Datentransformation für die Tenable Vulnerability-Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 20 Minuten Lesedauer

    • Nachdem Sie die zu importierenden Daten identifiziert haben, werden sie vom Tenable-Produkt abgerufen und über eine Reihe von Datenquellen und Transformationen in Ihrer -Instanz verarbeitet.

    Während der Installation werden normalisierte Schweregradzuordnungen im Modul „Normalisierte Schweregradzuordnung“ installiert. Diese Zuordnungen wandeln importierte Tenable-Schweregrade in Standard-Schweregrade zur Verarbeitung in Ihrer Instanz um. Informationen zum Erstellen von Schweregradzuordnungen finden Sie unter Vulnerability Response-Schweregradzuordnungen erstellen in der Dokumentation Vulnerability Response.

    Tenable.io-Asset-Import

    Importierte Asset-Daten werden zuerst in die Tenable.io-Asset-Importtabelle [sn_vul_tenable_io_asset_import] geladen.

    Die Tenable.io Asset Integration-Transformationszuordnung wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Asset-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungenan. Suchen Sie nach Tenable.io Asset Transform.

    In den folgenden Tabellen sind die Transformationszuordnungsfelder nach Integration geordnet.

    Tabelle : 1. Tenable.io-Asset-Transformationszuordnungsfelder
    Quellenfeld Zielfeld Beschreibung
    u_id source_id Tenable bietet eine eindeutige ID für Assets und Zuordnungen zum erkannten Elementdatensatz und wird für die CI-Suche verwendet.
    u_ipv4s ip_address Ordnet den ersten IP-Wert dem Feld ip_address im Datensatz des erkannten Elements zu.
    u_mac_addresses mac_address Ordnet den ersten Wert von „mac_address“ dem MAC-Adressfeld im Datensatz des erkannten Elements zu.
    u_fqdns fqdn Ordnet den ersten FQDN-Wert dem FQDN-Feld im Datensatz des erkannten Elements zu.
    u_netBIOS_Names NetBIOS Ordnet den ersten NetBIOS-Wert dem NetBIOS-Feld im Datensatz des erkannten Elements zu.
    u_operating_systems os Ordnet den ersten Betriebssystemwert dem Feld „BS“ im Datensatz des erkannten Elements zu.
    (Vor v14.0 Vulnerability Response und v2.2 der Tenable Vulnerability-Integration)u_last_scan_time last_scan_date Zuordnung zum Feld „last_scan_date“ im Datensatz des erkannten Elements.
    u_last_authenticated_scan_date last_auth_scan_date Zuordnung zum Feld „last_auth_scan_date“ im Datensatz des erkannten Elements.
    [Skript] Name Ordnet den Hostnamen mithilfe der Logik des Skripts zu.
    u_tags Die Tags werden in „sn_sec_cmn_host_tag“ gespeichert. Die Zuordnung von Tags zu Assets wird in „sn_sec_cmn_m2m_src_ci_tag“ gespeichert.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle ist aufgeführt, wann die einzelnen Skripts ausgeführt werden und welchen Zweck sie haben.

    Timing und Zweck des Skripts für die Tenable.io-Asset-Transformationszuordnung

    Wenn das Skript ausgeführt wird Zweck
    onStart (wenn ein Importsatz die Transformation gestartet hat) Diese Transformation wird verwendet, um die Werte in „import_set“ für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) Eine Funktion, die verwendet wird, um Werte auf dem Host zu aktualisieren und zu überprüfen, ob der Host bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem Importsatz. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) Diese Transformation wird verwendet, um die Werte von neu erstellten CIs und CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.

    Integration von Tenable.io-Plugins

    Die Transformationszuordnung für Tenable.io-Plugins wird zum Transformieren von aus Tenable.io importierten Plugins verwendet.

    Hinweis:
    Änderungen an dieser Transformationszuordnung ändern die Art und Weise, wie von den Tenable-Plugins empfangene Daten verarbeitet werden.

    Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungenan. Suchen Sie nach dem Tenable.io-Plugin Transformieren.

    Die Nutzlast der Plugins „tenable.io“ enthält alle Felder in der Spalte „u_attributes“ der Tabelle sn_vul_tenable_io_plugin_import. Das Feld „Attribute“ wird analysiert und den Datensätzen der Drittpartei-Eintragstabelle zugeordnet, wie in der folgenden Tabelle aufgeführt.

    Quellenfeld Zielfeld Beschreibung
    id id Ordnet die ID der Quelle zu und fügt ihr das Präfix TEN- hinzu. Wenn beispielsweise die empfangene ID 12345 lautet, lautet die ID in der Zieltabelle TEN-12345.
    Beschreibung Zusammenfassung Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu.
    [Skript] Quelle Die Quelle für importierte TPE ist Tenable.io.
    [Skript] source_instance Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert.
    Familie category Ordnet die Plugin-Familie der Kategoriespalte zu
    plugin_modification_date last_modified Ordnet „plugin_modification_date“ dem zuletzt geänderten Feld zu.
    plugin_publication_date date_published Ordnet „plugin_publication_date“ dem Veröffentlichungsdatum zu.
    has_patch remediation_type Ordnet den Korrekturtyp dem has_patch-Wert zu.
    synopsis Bedrohung Ordnet die Bedrohungsinformationen für diese Schwachstelle zu.
    cvss_base__score Punktzahl Ordnet die CVSS-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu.
    Lösung Lösung Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu.
    Exploit_available Exploit Ordnet den vom Scanner bereitgestellten Exploit_available der Exploit-Spalte in der Drittpartei-Eintragstabelle zu
    vpr.Punktzahl source_risk_score Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu.
    [Skript] source_risk_rating Ordnet die VPR-Punktzahl basierend auf den Punktzahlbereichen der Standardrisikoeinstufung zu:
    • 9 - 10: Kritisch
    • 7 – 9 – Hoch
    • 4 – 7 – Mittel
    • 0–4: Niedrig
    vpr.drivers.age_of_vuln Alter_von_Schwachstelle Ordnet das Alter der Schwachstelle vom Scanner der Spalte „age_of_vuln“ in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.exploit_code_maturity Exploit_code_maturity Ordnet die Reife des Exploit-Codes vom Scanner zu „exploit_code_maturity“ in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.product_coverage product_coverage Ordnet die Produktabdeckung vom Scanner zu „product_coverage“ in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.threat_sources_last28 Threat_sources Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner den Bedrohungsquellen in der Drittparteitabelle zu.
    vpr.drivers.threat_intensity_last28 Threat_Intensity Ordnet die Bedrohungsstärke vom Scanner in den letzten 28 Tagen der Bedrohungsstärke in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.threat_recency Threat_recency Ordnet die Bedrohungsaktualitätsinformationen vom Scanner „thread_recency“ in der Drittpartei-Eintragstabelle zu.
    vpr.drivers.cvss3_impact_score v3_impact_subscore Ordnet die cvss3-Auswirkungspunktzahl der Spalte „v3_impact_subscore“ in der Drittpartei-Eintragstabelle zu.
    cvss_temperal_score cvss_temperal_score Ordnet die temporäre Punktzahl für CVSS v2 zu.
    cvss_v3_template_score v3_zeitlich_Punktzahl Ordnet die temporäre Punktzahl für CVSS v3 zu.
    risk_factor source_severity Entspricht dem Quellschweregrad in der Drittpartei-Eintragstabelle.
    Name Name Ordnet den Namen des Plugins einem Namen in der Drittpartei-Eintragstabelle zu.
    stig_severity stig_severity Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu.
    plugin_type check_type Ordnet den Plugin-Typ „check_type“ in der Drittpartei-Eintragstabelle zu.
    unsupported_by_vendor unsupported_by_vendor Ordnet das Feld „unsupported_by_vendor“ der Spalte „unsupported_by_vendor“ zu.
    [Skript] Exploit_attack_vector Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt.

    Zusätzlich zu den direkten Feldern werden Drittparteieinträgen weitere Informationen als zugehörige Listen hinzugefügt.

    Quellenfeld Beschreibung
    cve Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie unter „sn_vul_m2m_entry_cve“.
    bid Die Liste der Fehler-Traqs wird als Referenz hinzugefügt.
    siehe_also Die Liste der URLs wird als Referenz hinzugefügt.
    xrefs Die Liste der X-REF wird als Referenz hinzugefügt.
    [Skript] Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin in sn_vul_m2m_framework_vul ein.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle ist aufgeführt, wann die einzelnen Skripts ausgeführt werden und welchen Zweck sie haben.

    Wenn das Skript ausgeführt wird Zweck
    onStart (wenn ein Importsatz die Transformation gestartet hat) Diese Transformation wird verwendet, um die Werte in „import_set“ für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) Eine Funktion, die verwendet wird, um die Werte im Drittparteieintrag zu aktualisieren und zu überprüfen, ob der Drittparteieintrag bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem Drittanbietereintrag. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) Diese Transformation wird verwendet, um die Werte von neu erstellten CIs und CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.

    Die TenableIOPluginsImportProcessor-Skripteinbindung wird vom onBefore-Transformationsskript aufgerufen. Es übernimmt die Ausgabe der Tenable.io-Plugin-Integration und wandelt sie in Now Platform Schwachstelleneinträge von Drittparteien um. Alle Änderungen an dieser Skripteinbindung können die Transformation von Tenable.io-Plugin-Daten in der Drittpartei-Eintragstabelle ändern.

    Tenable.io-Schwachstellenimport

    Die Tenable.io-Transformationszuordnung für angreifbare Elemente wird verwendet, um Informationen zu offenen und behobenen Schwachstellen zu transformieren, die aus Tenable.io importiert wurden.
    Hinweis:
    Änderungen an dieser Transformationszuordnung ändern die Art und Weise, wie Daten aus dem Import von Tenable-Schwachstellen verarbeitet werden.

    Die gleiche Transformationszuordnung wird für die Tenable.io-Integration für feste Schwachstellen und die Tenable.io-Integration für offene Schwachstellen verwendet. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungenan. Suchen Sie nach der Transformationszuordnung für angreifbare Tenable.io-Elemente.

    Quellenfeld Zielfeld Beschreibung
    u_asset.uuid id Uuid wird dem ID-Feld des cmdb_ci-Datensatzes zugeordnet.
    u_asset.ipv4 ip_address Das Feld ipv4 wird dem IP-Adressfeld des cmdb_ci-Datensatzes zugeordnet.
    u_asset .last_authenticated_results last_auth_scan_date Das Datum des letzten authentifizierten Scans wird dem Datum des letzten Authentifizierungsscans des cmdb_ci-Datensatzes zugeordnet.
    u_asset.mac_address mac_address Die MAC-Adresse wird dem Host-MAC-Adressfeld des Datensatzes „cmdb_ci“ zugeordnet.
    u_asset.netBIOS_Name NetBIOS NetBIOS wird dem NetBIOS-Feld des cmdb_ci-Datensatzes zugeordnet.
    u._plugin.cvss3_base_score v3_base_score Die CVSS v3-Basispunktzahl wird der v3-Basispunktzahl des Drittpartei-Eintragsdatensatzes zugeordnet.
    u._plugin.cvss3_template_score v3_zeitlich_Punktzahl Die temporäre CVSS v3-Punktzahl wird der v3 Temporary-Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u._plugin.cvss_base_score Punktzahl Die CVSS-Basispunktzahl wird dem Punktzahlfeld des Drittpartei-Eintragsdatensatzes zugeordnet.
    u._plugin.cvss_template_score temporal_score

    Die temporäre Punktzahl wird der temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u_plugin.description Zusammenfassung Die Beschreibung wird dem Zusammenfassungsfeld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_plugin.family category Ordnet die Plugin-Familie der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu.
    u_plugin.modification_date last_modified Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Datensatz des Drittparteieintrags zugeordnet.
    u_plugin.publication_date date_published Das Veröffentlichungsdatum wird dem Feld „Veröffentlichungsdatum“ des Drittpartei-Eintragsdatensatzes zugeordnet.
    u_plugin.risk_factor source_severity Der Risikofaktor wird dem Feld „source_severity“ des Drittpartei-Eintragsdatensatzes zugeordnet.
    u_plugin.solution Lösung Die Lösung wird dem Lösungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet.
    u_plugin.synopsis Bedrohung Die Synopse wird dem Bedrohungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet.
    u_severity_id Priorität Die Priorität wird der Schweregrad-ID aus der Nutzlast zugeordnet. Der Standardwert ist 5.
    u_plugin.exploit_available Exploit Ordnet den vom Scanner bereitgestellten Exploit_available der Exploit-Spalte in der Drittpartei-Eintragstabelle zu.
    vpr.Punktzahl source_risk_score Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu.
    [Skript] source_risk_rating Ordnet die VPR-Punktzahl basierend auf den Punktzahlbereichen der Standardrisikoeinstufung zu:
    • 9 - 10: Kritisch
    • 7 – 9 – Hoch
    • 4 – 7 – Mittel
    • 0–4: Niedrig
    u_plugin.vpr.drivers.age_of_vuln Alter_von_Schwachstelle Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.exploit_code_maturity Exploit_code_maturity Ordnet die Reife des Exploit-Codes vom Scanner zu „exploit_code_maturity“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.product_coverage product_coverage Ordnet die Produktabdeckung vom Scanner zu „product_coverage“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.threat_sources_last28 Threat_sources Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner Bedrohungsquellen in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.threat_intensity_last28 Threat_Intensity Ordnet die Bedrohungsstärke vom Scanner in den letzten 28 Tagen der Bedrohungsstärke in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.threat_recency Threat_recency Ordnet die Informationen zur Bedrohungsaktualität vom Scanner „thread_recency“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.vpr.drivers.cvss3_impact_score v3_impact_subscore Ordnet die CVSS3 v3-Auswirkungspunktzahl der Spalte „v3_impact_subscore“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.type check_type Ordnet den Plugin-Typ „check_type“ in der Drittpartei-Eintragstabelle zu.
    u_plugin.unsupported_by_vendor unsupported_by_vendor Ordnet das Feld „unsupported_by_vendor“ im Plugin der Spalte „unsupported_by_vendor“ zu.
    [Skript] Exploit_attack_vector Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt.
    u_plugin.family_id Family_id Ordnet die Plugin-Familien-ID der Spalte „family_id“ in der Drittpartei-Eintragstabelle zu.
    port port Der Port wird dem Portfeld des Datensatzes des angreifbaren Elements zugeordnet.
    protocol protocol Das Protokoll wird dem Protokollfeld des Datensatzes des angreifbaren Elements zugeordnet.
    u_first_found first_found „Zuerst gefunden“ wird dem Feld „Zuerst gefunden“ des Datensatzes des angreifbaren Elements zugeordnet.
    u_last_found last_found „Zuletzt gefunden“ wird dem Feld „Zuletzt gefunden“ des Datensatzes des angreifbaren Elements zugeordnet.
    u_state Staat Der Status wird dem Feld „Status“ im Datensatz des angreifbaren Elements zugeordnet
    [Skript] Quelle Die Quelle der Integration ist ausgefüllt. Die Quelle der aus dieser Integration erstellten angreifbaren Elemente ist Tenable.io.
    [Skript] integration_instance „integration_instance“ ist der Name der Instanz, aus der das angreifbare Element importiert wird.
    u_plugin.name Name Ordnet den Namen des Plugins einem Namen in der Eintragstabelle einer Drittpartei zu.
    u_plugin.stig_severity stig_severity Ordnet den STIG-Schweregrad des Plugins der Spalte „STIG-Schweregrad“ in der Drittpartei-Eintragstabelle zu

    Zusätzlich zu den direkten Feldern werden Drittparteieinträgen weitere Informationen als zugehörige Listen hinzugefügt.

    Quellenfeld Beschreibung
    cve Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie unter „sn_vul_m2m_entry_cve“.
    bid Die Liste der Fehler-Traqs wird als Referenz hinzugefügt.
    siehe_also Die Liste der URLs wird als Referenz hinzugefügt.
    xrefs Die Liste der X-REF wird als Referenz hinzugefügt.
    [Skript] Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin zu sn_vul_m2m_framework_vul ein.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle ist aufgeführt, wann die einzelnen Skripts ausgeführt werden und welchen Zweck sie haben.

    Wenn das Skript ausgeführt wird Zweck
    onStart (wenn ein Importsatz die Transformation gestartet hat) Diese Transformation löst den TenableIOVulnerabilitiesProcessor aus, der Daten aus Tenable.io mithilfe des Importsatzes importiert und jeden Datensatz in die CMDB-CI-Tabelle, die Tabelle der angreifbaren Elemente und die Schwachstellentabelle der Drittpartei lädt.Zur internen Verwendung. Das Ändern oder Löschen von wird nicht empfohlen.
    onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) Eine Funktion zum Überprüfen, ob der Drittpartei-Eintrag und die Erkennungen bereits vorhanden sind. Andernfalls werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) Diese Transformation wird verwendet, um die Anzahl der CIs, VIs und Erkennungen zu aktualisieren, wie sie aus Tenable.io importiert wurden. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.

    Tenable.sc-Asset-Import

    Aus Tenable.sc importierte Asset-Daten werden zuerst in die Tabelle „Tenable.sc-Asset-Import“ (sn_vul_tenable_sc_asset_import) geladen. Die Transformationszuordnung Tenable.sc Asset Integration wird zum Transformieren der importierten Asset-Informationen verwendet. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Asset-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungenan. Suchen Sie nach Tenable.sc Asset Transformieren.

    Quellenfeld Zielfeld Beschreibung
    u_uuid id uuid wird nicht von der Tenable-API ausgefüllt, daher wird das Attribut „u_uniqueness“ verwendet, um ein eindeutiges uuid-Feld für Assets zu erstellen und es dem cmdb_ci-Datensatz zuzuordnen.
    u_ip ip_address Ordnet das IP-Feld aus der API dem Feld „ip_address“ in einem cmdb_ci-Datensatz zu.
    u_macaddress mac_address Ordnet das Feld „macaddress“ aus der API dem Adressfeld im Datensatz „cmdb_ci“ zu.
    u_dnsname fqdn Ordnet das Feld „dnsname“ aus der API dem Feld „fqdn“ im Datensatz „cmdb_ci“ zu.
    u_netBIOSName NetBIOS Ordnet das NetBIOS-Feld aus der API dem NetBIOS-Feld im cmdb_ci-Datensatz zu.
    u_oscpe os Die BS-Informationen werden aus dem Attribut oscpe in der Nutzlast extrahiert und dem Feld os im Datensatz cmdb_ci zugeordnet.
    u_lastauthrun last_auth_scan_date Ordnet das Feld „lastauthrrun“ aus der API dem Feld „last_auth_scan_date“ im Datensatz des erkannten Elements zu.
    u_lastauthrun und u_lastunauthrun last_scan_date „lastauthrun“ wird aus der Tenable-API oder „lastunautrun“ extrahiert. Je nachdem, welcher Wert in der Nutzlast angezeigt wird, wird das Feld „last_scan_date“ im Datensatz des erkannten Elements gefüllt.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle ist aufgeführt, wann die einzelnen Skripts ausgeführt werden und welchen Zweck sie haben.

    Wenn das Skript ausgeführt wird Zweck
    onStart (wenn ein Importsatz die Transformation gestartet hat) Diese Transformation wird verwendet, um die Werte in „import_set“ für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) Funktion, die verwendet wird, um die Werte auf dem Host zu aktualisieren und zu überprüfen, ob der Host bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem Importsatz. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) Diese Transformation wird verwendet, um die Werte von neu erstellten CIs und CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.

    Import von Tenable.sc-Plugins

    Aus Tenable.sc importierte Plugins-Daten werden zuerst in die Tabelle „Tenable.sc-Plugin-Import“ (sn_vul_tenable_sc_plugin_import) geladen. Die Tenable.sc-Plugin-Transformationszuordnung wird verwendet, um die importierten Plugin-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Plugin-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungenan. Suchen Sie nach der Tenable.sc-Plugin-Transformationszuordnung.

    Quellenfeld Zielfeld Beschreibung
    u_id id Ordnet die ID aus der Quelle zu und fügt das Präfix TEN- hinzu. Wenn beispielsweise die empfangene ID 12345 lautet, lautet die ID in der Zieltabelle TEN-12345.
    u_description Zusammenfassung Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu.
    [Skript] Quelle Das aus dieser Integration importierte TPE hat Tenable.sc als Quelle.
    [Skript] source_instance Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert.
    u_family category Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte zu.
    u_plugin_modification_date last_modified Ordnet „plugin_modification_date“ dem zuletzt geänderten Feld zu.
    u_plugin_publication_date date_published Ordnet „plugin_publication_date“ dem Veröffentlichungsdatum zu.
    u_has_patch remediation_type Ordnet den Korrekturtyp dem has_patch-Wert zu.
    u_synotisi Bedrohung Ordnet die Bedrohungsinformationen für diese Schwachstelle zu.
    u_cvss_base_score Punktzahl Ordnet die CVSS-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu.
    u_solution Lösung Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu.
    u_cvss_temperal_score cvss_temperal_score Ordnet die temporäre Punktzahl für CVSS v2 zu.
    u_cvss_v3_template_score v3_zeitlich_Punktzahl Ordnet die temporäre Punktzahl für CVSS v3 zu.
    u_risk_factor Quellenschweregrad Entspricht dem Quellschweregrad in der Drittpartei-Eintragstabelle.
    u_cvss_v3_base_score v3_base_score Ordnet die CVSS-Basispunktzahl in der Drittpartei-Eintragstabelle zu.
    u_exploit_available Exploit Ordnet das vom Scanner bereitgestellte ExploitAvailable der Exploit-Spalte in der Drittpartei-Eintragstabelle zu.
    u_vpr_score source_risk_score Ordnet die VPR-Punktzahl vom Scanner der Quellrisiko-Punktzahl in der Drittpartei-Eintragstabelle zu.
    [Skript] source_risk_rating Ordnet die VPR-Punktzahl basierend auf den Punktzahlbereichen der Standardrisikoeinstufung zu:
    • 9 - 10: Kritisch
    • 7 – 9 – Hoch
    • 4 – 7 – Mittel
    • 0–4: Niedrig
    u_vpr_context[id=age_of_vuln] Alter_von_Schwachstelle Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=exploit_code_maturity] Exploit_code_maturity Ordnet die Reife des Exploit-Codes vom Scanner zu „exploit_code_maturity“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=product_coverage] product_coverage Ordnet die Produktabdeckung vom Scanner zu „product_coverage“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=”threat_sources_last_28] Threat_sources Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner zu „bedrohten Quellen“ in der Drittparteitabelle zu.
    u_vpr_context[id=”threat_intensity_last_28] Threat_Intensity Ordnet die Bedrohungsstärke vom Scanner in den letzten 28 Tagen der Bedrohungsstärke in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=”threat_recency”] Threat_recency Ordnet die Informationen zur Bedrohungsaktualität vom Scanner „thread_recency“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=cvssV3_impactScore] v3_impact_subscore Ordnet die CVSS v3-Auswirkungspunktzahl vom Scanner zu „v3_impact_subscore“ in der Drittpartei-Eintragstabelle zu.
    u_name Name Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu.
    u_stig_severity stig_severity Ordnet das Feld „stig_severity“ im Plugin „stig_severity“ in der Eintragstabelle der Drittpartei zu.
    u_check_type check_type Ordnet den Schecktyp „check_type“ in der Drittpartei-Eintragstabelle zu.
    u_family.id family_id Ordnet das Plugin „family_id“ dem Plugin „family_id“ in der Drittpartei-Eintragstabelle zu.

    [Skript]

    Exploit_attack_vector

    		 Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt.

    Zusätzlich zu den direkten Feldern werden Drittparteieinträgen weitere Informationen als zugehörige Listen hinzugefügt.

    Quellenfeld Beschreibung
    u_cpe Die Liste der CPEs wird als Referenz hinzugefügt.
    u_see_also Die Liste der URLs wird als Referenz hinzugefügt.
    u_exploit_frameworks Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin in sn_vul_m2m_framework_vul ein.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle ist aufgeführt, wann die einzelnen Skripts ausgeführt werden und welchen Zweck sie haben.

    Wenn das Skript ausgeführt wird Zweck
    onStart (wenn ein Importsatz die Transformation gestartet hat) Diese Transformation wird verwendet, um die Werte in „import_set“ für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) Funktion, die verwendet wird, um die Werte im Drittparteieintrag zu aktualisieren und zu überprüfen, ob der Drittparteieintrag bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem Drittanbietereintrag. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) Diese Transformation wird verwendet, um die Werte von erstellten und ignorierten Plugins festzulegen. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.

    Die TenableSCPluginsImportProcessor-Skripteinbindung wird vom onBefore-Transformationsskript aufgerufen. Es übernimmt die Ausgabe aus der Tenable.sc-Plugin-Integration und wandelt sie in ServiceNow-Schwachstelleneinträge von Drittparteien um. Alle Änderungen an dieser Skripteinbindung können die Transformation von Tenable.sc-Plugin-Daten in der Drittpartei-Eintragstabelle ändern.

    Import von Tenable.sc-Schwachstellen

    Die Transformationszuordnung Tenable.sc Open Vulnerabilities wird zum Transformieren importierter Daten aus der Tenable.sc-Integration für offene Schwachstellen verwendet, und die Transformationszuordnung Tenable.sc und behobene Schwachstellen wird zum Transformieren importierter Daten aus der Tenable.sc-Integration für feste Schwachstellen verwendet.
    Hinweis:
    Änderungen an diesen Transformationszuordnungen ändern die Art und Weise, wie Daten aus dem Import fester/offener Tenable-Schwachstellen verarbeitet werden.
    Um auf die Transformationszuordnungen für offene und feste Schwachstellen von Tenable.sc zuzugreifen, navigieren Sie zu Vertretbare Schwachstellenintegration > Administration > Integrationsinstanzen > Integration fester/offener Tenable.sc-Schwachstellen > Datenquellen > Offene/behobene Schwachstellen in Tenable.sc > Transformiertan.
    Quellenfeld Zielfeld Beschreibung
    u_pluginID ID Wird als Bezeichner für das Plugin verwendet. Dieses Feld ist der Plugin-ID im Datensatz des Drittparteieintrags zugeordnet.
    u_riskfactor source_severity Dieses Feld ist „source_severity“ im Drittpartei-Eintragsdatensatz zugeordnet.
    u_severity Priorität Das Prioritätsfeld ist dem Schweregrad zugeordnet. Der Standardwert ist 5.
    u_hasbeenmitigated Staat Wurde dem Statusfeld des Schwachstellen-Datensatzes zugeordnet. Bei der Integration mit behobenen Schwachstellen befinden sich alle AEs im Status „Geschlossen“.
    u_ip ip_address Die IP-Adresse wird dem Host-IP-Feld der Tabelle „cmdb_ci“ zugeordnet.
    u_port port Der Port wird dem Portfeld des Datensatzes des angreifbaren Elements zugeordnet.
    u_protocol protocol Das Protokoll wird dem Portfeld des Datensatzes des angreifbaren Elements zugeordnet.
    u_firstSeen first_found Der erste erkannte Wert wird dem ersten gefundenen Feld des VI-Datensatzes zugeordnet.
    u_lastSeen last_found Der zuletzt erkannte Wert wird dem zuletzt gefundenen Feld des VI-Datensatzes zugeordnet.
    u_exploitVerfügbar Exploit ExploitAvailable wird dem Exploit-Feld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_synotisi Bedrohung Die Synopse wird dem Bedrohungsfeld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_description Zusammenfassung Die Beschreibung wird dem Zusammenfassungsfeld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_solution Lösung Die Lösung wird dem Lösungsfeld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_basescore Punktzahl BaseScore wird dem Punktzahlfeld im Drittpartei-Eintragsdatensatz zugeordnet.
    u_temperalPunktzahl temporal_score Die temporäre Punktzahl wird der temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u_cvssv3basescore v3_base_score Cvssv3basescore wird der v3-Basispunktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u_cvsstemperalScore v3_zeitlich_Punktzahl Die Cvssv3-Punktzahl wird der temporären v3-Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet.
    u_pluginpubdate date_published Das Plugin-Veröffentlichungsdatum wird dem Plugin-Veröffentlichungsdatum im Drittpartei-Eintragsdatensatz zugeordnet.
    u_pluginmoddate last_modified Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Datensatz des Drittparteieintrags zugeordnet.
    u_dnsname fqdn DnsName wird dem FQDN-Feld des cmdb_ci-Datensatzes zugeordnet.
    u_macaddress mac_address „MacAddress“ wird dem Feld „mac_address“ des Datensatzes „cmdb_ci“ zugeordnet.
    u_netBIOSName NetBIOS NetBIOSName wird dem NETBIOS-Feld des cmdb_ci-Datensatzes zugeordnet.
    u_ip ip IP wird dem IP-Feld des cmdb_ci-Datensatzes zugeordnet.
    hostUniqueness uuid Die Eindeutigkeit des Hosts wird keinem Feld zugeordnet, sondern wird verwendet, um uuid für den Host zu bestimmen.
    u_family category Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu.
    u_plugintext Nachweis Plugin-Text wird dem Nachweis im TPE-Datensatz zugeordnet.
    [Skript] Quelle Die Quelle der Integration ist ausgefüllt. Die Quelle der angreifbaren Elemente, die aus dieser Integration erstellt werden, ist Tenable.sc.
    [Skript] integration_instance „integration_instance“ ist der Name der Instanz, aus der das angreifbare Element importiert wird.
    u_vpr_score source_risk_score Ordnet die VPR-Punktzahl vom Scanner der Quellrisiko-Punktzahl in der Drittpartei-Eintragstabelle zu.
    [Skript] source_risk_rating Ordnet die VPR-Punktzahl basierend auf den Punktzahlbereichen der Standardrisikoeinstufung zu:
    • 9 - 10: Kritisch
    • 7 – 9 – Hoch
    • 4 – 7 – Mittel
    • 0–4: Niedrig
    u_vpr_context[id=age_of_vuln] Alter_von_Schwachstelle Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=exploit_code_maturity] Exploit_code_maturity Ordnet die Reife des Exploit-Codes vom Scanner zu „exploit_code_maturity“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=product_coverage] product_coverage Ordnet die Produktabdeckung vom Scanner zu „product_coverage“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=”threat_sources_last_28] Threat_sources Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner Bedrohungsquellen in der Drittparteitabelle zu.
    u_vpr_context[id=”threat_intensity_last_28] Threat_Intensity Ordnet die Bedrohungsstärke vom Scanner in den letzten 28 Tagen der Bedrohungsstärke in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=”threat_recency”] Threat_recency Ordnet die Informationen zur Bedrohungsaktualität vom Scanner „thread_recency“ in der Drittpartei-Eintragstabelle zu.
    u_vpr_context[id=cvssV3_impactScore] v3_impact_subscore Ordnet die CVSS v3-Auswirkungspunktzahl vom Scanner zu „v3_impact_subscore“ in der Drittpartei-Eintragstabelle zu.
    u_pluginname Name Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu.
    u_stigseverity stig_severity Ordnet das Feld „stig_severity“ im Plugin „stig_severity“ in der Eintragstabelle der Drittpartei zu.
    u_checktype check_type Ordnet den Schecktyp „check_type“ in der Drittpartei-Eintragstabelle zu.
    u_family.id family_id Ordnet das Plugin „family.id“ dem Plugin „family_id“ in der Drittpartei-Eintragstabelle zu.
    [Skript] Exploit_attack_vector Die Spalte „exploit_attack_vector“ in der Tabelle „ third_party_entry“ wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt.
    Quellenfeld Beschreibung
    u_cve Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie unter sn_vul_m2m_entry_cve.
    u_bieten Die Liste der Fehler-Traqs wird als Referenz hinzugefügt.
    u_cpe Die Liste der CPEs wird als Referenz hinzugefügt.
    u_seealso Die Liste der URLs wird als Referenz hinzugefügt.
    u_xrefs Die Liste der X-REFs wird als Referenz hinzugefügt.
    u_exploitframeworks Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin zu sn_vul_m2m_framework_vul ein.

    Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle ist aufgeführt, wann die einzelnen Skripts ausgeführt werden und welchen Zweck sie haben.

    Wenn das Skript ausgeführt wird Zweck
    onStart (wenn ein Importsatz die Transformation gestartet hat) Diese Transformation wird verwendet, um die Werte in „import_set“ für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onBefore (bevor ein Importsatz die Transformation abgeschlossen hat) Funktion, die verwendet wird, um die Werte in der Schwachstelle zu aktualisieren und zu überprüfen, ob die Schwachstelle bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einer Tabelle angreifbarer Elemente. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.
    onComplete (wenn ein Importsatz die Transformation abgeschlossen hat) Diese Transformation wird verwendet, um die Werte von neu erstellten VIs und von VIs, die aktualisiert und ignoriert wurden, festzulegen. Für den internen Gebrauch. Das Ändern oder Löschen von wird nicht empfohlen.