszuordnung für Tenable.sc Open Vulnerabilities wird verwendet, um importierte Daten aus der Integration von Tenable.sc Open Vulnerabilities zu transformieren, und die Transformationszuordnung für Tenable.sc und feste Schwachstellen wird verwendet, um importierte Daten aus der Integration von Tenable.sc für feste Schwachstellen zu transformieren.
    Hinweis:
    Änderungen an diesen Transformationszuordnungen ändern, wie Daten aus dem Import von festen/offenen Tenable-Schwachstellen verarbeitet werden.
    Um auf die Transformationszuordnungen für offene und feste Schwachstellen von Tenable.sc zuzugreifen, navigieren Sie zu Vertretbare Schwachstellenintegration > Administration > Integrationsinstanzen > Tenable.sc – Integration von festen/offenen Schwachstellen > Datenquellen > Offene/behobene Schwachstellen von Tenable.sc > Transformationen.
    Quellenfeld Zielfeld Beschreibung
    u_pluginID ID Wird als Bezeichner für das Plugin verwendet. Dieses Feld ist der Plugin-ID im Datensatz „Drittpartei-Eintrag“ zugeordnet.
    u_riskfactor source_severity Dieses Feld ist „source_severity“ im Datensatz „Drittpartei-Eintrag“ zugeordnet.
    u_severity Priorität Das Prioritätsfeld wird dem Schweregrad zugeordnet. Der Standardwert ist 5.
    u_hasbeenmitigated Status „Wurde verringert“ wird dem Statusfeld des Schwachstellendatensatzes zugeordnet. Bei der Integration behobener Schwachstellen befinden sich alle AEs im Status „Geschlossen“.
    u_ip ip_address Die IP-Adresse wird dem Host-IP-Feld der Tabelle „cmdb_ci“ zugeordnet.
    u_port port Der Port wird dem Feld „Port“ des Datensatzes für angreifbare Elemente zugeordnet.
    u_protocol protocol Das Protokoll wird dem Port-Feld des Datensatzes für angreifbare Elemente zugeordnet.
    u_firstSeen first_found Der erste gefundene Wert wird dem ersten gefundenen Feld des VI-Datensatzes zugeordnet.
    u_lastSeen last_found Der zuletzt angezeigte Wert wird dem zuletzt gefundenen Feld des VI-Datensatzes zugeordnet.
    u_exploitVerfügbar Exploit ExploitAvailable wird dem Exploit-Feld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_synosis Bedrohung Die Synopse wird dem Bedrohungsfeld im Datensatz des Drittpartei-Eintrags zugeordnet.
    u_description Zusammenfassung Die Beschreibung wird dem Zusammenfassungsfeld im Datensatz „Drittpartei-Eintrag“ zugeordnet.
    u_solution Lösung Die Lösung wird dem Lösungsfeld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_basescore Punktzahl BaseScore wird dem Punktzahlfeld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_temporalScore temporal_score Die temporäre Punktzahl wird der temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u_cvssv3basescore v3_base_score Cvssv3basescore wird der v3-Basispunktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u_cvsstemporalscore v3_temporal_score Cvssv3temporal score wird der zeitlichen v3-Punktzahl im Datensatz des Drittparteieintrags zugeordnet.
    u_pluginpubdate date_published Das Plugin-Veröffentlichungsdatum wird dem Plugin-Veröffentlichungsdatum im Datensatz des Drittanbietereintrags zugeordnet.
    u_pluginmoddate last_modified Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Datensatz des Drittanbietereintrags zugeordnet.
    u_dnsname fqdn DnsName wird dem FQDN-Feld des cmdb_ci-Datensatzes zugeordnet.
    u_macaddress mac_address MacAddress wird dem Feld mac_address des cmdb_ci-Datensatzes zugeordnet.
    u_netBIOSName NetBIOS NetBIOSName wird dem NETBIOS-Feld des cmdb_ci-Datensatzes zugeordnet.
    u_ip ip IP wird dem IP-Feld des cmdb_ci-Datensatzes zugeordnet.
    hostUniqueness uuid Die Eindeutigkeit des Hosts wird keinem Feld zugeordnet, sondern verwendet, um die UUID für den Host zu bestimmen.
    u_familie Kategorie Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu.
    u_plugintext Nachweis Plugin-Text wird dem Nachweis im TPE-Datensatz zugeordnet.
    [Skript] Quelle Die Quelle der Integration wird ausgefüllt. Die aus dieser Integration erstellten angreifbaren Elemente haben Tenable.sc als Quelle.
    [Skript] integration_instance integration_instance ist der Name der Instanz, aus der das angreifbare Element importiert wird.
    u_vpr_score source_risk_score Ordnet die VPR-Punktzahl vom Scanner der Quellrisikopunktzahl in der Drittpartei-Eintragstabelle zu.
    [Skript] source_risk_rating Ordnet die VPR-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
    • 9 – 10 – Kritisch
    • 7 – 9 – Hoch
    • 4 – 7 – Mittel
    • 0–4: Niedrig
    u_vpr_context[id=age_of_vuln] „age_of_vuln“ Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = exploit_code_maturity] Exploit_code_maturity Ordnet die Reife des Exploit-Codes vom Scanner „ploit_code_maturity“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = product_coverage] product_coverage Ordnet die Produktabdeckung vom Scanner „product_coverage“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = ”threat_sources_last_28] Bedrohungsquellen Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner „thread_sources“ in der Drittparteitabelle zu.
    u_vpr_context [id = ”threat_intensity_last_28] Bedrohungsintensität Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu Threat_Intensity in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = „threat_recency“] Threat_recency Ordnet die Bedrohungsaktualitätsinformationen vom Scanner Threat_recency in der Drittpartei-Eintragstabelle zu.
    u_vpr_context [id = cvssV3_impactScore] v3_impact_subscore Ordnet die CVSS v3-Auswirkungspunktzahl des Scanners v3_impact_subscore in der Drittpartei-Eintragstabelle zu.
    u_pluginname Name Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu.
    u_stigseverity stig_severity Ordnet das Feld „stig_severity“ im Plugin „stig_severity“ in der Drittpartei-Eintragstabelle zu.
    u_checktype check_type Ordnet den Prüfungstyp check_type in der Drittpartei-Eintragstabelle zu.
    u_familie.id familie_id Ordnet das Plugin „family.id“ „family_id“ in der Drittpartei-Eintragstabelle zu.
    [Skript] Exploit_Attack_Vector Die Spalte „plot_attack_vector“ in der Tabelle „dritter_party_entry“ wird basierend auf „ploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt.
    Quellenfeld Beschreibung
    u_cve Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung befindet sich in sn_vul_m2m_entry_cve.
    u_BID Die Liste der Fehlerverfolgungen wird als Referenz hinzugefügt.
    u_cpe Die Liste der CPEs wird als Referenz hinzugefügt.
    u_seealso Die Liste der URLs wird als Referenz hinzugefügt.
    u_xrefs Die Liste der X-REFs wird als Referenz hinzugefügt.
    u_exploitframeworks Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin zu sn_vul_m2m_framework_vul ein.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.

    Wann das Skript ausgeführt wird Zweck
    onStart (wenn die Transformation eines Importsatzes gestartet wurde) Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Funktion, die verwendet wird, um die Werte in der Schwachstelle zu aktualisieren und zu überprüfen, ob die Schwachstelle bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einer Tabelle mit angreifbaren Elementen. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.
    onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Diese Transformation wird verwendet, um die Werte von neu erstellten AEs und AEs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen.