Unterstützung für die Vulnerability Response Integration mit Microsoft Defender for IoT (Azure)

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • In diesem Abschnitt finden Sie Fragen zur Datenzuordnung und Fehlerbehandlung.

    Datenzuordnung

    In den folgenden Tabellen werden die Datenzuordnungsfelder beschrieben, die für die Erkennung von Schwachstellen und Einträge in der National Vulnerability Database (NVD) in der Anwendung Microsoft Defender for IoT (Azure) verwendet werden. Außerdem wird angegeben, ob ein entsprechender Eintrag verwendet wird, nachdem die Daten in ServiceNow CMDBimportiert wurden.
    Tabelle : 1. Erkennung von Schwachstellen
    Feld „Microsoft Defender for IoT (Azure)“. ServiceNow Feld
    N/V Quelle
    Hinweis:
    Legen Sie dieses Feld immer auf Microsoft Azure Defender for IoTfest.
    name discovery_key
    N/V status
    Hinweis:
    Dieses Feld ist standardmäßig auf 0festgelegt, was offen bedeutet.
    Tabelle : 2. NVD-Einträge
    Feld „Microsoft Defender for IoT (Azure)“. ServiceNow Feld
    Eigenschaften/Schwachstellen-ID id
    Quelle
    Hinweis:
    Dieses Feld ist standardmäßig auf NVD festgelegt.
    Eigenschaften/Beschreibung Zusammenfassung
    Eigenschaften/Punktzahl Punktzahl
    Eigenschaften/Exploittype Exploit vorhanden

    Wenn die API-Daten angeben, dass ein Exploit vorhanden ist, setzt die Integration dieses Feld auf Ja.
    Eigenschaften/Exploittype public_exploit

    Wenn die API-Daten angeben, dass ein Exploit vorhanden ist, setzt die Integration dieses Feld auf Ja.
    Configuration Item (CI)-Suche
    Die CI-Suche wird mit der deviceid von Microsoft Defender for IoT (Azure) durchgeführt. In der Tabelle „sys_object_source“, die mit Service Graph Connector gefüllt wird, wird nach der übereinstimmenden Geräte-ID gesucht. Wenn eine Übereinstimmung gefunden wird, werden die Erkennung und das angreifbare Element mit diesem CI verknüpft.
    Hinweis:
    Standardmäßig ist zum Einfügen von Schwachstellenerkennungen eine CI-Übereinstimmung erforderlich. Dies trägt dazu bei, nicht klassifizierte Hardware-CIs in CMDBzu minimieren. Um dieses Verhalten zu ändern, können Sie die Systemeigenschaft sn_msftd4iotazvr.require_ci_match auf den Wert falsefestlegen. Wenn Sie die Eigenschaft auf „false“ festlegen, können nicht klassifizierte Hardware-CIs erstellt werden, wenn keine CI-Übereinstimmung gefunden wird.

    Fehlerbehandlung

    Die Integration ist so konzipiert, dass sie weitgehend vorkonfiguriert ist, sodass Sie nur Ihre Azure-Mandanten-ID, Client-ID und Ihren geheimen Clientschlüssel eingeben müssen. Protokollnachrichten aus der Anwendung können in den Systemprotokollen aus der Quelle sn_msftd4iotazvr angezeigt werden. Zusätzliche relevante Protokollnachrichten können auch aus der Quelle „sn_vul“ angezeigt werden.

    Wenn die Integrationsausführung fehlschlägt, wird der Fehler im Feld Hinweise zur Integrationsausführung angezeigt. Der Status wird auf Abgeschlossen mit dem Substatus Fehlgeschlagenfestgelegt.

    Die Tabelle „Importwarteschlange“ (sn_vul_ds_import_q_entry) enthält alle ausstehenden Transformationsanforderungen. Sie können diese Tabelle filtern, um nur Elemente anzuzeigen, die den Status „In Verarbeitung“ haben, um anzuzeigen, was derzeit transformiert wird.

    In den folgenden Tabellen werden die Fehlermeldungen und möglichen Ursachen während des Datenabrufs und der Datenverarbeitung beschrieben.

    Tabelle : 3. Vulnerability Detection Integration (Datenabruf)
    Fehlermeldung Mögliche Ursache

    Die Integration kann ohne angegebene REST-Nachricht und REST-Methode nicht ausgeführt werden

    		 Im Datensatz der Erkennungsintegrationsaufgabe werden die Felder „REST-Nachricht“ oder „REST-Methode“ nicht ausgefüllt.

    Die Integration kann ohne angegebene Microsoft Defender for IoT (Azure) oauth_client_id nicht ausgeführt werden

    		 In der Integrationsinstanz ist die OAuth-Client-ID nicht ausgefüllt.

    Die Integration kann ohne Angabe von Microsoft Defender for IoT (Azure) oauth_client_secret nicht ausgeführt werden

    		 In der Integrationsinstanz ist das OAuth-Clientgeheimnis nicht ausgefüllt.

    Die Integration kann ohne angegebenen Pfad der Erkennungs-API-Ressource nicht ausgeführt werden

    In der Integrationsinstanz ist der Pfad der Erkennungs-API-Ressource nicht ausgefüllt.

    Der Standardwert ist https://management.azure.com/providers/Microsoft.ResourceGraph/resources

    Die Integration mit der angegebenen API-Version kann nicht ausgeführt werden

    In der Integrationsinstanz ist die API-Version nicht ausgefüllt.

    Der Standardwert ist 01.03.2021.

    Ungültiger Antwortcode {Antwortcode} von Microsoft Defender for IoT (Azure) erhalten

    Die Antwort von der Microsoft-API ist ungültig.

    Beispielsweise bedeutet der ungültige Antwortcode 401, der von Microsoft Defender for IoT (Azure) empfangen wurde, Nicht autorisiert. Die Anmeldeinformationen oder das OAuth-Token sind wahrscheinlich ungültig.
    Fehler beim Analysieren des JSON-Antworttexts Die empfangene JSON-Antwort ist ungültig, wenn sie nicht analysiert werden kann. Dies bedeutet, dass keine Daten empfangen wurden. Stellen Sie sicher, dass die Anmeldeinformationen korrekt sind und keine anderen Fehler auftreten.

    Fehler beim Schreiben des Anhangs

    		 Das System konnte die Antwortdaten nicht an die Datenquelle anhängen. Wahrscheinlich müssen Sie sich für weitere Problembehandlungen an Ihren Systemadministrator wenden. Eine häufige Ursache für diesen Fehler ist, dass dem MID-Server oder der Ausführung als Benutzer die Rolle „sn_vul.vr_import_admin“ fehlt.

    Anhangsinhalt ist NULL: Anhang sys_id = {sys_id}

    		 Der Inhalt des Anhangs „Datenquelle“ ist NULL. Dies kann auf ein Problem mit der Microsoft-API selbst oder auf ein Problem in ServiceNowhinweisen. Wenden Sie sich für weitere Problembehandlungen an den Systemadministrator.

    Anhang mit sys_id {sys_id} konnte nicht gefunden werden

    		 Datenquellenanhang wurde nicht gefunden. Dies kann auf ein Problem mit der Microsoft-API selbst oder auf ein Problem in ServiceNowhinweisen. Wenden Sie sich für weitere Problembehandlungen an den Systemadministrator.
    Tabelle : 4. Vulnerability Detection Integration (Datenverarbeitung)
    Fehlermeldung Mögliche Ursache

    Eine Erkennung ohne Schwachstellen-ID kann nicht erstellt werden

    		 Für den Datensatz war keine Schwachstellen-ID vorhanden. Dies wird höchstwahrscheinlich durch ein Problem mit der Microsoft-API verursacht.