Datentransformation für die Schwachstellen-Integration von Microsoft Threat and Vulnerability Management
Nachdem Sie die zu importierenden Daten identifiziert haben, werden die Daten aus der Anwendung ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM) abgerufen, über eine Reihe von Datenquellen verarbeitet und in Ihrer -Instanz transformiert.
Während der Installation werden normalisierte Schweregradzuordnungen im Modul „Normalisierte Schweregradzuordnung“ installiert. Diese Zuordnungen wandeln importierte Microsoft Schweregrade von Drittpartei-Schwachstellen in Standardschweregrade um, um sie in Ihrer -Instanz zu verarbeiten. Informationen zum Erstellen von Schweregradzuordnungen finden Sie unter Erstellen Sie eine Vulnerability Response -Schweregradzuordnung.
MS TVM-Computer – Import
Die Daten von den importierten Computern werden zuerst in die Tabelle „MS TVM-Computerimport“ [sn_vul_msft_tvm_maschines_import] geladen.
Die MS TVM-Maschinentransformation wird verwendet, um die importierten Maschineninformationen umzuwandeln.
Hinweis:
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu und suchen Sie nach Microsoft TVM Machines Transformieren.Änderungen an dieser Transformationszuordnung ändern die Verarbeitung von Daten aus dem MS TVM-Computerimport.
In der folgenden Tabelle sind die Transformationszuordnungsfelder nach Integration geordnet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | source_id | Eindeutige ID für Assets. Diese ID ist der source_id des Datensatzes des erkannten Elements zugeordnet. |
| u_ipaddresses.macAddress | mac_address | MAC-Adresse, die von der API dem Host-MAC-Adressfeld des cmdb_ci-Datensatzes zugeordnet wird. |
| u_ipaddresses.ipAddress | ip_address | IP-Adressfeld, das dem IP-Adressfeld des cmdb_ci-Datensatzes zugeordnet ist. |
| u_lastseen | last_scan_date | Feld, das dem Feld „last_scan_date“ im Datensatz des erkannten Elements zugeordnet ist. |
| u_maschinetags | Tags, die in „sn_sec_cmn_host_tag“ gespeichert sind Die Zuordnung von Tags zu Assets wird in „sn_sec_cmn_m2m_src_ci_tag“ gespeichert. | |
| u_osplatform | os | Feld, das dem Feld „os“ im Datensatz „cmdb_ci“ zugeordnet ist. |
| u_computerdnsname | fqdn | Feld, das das Feld „dnsname“ aus der API dem Feld „fqdn“ im Datensatz „cmdb_ci“ zuordnet. |
Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.
Timing und Zweck des MS TVM Machines-Transformationszuordnungsskripts
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn ein Importsatz die Transformation gestartet hat) | Skript, das zum Initialisieren der Werte in der Umfangsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
| onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) | Skript, das zum Aktualisieren von Werten auf dem Host und Überprüfen, ob der Host vorhanden ist, verwendet wird. Basierend auf den Ergebnissen ändert dieses Skript die Werte in der Umfangsvariablen (sn_vul_msft_tvm). Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
| onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) | Skript, mit dem die Anzahl der erstellten, aktualisierten und ignorierten CIs festgelegt wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
Die MicrosoftTVMMachineProcessor-Skripteinbindung wird vom onBefore-Transformationsskript aufgerufen. Es übernimmt die Ausgabe aus der Integration der Microsoft TVM-Computer und wandelt sie in ein CI um. Alle Änderungen an dieser Skripteinbindung können die Transformation der Daten der Microsoft TVM-Computer in der CI-Tabelle und der Tabelle „Erkannte Elemente“ ändern.
MS TVM – Schwachstellen-Integration
Die importierten Schwachstellendaten werden zuerst in die Microsoft TVM-Tabelle „CVE-Import (Schwachstellen)“ [sn_vul_msft_tvm_vulnerabilities_import] geladen.
Hinweis:
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu und suchen Sie nach der Microsoft TVM-Transformation für Schwachstellen.Änderungen an dieser Transformationszuordnung ändern die Verarbeitung von Daten aus dem MS TVM-Schwachstellenimport.
In der folgenden Tabelle sind die Transformationszuordnungsfelder nach Integration geordnet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | id | Entspricht der ID-Spalte des sn_vul_entry-Datensatzes. |
| u_severity | source_severity | Ordnet das Feld Schweregrad dem Schweregrad zu. Der Standardwert ist 5. |
| u_publishedon | date_published | Ordnet das Feld „u_publishedon“ dem Veröffentlichungsdatum zu. |
| u_publicexploit | public_exploit | Ordnet den vom Scanner bereitgestellten u_publicexploit der Spalte „Öffentlicher Exploit“ in der Schwachstelleneintragstabelle zu. |
| u_cvssv3 | v3_base_score | Ordnet die cvssv3-Punktzahl der v3-Basispunktzahl im Datensatz des Schwachstelleneintrags zu. |
| u_description | Zusammenfassung | Ordnet die Beschreibung dem Zusammenfassungsfeld im Datensatz des Schwachstelleneintrags zu. |
| u_exploitinkit | malware_kit | Ordnet das Feld „u_exploitinkit“ dem Malware-Kit in der Exploit-Tabelle zu. |
| u_exploittypes | type | Ordnet den Exploit-Typ dem Typ in der Exploit-Tabelle zu. |
| u_exploitverified | is_exploit_verified | Ordnet das Feld „u_exploitverified“ dem verifizierten Exploit in der Exploit-Tabelle zu. |
| u_exploituris | Exploit_links | Ordnet das Feld „u_exploituris“ den Exploit-Links in der Exploit-Tabelle zu. |
Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn ein Importsatz die Transformation gestartet hat) | Skript, das zum Initialisieren der Werte in der Umfangsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
| onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) | Skript, das zum Erstellen oder Aktualisieren der Werte in der NVD- oder Drittpartei-Eintragstabelle verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
| onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) | Skript, das zum Festlegen der Werte der neu erstellten Elemente und der Elemente, die aktualisiert und ignoriert wurden, verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
MS TVM-Empfehlungsimport
Die importierten Empfehlungsdaten werden zuerst in die Tabelle „MS TVM-Empfehlungsimport“ [sn_vul_msft_tvm_recom_import] geladen.
Hinweis:
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu und suchen Sie nach MS TVM-Empfehlungstransformation.Änderungen an dieser Transformationszuordnung ändern, wie die Daten aus dem MS TVM-Empfehlungsimport verarbeitet werden.
In der folgenden Tabelle sind die Transformationszuordnungsfelder nach Integration geordnet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_recommendedvendor | Recommended_vendor | Ordnet das Feld u_recommendedvendor der Spalte Lieferant zu. |
| u_weaknesses | Schwachstellen | Ordnet das Feld u_weaknesses der Spalte „Schwächen“ zu. |
| u_expositioned Machinescount | src_exposition_computer_cnt | Ordnet das Feld u_expositioned Machinescount der Spalte Anzahl risikogefährdeter Computer zu. |
| u_status | status | Ordnet den Status dem Feld Status im Empfehlungsdatensatz zu. |
| u_productname | product_name | Ordnet das Feld u_productname dem Produktnamen im Empfehlungsdatensatz zu. |
| u_nonproductiv_impactedassets | Non_prod_impacted_assets | Ordnet das Feld u_nonproductiv_impactedassets der Spalte „Betroffene Assets“ im Empfehlungsdatensatz zu. |
| u_activealert | active_alert | Ordnet das Feld u_activealert der Spalte Aktive Warnung im Empfehlungsdatensatz zu. |
| u_recommendedversion | Recommended_version | Ordnet das Feld u_recommendedversion der Spalte Empfohlene Version im Empfehlungsdatensatz zu. |
| u_totalmaschinecount | total_maschine_count | Ordnet das Feld u_totalmaschinecount der Spalte Gesamtanzahl der Computer im Empfehlungsdatensatz zu. |
| u_exposureimpact | „exposure_impact“ | Ordnet das Feld „u_exposureimpact“ der Spalte „Risikoauswirkung“ im Empfehlungsdatensatz zu. |
| u_recommendationname | „recommendation_name“ | Ordnet das Feld u_recommendationname der Spalte „Empfehlungsname“ im Empfehlungsdatensatz zu. |
| u_subcategory | Unterkategorie | Ordnet das Feld u_subcategory der Spalte „Unterkategorie“ im Empfehlungsdatensatz zu. |
| u_id | source_id | Ordnet die Empfehlungs-ID aus MS TVM der Spalte Quell-ID zu. |
| u_remediationtype | remediation_type | Ordnet das Feld u_remediationtype der Spalte „Korrekturtyp“ im Empfehlungsdatensatz zu. |
| u_relatedcomponent | related_component | Ordnet das Feld u_relatedcomponent der Spalte „Zugehörige Komponente“ im Empfehlungsdatensatz zu. |
| u_recommendedprogram | Recommended_program | Ordnet das Feld u_recommendedprogram der Spalte Empfohlenes Programm im Empfehlungsdatensatz zu. |
| u_recommendationcategory | Recommendation_category | Ordnet das Feld u_recommendationcategory der Spalte „Empfehlungskategorie“ im Empfehlungsdatensatz zu. |
| u_publicexploit | public_exploit | Ordnet das Feld „u_publicexploit“ der Spalte „Öffentlicher Exploit“ im Empfehlungsdatensatz zu. |
| u_vendor | Lieferant | Ordnet das Feld „u_vendor“ der Spalte „Lieferant“ im Empfehlungsdatensatz zu. |
| [Skript] | integration_instance | Name der Instanz, aus der die Empfehlung importiert wird. |
| [Skript] | sys_domain | Domäne, in die dieser Datensatz importiert wird. |
Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn ein Importsatz die Transformation gestartet hat) | Skript, das zum Initialisieren der Werte in der Umfangsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
| onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) | Skript, mit dem Werte in den Empfehlungen aktualisiert und überprüft werden, ob die Empfehlungen vorhanden sind. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
| onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) | Skript, das zum Festlegen der Werte von erstellten, aktualisierten und ignorierten Elementen verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
Import von MS TVM-Computer-Schwachstellen
Die Transformationszuordnung für MS TVM-Computer-Schwachstellen wird verwendet, um Informationen zu offenen und behobenen Schwachstellen zu transformieren, die aus MS TVM importiert werden.
Hinweis:
Um auf die Transformationszuordnungen für offene und feste Schwachstellen von MS TVM zuzugreifen, navigieren Sie zu und suchen Sie nach der Transformation für MS TVM-Computer-Schwachstellen.Änderungen an dieser Transformationszuordnung ändern die Verarbeitung von Daten aus dem MS TVM-Computer-Schwachstellenimport.
In der folgenden Tabelle sind die Transformationszuordnungsfelder nach Integration geordnet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | discovery_key | Ordnet das Feld u_id der Erkennungsschlüssel-Spalte in der Erkennungstabelle zu. |
| u_diskpaths | Nachweis | Ordnet das Feld u_diskpaths der Nachweisspalte in der Erkennungstabelle zu. |
| u_registrypaths | Nachweis | Ordnet das Feld u_registrypaths der Nachweisspalte in der Erkennungstabelle zu. |
| u_recommendedsecurityupdateid | Preferred_solution | Ordnet das Feld u_recommendedsecurityupdateid der Spalte Bevorzugte Lösung in der Tabelle der angreifbaren Elemente zu, wenn die Lösung mit derselben ID in der Tabelle sn_vul_solution vorhanden ist. |
| u_recommendationreference | Empfehlung | Ordnet das Feld u_recommendationreference der Spalte „Empfehlung“ in der Tabelle der angreifbaren Elemente zu. |
| u_cveid | Schwachstelle | Ordnet das Feld u_cveid der Spalte „Schwachstelle“ in der Tabelle der angreifbaren Elemente zu. |
| u_status | source_status | Ordnet das Feld u_status der Spalte Quellstatus in der Erkennungstabelle zu. |
| u_eventtimestamp | temporal_score | Ordnet das Feld u_eventtimestamp der Spalte Zuletzt gefunden in der Tabelle der angreifbaren Elemente zu. |
| u_lastseentimestamp | last_seen | Ordnet das Feld u_lastseentimestamp der Spalte Zuletzt gesehen in der Tabelle der angreifbaren Elemente zu. |
| u_firstseentimestamp | first_seen | Ordnet das Feld u_firstseentimestamp der Spalte „Zuerst gesehen“ in der Tabelle der angreifbaren Elemente zu. |
| u_recommendedsecurityupdate | solution_summary | Ordnet das Feld u_recommendedsecurityupdate der Spalte „Lösungszusammenfassung“ in der Tabelle der angreifbaren Elemente zu. |
| u_recommendedsecurityupdatel | solution_summary | Ordnet das Feld u_recommendedsecurityupdatel der Spalte „Lösungszusammenfassung“ in der Tabelle der angreifbaren Elemente zu. |
Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn ein Importsatz die Transformation gestartet hat) | Skript, das zum Initialisieren der Werte in der Umfangsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
| onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) | Skript, mit dem überprüft wird, ob der Schwachstelleneintrag und die Erkennungen vorhanden sind. Andernfalls werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |
| onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) | Skript, das zum Aktualisieren der Anzahl der VIs und Erkennungen verwendet wird, wie sie aus MS TVM importiert wurden. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden. |