Datentransformation für die Tenable-Schwachstellenintegration
Nachdem Sie die zu importierenden Daten identifiziert haben, werden sie aus dem Tenable-Produkt abgerufen und über eine Reihe von Datenquellen und Transformationen in Ihrer Instanz verarbeitet.
Während der Installation werden normalisierte Schweregradzuordnungen im Modul „normalisierte Schweregradzuordnung“ installiert. Diese Zuordnungen transformieren importierte Tenable-Schweregrade in Standardschweregrade für die Verarbeitung in Ihrer Instanz. Informationen zum Erstellen von Schweregradzuordnungen finden Sie unter Zuordnung des Schweregrads der Schwachstellenantwort erstellen in Vulnerability ResponseDokumentation.
Tenable.io-Asset-Import
Importierte Asset-Daten werden zuerst in die Tabelle „Tenable.io-Asset-Import“ [sn_vul_tenable_io_asset_import] geladen.
Die Transformationszuordnung „Tenable.io Asset-Integration“ wird verwendet, um die importierten Asset-Informationen umzuwandeln. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Asset-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Tenable.io-Asset-Transformation .
In den folgenden Tabellen werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | source_id | Tenable stellt eine eindeutige ID für Assets bereit und ordnet dem erkannten Elementdatensatz zu und wird für die CI-Suche verwendet. |
| u_ipv4 | ip_address | Ordnet den ersten ip-Wert dem Feld „ip_address“ im erkannten Elementdatensatz zu. |
| u_mac_address | mac_address | Ordnet den ersten mac_address-Wert dem mac-Adressfeld im erkannten Elementdatensatz zu. |
| u_fqdns | fqdn | Ordnet den ersten fqdn-Wert dem fqdn-Feld im erkannten Elementdatensatz zu. |
| u_netbios_Namen | netbios | Ordnet den ersten netbios-Wert dem Feld netbios im erkannten Elementdatensatz zu. |
| u_Operating_Systems | os | Ordnet den ersten BS-Wert dem Feld „betriebssystem“ im erkannten Elementdatensatz zu. |
| (Vor V 14,0 Vulnerability ResponseUnd v2.2 der Tenable-Schwachstellenintegration) u_Last_Scan_time | Last_Scan_date | Ordnet das Feld Last_Scan_date im erkannten Elementdatensatz zu. |
| u_last_authenticated_scan_date | last_auth_scan_date | Ordnet dem Feld „last_auth_scan_date“ im erkannten Elementdatensatz zu. |
| [Skript] | name | Ordnet den Hostnamen mithilfe der Logik des Skripts zu. |
| u_tags | Die Tags werden in sn_sec_cmn_host_tag. gespeichert Die Zuordnung von Tags zu Assets wird in sn_sec_cmn_m2m_src_ci_tag. gespeichert |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden aufgeführt, wann jedes Skript ausgeführt wird, und sein Zweck.
Tenable.io Asset-Transformationsskript für Zeitplan und Zweck der Zuordnung
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in Import_Set für den Integrationsprozess zu initialisieren. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen wurde). | Eine Funktion, mit der Werte im Host aktualisiert und überprüft werden, ob der Host bereits vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Import_Set. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte neuer CIs und CIs festzulegen, die aktualisiert und ignoriert wurden. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
Tenable.io-Plugins-Integration
Die Transformationszuordnung Tenable.io-Plugins wird verwendet, um Plugins zu transformieren, die aus Tenable.io importiert wurden.
Hinweis:
Änderungen an dieser Transformationszuordnung ändern die Verarbeitung von Daten, die von den Tenable-Plugins empfangen werden.
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach der Tenable.io-Plugin-Transformation.
Die Nutzlast des Tenable.io-Plugins enthält alle Felder in der Spalte „u_attributes“ der sn_vul_tenable_io_plugin_import-Tabelle. Das Attributfeld wird analysiert und den Datensätzen der Drittpartei-Eintragstabelle zugeordnet, wie in der folgenden Tabelle aufgeführt.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| ID | ID | Ordnet die ID aus der Quelle zu und fügt ihr das Präfix TEN- hinzu. Wenn die empfangene ID beispielsweise 12345 lautet, lautet die ID in der Zieltabelle TEN-12345. |
| Beschreibung | Zusammenfassung | Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu. |
| [Skript] | Quelle | Die Quelle für importierte TPE ist Tenable.io. |
| [Skript] | Source_instance | Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert. |
| Familie | Kategorie | Ordnet die Familie des Plugins der Kategoriespalte zu |
| Plugin_Modification_date | Last_modified | Ordnet Plugin_modified_date dem Feld „zuletzt geändert“ zu. |
| Plugin_publication_date | date_published | Ordnet Plugin_publication_date dem Veröffentlichungsdatum zu. |
| Has_Patch | Remediation_type | Ordnet den Korrekturtyp aus dem Wert „has_Patch“ zu. |
| synopsis | Bedrohung | Ordnet die Bedrohungsinformationen zu dieser Schwachstelle zu. |
| cvss_Base__Score | Punktzahl | Ordnet die cvss-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu. |
| Lösung | Lösung | Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu. |
| Exploit_available | Exploit | Ordnet die vom Scanner bereitgestellte Exploit_available der Exploit-Spalte in der Drittpartei-Eintragstabelle zu |
| vpr.Punktzahl | Source_Risk_Score | Ordnet die vom Scanner bereitgestellte vpr-Punktzahl der Quelle_Risk_Score in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Source_Risk_Rating | Ordnet die vpr-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
|
| vpr.Driver.age_of_vuln | Age_of_vuln | Ordnet das Alter der Schwachstelle vom Scanner der Spalte „age_of_vuln“ in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.Exploit_Code_Reife | Exploit_Code_Reife | Ordnet Exploit-Code-Reife vom Scanner Exploit_Code_Reife in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.product_coverage | Product_Coverage | Ordnet die Produktabdeckung vom Scanner zu „Product_Coverage“ in der Drittpartei-Eintragstabelle zu. |
| vpr.Treiber.Threat_sources_last28 | Threat_sources | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner den Threat_sources in der Drittpartei-Tabelle zu. |
| vpr.Treiber.Threat_Intensity_last28 | Threat_Intensity | Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu „Threat_Intensity“ in der Drittpartei-Eintragstabelle zu. |
| vpr.Treiber.Threat_recency | Threat_recency | Ordnet die Bedrohungsaktualisierungsinformationen aus dem Scanner Threat_recency in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.cvss3_Impact_Score | V3_Impact_subscore | Ordnet die cvss3-Auswirkungsbewertung der Spalte v3_Impact_subscore in der Drittpartei-Eintragstabelle zu. |
| cvss_temporal_Score | cvss_temporal_Score | Ordnet die temporäre Punktzahl für CVSS v2 zu. |
| cvss_v3_temporal_score | V3_temporal_Punktzahl | Ordnet die temporäre Punktzahl für CVSS v3 zu. |
| risk_factor | Source_severity | Ordnet den Quellschweregrad in der Drittpartei-Eintragstabelle zu. |
| name | name | Ordnet den Namen des Plugins dem Namen in der Drittpartei-Eintragstabelle zu. |
| stig_severity | stig_severity | Ordnet die vom Scanner bereitgestellte vpr-Punktzahl der Quelle_Risk_Score in der Drittpartei-Eintragstabelle zu. |
| Plugin_type | Check_type | Ordnet den Plugin-Typ Check_type in der Drittpartei-Eintragstabelle zu. |
| Nicht supported_by_Vendor | Nicht supported_by_Vendor | Ordnet das Feld „nicht supported_by_Vendor“ der Spalte „nicht supported_by_Vendor“ zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „Exploit_Attack_Vector“ in der Drittpartei-Eintragstabelle wird basierend auf den Spalten „Exploit_available“ und „v3_Attack_Vector“ ausgefüllt. |
Zusätzlich zu den direkten Feldern werden Drittparteieinträgen weitere Informationen als zugehörige Listen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie in sn_vul_m2m_entry_cve. |
| bid | Die Liste der Fehlertraqs wird als Referenz hinzugefügt. |
| Siehe_auch | Die Liste der URLs wird als Referenz hinzugefügt. |
| xrefs | Die Liste der X-REF wird als Referenz hinzugefügt. |
| [Skript] | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für anwendbares Exploit-Framework und Plugin in sn_vul_m2m_framework_vul. ein |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden aufgeführt, wann jedes Skript ausgeführt wird, und sein Zweck.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in Import_Set für den Integrationsprozess zu initialisieren. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen wurde). | Eine Funktion, mit der die Werte im Drittparteieintrag aktualisiert und überprüft werden, ob der Drittparteieintrag bereits vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Drittparteieintrag. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte neuer CIs und CIs festzulegen, die aktualisiert und ignoriert wurden. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
Die Skripteinbindung „TenableIOPluginsImportProcessor“ wird vom onBefore-Transformationsskript aufgerufen. Es verwendet die Ausgabe aus der Integration von Tenable.io-Plugins und wandelt sie in um Now PlatformEinträge zu Schwachstellen von Drittparteien. Alle Änderungen an dieser Skripteinbindung können die Transformation von Tenable.io-Plugins-Daten in der Drittpartei-Eintragstabelle ändern.
Tenable.io-Schwachstellenimport
Die Transformationszuordnung für angreifbare Tenable.io-Elemente wird verwendet, um Informationen zu offenen und behobenen Schwachstellen zu transformieren, die aus Tenable.io importiert wurden.
Hinweis:
Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem Tenable-Schwachstellenimport verarbeitet werden.
Dieselbe Transformationszuordnung wird sowohl für die Tenable.io-Integration für behobene Schwachstellen als auch für die Tenable.io-Integration offener Schwachstellen verwendet. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Transformationszuordnung für angreifbares Tenable.io-Element .
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_Asset.uuID | ID | UUID wird dem ID-Feld des Datensatzes „cmdb_ci“ zugeordnet. |
| u_Asset.ipv4 | ip_address | Das Feld ipv4 wird dem ip-Adressfeld des Datensatzes „cmdb_ci“ zugeordnet. |
| u_Asset .Last_authenticated_results | last_auth_scan_date | Das Datum des letzten authentifizierten Scans wird dem Datum des letzten Authentifizierungsscans des Datensatzes „cmdb_ci“ zugeordnet. |
| u_Asset.mac_addess | mac_address | Mac-Adresse wird dem Host-mac-Adressfeld des Datensatzes „cmdb_ci“ zugeordnet. |
| u_asset.netbios_name | netbios | NetBIOS ist dem Feld netbios des Datensatzes „cmdb_ci“ zugeordnet. |
| u._plugin.cvss3_base_score | V3_Base_Score | Die CVSS v3-Basispunktzahl wird der v3-Basispunktzahl des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u._plugin.cvss3_temporal_score | V3_temporal_Punktzahl | Die temporäre CVSS v3-Punktzahl wird der temporären v3-Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u._plugin.cvss_base_score | Punktzahl | CVSS-Basispunktzahl wird dem Punktzahlfeld des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u._plugin.cvss_temporal_score | Temporal_Punktzahl | Die temporäre Punktzahl wird der temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_plugin.description | Zusammenfassung | Die Beschreibung wird dem Zusammenfassungsfeld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Plugin.family | Kategorie | Ordnet die Familie des Plugins der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu. |
| u_Plugin.Modification_date | Last_modified | Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Plugin.publication_date | date_published | Veröffentlichungsdatum wird dem Feld „Veröffentlichungsdatum“ des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_Plugin.Risk_factor | Source_severity | Der Risikofaktor wird dem Feld „Source_severity“ des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_Plugin.Lösung | Lösung | Die Lösung wird dem Lösungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_Plugin.Synopse | Bedrohung | Synopse wird dem Bedrohungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_Schweregrad_ID | Priorität | Priorität ist der Schweregrad-ID aus der Nutzlast zugeordnet. Der Standardwert ist 5. |
| u_Plugin.Exploit_available | Exploit | Ordnet die vom Scanner bereitgestellte Exploit_available der Exploit-Spalte in der Drittpartei-Eintragstabelle zu. |
| vpr.Punktzahl | Source_Risk_Score | Ordnet die vom Scanner bereitgestellte vpr-Punktzahl der Quelle_Risk_Score in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Source_Risk_Rating | Ordnet die vpr-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_Plugin.vpr.Driver.age_of_vuln | Age_of_vuln | Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.drivers.Exploit_Code_Reife | Exploit_Code_Reife | Ordnet Exploit-Code-Reife vom Scanner Exploit_Code_Reife in der Drittpartei-Eintragstabelle zu. |
| u_plugin.vpr.drivers.product_coverage | Product_Coverage | Ordnet die Produktabdeckung vom Scanner zu „Product_Coverage“ in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.Treiber.Threat_sources_last28 | Threat_sources | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner Threat_sources in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.Treiber.Threat_Intensity_last28 | Threat_Intensity | Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu „Threat_Intensity“ in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.Driver.Threat_recency | Threat_recency | Ordnet die Bedrohungsaktualisierungsinformationen vom Scanner Threat_recency in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.drivers.cvss3_Impact_Score | V3_Impact_subscore | Ordnet die CVSS3 v3-Auswirkungsbewertung der Spalte v3_Impact_subscore in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.type | Check_type | Ordnet den Plugin-Typ Check_type in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.nicht supported_by_Vendor | Nicht supported_by_Vendor | Ordnet das Feld „nicht supported_by_Vendor“ im Plugin der Spalte „nicht supported_by_Vendor“ zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „Exploit_Attack_Vector“ in der Drittpartei-Eintragstabelle wird basierend auf den Spalten „Exploit_available“ und „v3_Attack_Vector“ ausgefüllt. |
| u_Plugin.family_ID | Familien-ID | Ordnet die Plugin-Familien-ID der Spalte „family_ID“ in der Drittpartei-Eintragstabelle zu. |
| port | port | Port ist dem Portfeld des Datensatzes für angreifbare Elemente zugeordnet. |
| protocol | protocol | Protokoll wird dem Protokollfeld des Datensatzes für angreifbare Elemente zugeordnet. |
| u_first_found | first_found | „Zuerst gefunden“ wird dem Feld „zuerst gefunden“ des Datensatzes für angreifbare Elemente zugeordnet. |
| u_Last_found | Last_found | „Zuletzt gefunden“ wird dem Feld „zuletzt gefunden“ des Datensatzes für angreifbare Elemente zugeordnet. |
| u_state | Staat | Status wird dem Feld Status im Datensatz des angreifbaren Elements zugeordnet |
| [Skript] | Quelle | Die Quelle der Integration ist ausgefüllt. Die aus dieser Integration erstellten angreifbaren Elemente haben Tenable.io als Quelle. |
| [Skript] | Integration_instance | „Integration_instance“ ist der Name der Instanz, aus der das angreifbare Element importiert wird. |
| u_plugin.name | name | Ordnet den Namen des Plugins dem Namen in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.stig_severity | stig_severity | Ordnet den stig-Schweregrad des Plugins der Spalte „stig-Schweregrad“ in der Drittpartei-Eintragstabelle zu |
Zusätzlich zu den direkten Feldern werden Drittparteieinträgen weitere Informationen als zugehörige Listen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie in sn_vul_m2m_entry_cve. |
| bid | Die Liste der Fehlertraqs wird als Referenz hinzugefügt. |
| Siehe_auch | Die Liste der URLs wird als Referenz hinzugefügt. |
| xrefs | Die Liste der X-REF wird als Referenz hinzugefügt. |
| [Skript] | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für anwendbares Exploit-Framework und Plugin in sn_vul_m2m_framework_vul. ein |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden aufgeführt, wann jedes Skript ausgeführt wird, und sein Zweck.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation löst Tenable IOSchwachstellenProzessor aus, der Daten aus Tenable.io mithilfe des Importsatzes importiert und jeden Datensatz zur internen Verwendung in die CMDB-CI-Tabelle, die Tabelle „angreifbare Elemente“ und die Tabelle „Schwachstellen von Drittparteien“ lädt. Das Ändern oder Löschen wird nicht empfohlen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen wurde). | Eine Funktion zum Überprüfen, ob der Drittparteieintrag und die Erkennungen bereits vorhanden sind. Wenn nicht, werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Anzahl der CIs, VIS und Erkennungen wie aus Tenable.io importiert zu aktualisieren. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
Tenable.sc-Asset-Import
Asset-Daten, die aus Tenable.sc importiert wurden, werden zuerst in die Tenable.sc-Asset-Importtabelle (sn_vul_tenable_sc_asset_import) geladen. Die Transformationszuordnung Tenable.sc Asset-Integration wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Asset-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Tenable.sc Asset-Transformation .
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_uuid | ID | Die UUID wird nicht aus der Tenable-api ausgefüllt, daher wird das Attribut „u_Uniqueness“ verwendet, um ein eindeutiges UUID-Feld für Assets zu erstellen und es dem cmdb_ci-Datensatz zuzuordnen. |
| u_ip | ip_address | Ordnet das ip-Feld aus der API dem Feld „ip_address“ in einem cmdb_ci-Datensatz zu. |
| u_macaddress | mac_address | Ordnet das macaddress-Feld aus der API dem Adressfeld im cmdb_ci-Datensatz zu. |
| u_dnsname | fqdn | Ordnet das Feld „dnsname“ aus der API dem Feld „fqdn“ im Datensatz „cmdb_ci“ zu. |
| u_netbiosname | netbios | Ordnet das Feld „netbios“ aus der API dem Feld „netbios“ im Datensatz „cmdb_ci“ zu. |
| u_Oscpe | os | Die BS-Informationen werden aus dem Oszillosattribut in der Nutzlast extrahiert und dem Feld „betriebssystem“ im Datensatz „cmdb_ci“ zugeordnet. |
| u_lastauthrun | last_auth_scan_date | Ordnet das Feld „lastauthrun“ aus der API dem Feld „last_auth_scan_date“ im erkannten Elementdatensatz zu. |
| u_lastauthrun und u_lastunauthrun | Last_Scan_date | Der lastauthrun wird aus der Tenable-api oder lastunauthrun extrahiert. Je nachdem, welcher Wert in der Nutzlast angezeigt wird, wird das Feld Last_Scan_date im erkannten Elementdatensatz ausgefüllt. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden aufgeführt, wann jedes Skript ausgeführt wird, und sein Zweck.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in Import_Set für den Integrationsprozess zu initialisieren. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen wurde). | Funktion zum Aktualisieren der Werte im Host und zum Überprüfen, ob der Host bereits vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Import_Set. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte neuer CIs und CIs festzulegen, die aktualisiert und ignoriert wurden. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
Import von Tenable.sc-Plugins
Plugins-Daten, die aus Tenable.sc importiert wurden, werden zuerst in die Tabelle „Tenable.sc-Plugins-Import“ (sn_vul_tenable_sc_plugin_import) geladen. Die Tenable.sc-Plugin-Transformationszuordnung wird verwendet, um die importierten Plugin-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Import des Tenable-Plugins verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Tenable.sc-Plugin-Transformationszuordnung .
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | ID | Ordnet die ID aus der Quelle zu und fügt das Präfix TEN- hinzu. Wenn die empfangene ID beispielsweise 12345 lautet, lautet die ID in der Zieltabelle TEN-12345. |
| u_description | Zusammenfassung | Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu. |
| [Skript] | Quelle | Importierte TPE aus dieser Integration hat Tenable.sc als Quelle. |
| [Skript] | Source_instance | Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert. |
| u_Familie | Kategorie | Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte zu. |
| u_Plugin_Modification_date | Last_modified | Ordnet Plugin_modified_date dem Feld „zuletzt geändert“ zu. |
| u_Plugin_publication_date | date_published | Ordnet Plugin_publication_date dem Veröffentlichungsdatum zu. |
| u_has_Patch | Remediation_type | Ordnet den Korrekturtyp aus dem Wert „has_Patch“ zu. |
| u_Synopse | Bedrohung | Ordnet die Bedrohungsinformationen zu dieser Schwachstelle zu. |
| u_cvss_Base_Score | Punktzahl | Ordnet die CVSS-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu. |
| u_Solution | Lösung | Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu. |
| u_cvss_temporal_Score | cvss_temporal_Score | Ordnet die temporäre Punktzahl für CVSS v2 zu. |
| u_cvss_v3_temporal_score | V3_temporal_Punktzahl | Ordnet die temporäre Punktzahl für CVSS v3 zu. |
| u_Risk_factor | Quellenschweregrad | Ordnet den Quellschweregrad in der Drittpartei-Eintragstabelle zu. |
| u_cvss_v3_base_score | V3_Base_Score | Ordnet die CVSS-Basispunktzahl in der Drittpartei-Eintragstabelle zu. |
| u_Exploit_available | Exploit | Ordnet das vom Scanner bereitgestellte exploitAvailable der Exploit-Spalte in der Drittpartei-Eintragstabelle zu. |
| u_vpr_Punktzahl | Source_Risk_Score | Ordnet die VPR-Punktzahl vom Scanner der Quellrisikopunktzahl in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Source_Risk_Rating | Ordnet die vpr-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_vpr_context[ID=age_of_vuln] | Age_of_vuln | Ordnet das Alter der Schwachstelle aus dem Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=Exploit_Code_Reife] | Exploit_Code_Reife | Ordnet Exploit-Code-Reife vom Scanner Exploit_Code_Reife in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=Product_Coverage] | Product_Coverage | Ordnet die Produktabdeckung vom Scanner zu „Product_Coverage“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID="threat_sources_last_28] | Threat_sources | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner zu Threat_sources in der Drittpartei-Tabelle zu. |
| u_vpr_context[ID="threat_intensity_last_28] | Threat_Intensity | Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu „Threat_Intensity“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=”Threat_recency”] | Threat_recency | Ordnet die Bedrohungsaktualisierungsinformationen vom Scanner Threat_recency in der dritten Eintragstabelle zu. |
| u_vpr_context[ID=cvssV3_impactScore] | V3_Impact_subscore | Ordnet die CVSS v3-Auswirkungsbewertung vom Scanner v3_Impact_subscore in der Drittpartei-Eintragstabelle zu. |
| u_name | name | Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu. |
| u_stig_Schweregrad | stig_severity | Ordnet das Feld „stig_severity“ im Plugin „stig_severity“ in der Drittpartei-Eintragstabelle zu. |
| u_Check_type | Check_type | Ordnet den Prüftyp Check_type in der Drittpartei-Eintragstabelle zu. |
| u_family.ID | Familien-ID | Ordnet das Plugin „family_ID“ der „family_ID“ in der Drittpartei-Eintragstabelle zu. |
[Skript] |
Exploit_Attack_Vector |
Die Spalte „Exploit_Attack_Vector“ in der Drittpartei-Eintragstabelle wird basierend auf den Spalten „Exploit_available“ und „v3_Attack_Vector“ ausgefüllt. |
Zusätzlich zu den direkten Feldern werden Drittparteieinträgen weitere Informationen als zugehörige Listen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| u_cpe | Die Liste der CPEs wird als Referenz hinzugefügt. |
| u_See_auch | Die Liste der URLs wird als Referenz hinzugefügt. |
| u_Exploit_Frameworks | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für anwendbares Exploit-Framework und Plugin in sn_vul_m2m_framework_vul. ein |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden aufgeführt, wann jedes Skript ausgeführt wird, und sein Zweck.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in Import_Set für den Integrationsprozess zu initialisieren. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen wurde). | Funktion, die verwendet wird, um die Werte im Drittparteieintrag zu aktualisieren und zu überprüfen, ob der Drittparteieintrag bereits vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Drittparteieintrag. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte von erstellten und ignorierten Plugins festzulegen. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
Die Skripteinbindung „TenableSCPluginsImportProcessor“ wird aus dem onBefore-Transformationsskript aufgerufen. Es verwendet die Ausgabe aus der Plugin-Integration „Tenable.sc“ und wandelt sie in ServiceNow-Schwachstelleneinträge von Drittparteien um. Alle Änderungen an dieser Skripteinbindung können die Transfomation von Tenable.sc-Plugins-Daten in der Drittpartei-Eintragstabelle ändern.
Tenable.sc-Schwachstellenimport
Die Transformationszuordnung „Tenable.sc offene Schwachstellen“ wird verwendet, um importierte Daten aus der Integration „Tenable.sc offene Schwachstellen“ zu transformieren, und die Transformationszuordnung „Tenable.sc“ und „behobene Schwachstellen“ wird verwendet, um importierte Daten aus der Tenable.sc-Integration für behobene Schwachstellen umzuwandeln.
Hinweis:
Um auf die Transformationszuordnungen „Tenable.sc“ für offene und behobene Schwachstellen zuzugreifen, navigieren Sie zu an.Änderungen an diesen Transformationszuordnungen ändern, wie Daten aus dem Import von behobenen/offenen Tenable-Schwachstellen verarbeitet werden.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_pluginid | ID | Wird als Bezeichner für das Plugin verwendet. Dieses Feld ist der Plugin-ID im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_risikofaktor | Source_severity | Dieses Feld ist Source_severity im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Schweregrad | Priorität | Das Prioritätsfeld ist dem Schweregrad zugeordnet. Der Standardwert ist 5. |
| u_hasbeenminimiert | Staat | „Hasbeenmindert“ wird dem Statusfeld des Schwachstellendatensatzes zugeordnet. Für die Integration behobener Schwachstellen befinden sich alle VIS im Status „Geschlossen“. |
| u_ip | ip_address | IP-Adresse wird dem Host-ip-Feld der Tabelle „cmdb_ci“ zugeordnet. |
| u_Port | port | Port ist dem Portfeld des Datensatzes für angreifbare Elemente zugeordnet. |
| u_protocol | protocol | Das Protokoll wird dem Portfeld des Datensatzes des angreifbaren Elements zugeordnet. |
| u_firstSeen | first_found | Der erste erkannte Wert wird dem Feld „zuerst gefunden“ des VI-Datensatzes zugeordnet. |
| u_lastSeen | Last_found | Der zuletzt gesehene Wert wird dem Feld „zuletzt gefunden“ des VI-Datensatzes zugeordnet. |
| u_exploitAvailable | Exploit | ExploitAvailable wird dem Exploit-Feld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Synopse | Bedrohung | Synopse wird dem Bedrohungsfeld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_description | Zusammenfassung | Die Beschreibung wird dem Zusammenfassungsfeld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Solution | Lösung | Die Lösung wird dem Lösungsfeld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Basescore | Punktzahl | BaseScore wird dem Punktzahlfeld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_temporalScore | Temporal_Punktzahl | Die temporäre Punktzahl wird der temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_cvssv3basescore | V3_Base_Score | Cvssv3basescore wird der v3-Basispunktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_cvsstemporalPunktzahl | V3_temporal_Punktzahl | Die temporäre Cvssv3Punktzahl wird der temporären v3-Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_pluginpubdate | date_published | Das Veröffentlichungsdatum des Plugins wird dem Veröffentlichungsdatum des Plugins im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_pluginmoddate | Last_modified | Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_dnsname | fqdn | DN-Name wird dem FQDN-Feld des Datensatzes „cmdb_ci“ zugeordnet. |
| u_macaddress | mac_address | „MacAddress“ ist dem Feld „mac_address“ des Datensatzes „cmdb_ci“ zugeordnet. |
| u_netbiosName | netbios | NetbiosName wird dem Feld „NETBIOS“ des Datensatzes „cmdb_ci“ zugeordnet. |
| u_ip | ip | IP ist dem IP-Feld des Datensatzes „cmdb_ci“ zugeordnet. |
| hostUniqueness | uuid | Die Hosteindeutigkeit ist keinem Feld zugeordnet, wird jedoch verwendet, um die UUID für den Host zu bestimmen. |
| u_Familie | Kategorie | Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu. |
| u_plugintext | Nachweis | Plugin-Text wird dem Nachweis im tpe-Datensatz zugeordnet. |
| [Skript] | Quelle | Die Quelle der Integration ist ausgefüllt. Die aus dieser Integration erstellten angreifbaren Elemente haben Tenable.sc als Quelle. |
| [Skript} | Integration_instance | „Integration_instance“ ist der Name der Instanz, aus der das angreifbare Element importiert wird. |
| u_vpr_Punktzahl | Source_Risk_Score | Ordnet die VPR-Punktzahl vom Scanner der Quellrisikopunktzahl in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Source_Risk_Rating | Ordnet die vpr-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_vpr_context[ID=age_of_vuln] | Age_of_vuln | Ordnet das Alter der Schwachstelle aus dem Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=Exploit_Code_Reife] | Exploit_Code_Reife | Ordnet Exploit-Code-Reife vom Scanner Exploit_Code_Reife in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=Product_Coverage] | Product_Coverage | Ordnet die Produktabdeckung von ihrem Scanner zu „Product_Coverage“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID="threat_sources_last_28] | Threat_sources | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner Threat_sources in der Drittpartei-Tabelle zu. |
| u_vpr_context[ID="threat_intensity_last_28] | Threat_Intensity | Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu „Threat_Intensity“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=”Threat_recency”] | Threat_recency | Ordnet die Bedrohungsaktualisierungsinformationen vom Scanner Threat_recency in der dritten Eintragstabelle zu. |
| u_vpr_context[ID=cvssV3_impactScore] | V3_Impact_subscore | Ordnet die CVSS v3-Auswirkungsbewertung vom Scanner v3_Impact_subscore in der Drittpartei-Eintragstabelle zu. |
| u_pluginname | name | Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu. |
| u_stigseverity | stig_severity | Ordnet das Feld „stig_severity“ im Plugin „stig_severity“ in der Drittpartei-Eintragstabelle zu. |
| u_checktype | Check_type | Ordnet den Prüftyp Check_type in der Drittpartei-Eintragstabelle zu. |
| u_family.ID | Familien-ID | Ordnet das Plugin „family.ID“ der „family_ID“ in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „Exploit_Attack_Vector“ in der Tabelle „third_Party_entry“ wird basierend auf den Spalten „Exploit_available“ und „v3_Attack_Vector“ ausgefüllt. |
| Quellenfeld | Beschreibung |
|---|---|
| u_cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung wurde in sn_vul_m2m_entry_cve. gefunden |
| u_Bid | Die Liste der Fehlertraqs wird als Referenz hinzugefügt. |
| u_cpe | Die Liste der CPEs wird als Referenz hinzugefügt. |
| u_seeauch | Die Liste der URLs wird als Referenz hinzugefügt. |
| u_xref | Die Liste der X-Referenzen wird als Referenz hinzugefügt. |
| u_exploitFrameworks | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für anwendbares Exploit-Framework und Plugin in sn_vul_m2m_framework_vul. ein |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden aufgeführt, wann jedes Skript ausgeführt wird, und sein Zweck.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in Import_Set für den Integrationsprozess zu initialisieren. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen wurde). | Funktion, die verwendet wird, um die Werte in der Schwachstelle zu aktualisieren und zu überprüfen, ob die Schwachstelle bereits vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einer Tabelle für angreifbare Elemente. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte neuer erstellter VIS und VIS festzulegen, die aktualisiert und ignoriert wurden. Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |