Datentransformation für die Microsoft Threat and Vulnerability Management Vulnerability Integration

  • Freigeben Version: Zurich
  • Aktualisiert 5. September 2025
  • 8 Minuten Lesedauer

    • Nachdem Sie die Daten identifiziert haben, die Sie importieren möchten, werden die Daten aus dem abgerufen ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM)-Anwendung, die über eine Reihe von Datenquellen verarbeitet und in Ihrer Instanz umgewandelt wurde.

    Während der Installation werden normalisierte Schweregradzuordnungen im Modul „normalisierte Schweregradzuordnung“ installiert. Diese Zuordnungstransformation importiert Microsoft Schweregradstufen von Drittpartei-Schwachstellen auf Standardschweregrade für die Verarbeitung in Ihrer Instanz. Informationen zum Erstellen von Schweregradzuordnungen finden Sie unter Erstellen Sie einen Vulnerability Response Schweregradzuordnung.

    Ms TVM-Computer-Import

    Die Daten von den importierten Computern werden zuerst in die Tabelle „MS TVM-Computer-Import“ [sn_vul_msft_tvm_Machines_Import] geladen.

    Die MS TVM-Computer-Transformation wird verwendet, um die Informationen zu importierten Computern zu transformieren.
    Hinweis:
    Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem MS TVM-Computer-Import verarbeitet werden.
    Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen Und suchen Sie nach Microsoft TVM-Computer-Transformation .

    In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.

    Tabelle : 1. Ms TVM-Computer transformieren Zuordnungsfelder
    Quellenfeld Zielfeld Beschreibung
    u_id source_id Eindeutige ID für Assets. Diese ID ist der Source_ID des erkannten Elementdatensatzes zugeordnet.
    u_ipaddresses.macAddress mac_address MAC-Adresse, die von der API dem Host-mac-Adressfeld des cmdb_ci-Datensatzes zugeordnet ist.
    u_ipaddresses.ipAddress ip_address IP-Adressfeld, das dem IP-Adressfeld des cmdb_ci-Datensatzes zugeordnet ist.
    u_lastseen Last_Scan_date Feld, das dem Feld Last_Scan_date im erkannten Elementdatensatz zugeordnet ist.
    u_machinetags Tags, die in sn_sec_cmn_Host_Tag gespeichert werden. Die Zuordnung von Tags zu Assets wird in sn_sec_cmn_m2m_src_ci_Tag gespeichert.
    u_osplatform os Feld, das dem bs-Feld im cmdb_ci-Datensatz zugeordnet ist.
    u_computerdnsName fqdn Feld, das das dnsname-Feld aus der API dem fqdn-Feld im cmdb_ci-Datensatz zuordnet.

    Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.

    Ms TVM-Computer transformieren die Zeitplanung und den Zweck des Zuordnungsskripts

    Wenn das Skript ausgeführt wird Zweck
    OnStart (wenn die Transformation eines Importsatzes gestartet wurde). Skript, das zum Initialisieren der Werte in der Bereichsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.
    OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Skript, das verwendet wird, um Werte im Host zu aktualisieren und zu überprüfen, ob der Host vorhanden ist. Basierend auf den Ergebnissen ändert dieses Skript die Werte in der Bereichsvariablen (sn_vul_msft_tvm). Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.
    OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Skript, das zum Festlegen der Anzahl der erstellten, aktualisierten und ignorierten CIs verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.

    Die Skripteinbindung MicrosoftTVMMachinesProcessor wird aus dem onBefore-Transformationsskript aufgerufen. Es übernimmt die Ausgabe aus der Integration der Microsoft TVM-Computer und wandelt sie in ein CI um. Alle Änderungen an dieser Skripteinbindung können die Transformation der Daten der Microsoft TVM-Computer in der CI- und erkannten Elementtabelle ändern.

    Integration von MS TVM-Schwachstellen

    Die importierten Schwachstellendaten werden zuerst in die Tabelle Microsoft TVM CVE (Schwachstellen) Import [sn_vul_msft_tvm_Vulnerabilities_Import] geladen.
    Hinweis:
    Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem MS TVM-Schwachstellenimport verarbeitet werden.
    Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen Und suchen Sie nach Microsoft TVM-Schwachstellen – Transformation .

    In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.

    Tabelle : 2. Microsoft TVM-Schwachstellen transformieren Zuordnungsfelder
    Quellenfeld Zielfeld Beschreibung
    u_id id Ordnet der ID-Spalte des Datensatzes „sn_vul_entry“ zu.
    u_severity Source_severity Ordnet das Feld Schweregrad dem Schweregrad zu. Der Standardwert ist 5.
    u_publishedon date_published Ordnet das Feld u_publishedon dem Veröffentlichungsdatum zu.
    u_publicexploit Public_Exploit Ordnet das vom Scanner bereitgestellte u_publicexploit der Spalte „öffentlicher Exploit“ in der Tabelle „Schwachstelleneintrag“ zu.
    u_cvssv3 V3_Base_Score Ordnet die cvssv3-Punktzahl der v3-Basispunktzahl im Schwachstelleneintragsdatensatz zu.
    u_description Zusammenfassung Ordnet die Beschreibung dem Zusammenfassungsfeld im Schwachstelleneintragsdatensatz zu.
    u_exploitinkit malware_kit Ordnet das Feld u_exploitinkit dem Malware-Kit in der Exploit-Tabelle zu.
    u_exploittypes type Ordnet den Exploit-Typ dem Typ in der Exploit-Tabelle zu.
    u_exploitverifiziert Ist_Exploit_verifiziert Ordnet das Feld u_exploitverifiziert dem verifizierten Exploit in der Exploit-Tabelle zu.
    u_exploituris Exploit_Links Ordnet das Feld u_exploituris den Exploit-Links in der Exploit-Tabelle zu.

    Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.

    Wenn das Skript ausgeführt wird Zweck
    OnStart (wenn die Transformation eines Importsatzes gestartet wurde). Skript, das zum Initialisieren der Werte in der Bereichsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.
    OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Skript, das zum Erstellen oder Aktualisieren der Werte in der NVD- oder der Drittpartei-Eintragstabelle verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.
    OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Skript, das zum Festlegen der Werte der neu erstellten Elemente und der Elemente verwendet wird, die aktualisiert und ignoriert wurden. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.

    Import von ms TVM-Empfehlungen

    Die importierten Empfehlungsdaten werden zuerst in die Tabelle „MS TVM-Empfehlungsimport“ [sn_vul_msft_tvm_Recom_Import] geladen.
    Hinweis:
    Änderungen an dieser Transformationszuordnung ändern, wie die Daten aus dem Import von MS TVM-Empfehlungen verarbeitet werden.
    Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen Und suchen Sie nach Ms TVM-Empfehlungstransformation .

    In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.

    Tabelle : 3. Ms TVM-Empfehlung – Transformationszuordnungsfelder
    Quellenfeld Zielfeld Beschreibung
    u_RecommendedVendor Recommended_Vendor Ordnet das Feld u_empfehlendVendor der Spalte Lieferant zu.
    u_Schwachstellen Schwachstellen Ordnet das Feld u_schwachstellen der Spalte Schwachstellen zu.
    u_exposedMachinescount src_exponiert_Machines_cnt Ordnet das Feld u_exposedmachinescount der Spalte „Anzahl der gefährdeten Computer“ zu.
    u_status status Ordnet den Status dem Feld Status im Empfehlungsdatensatz zu.
    u_productname product_name Ordnet das Feld u_productname dem Produktnamen im Empfehlungsdatensatz zu.
    u_nonproductiv_impactedAssets Non_prod_Impact_Assets Ordnet das Feld u_nonproductiv_impactedAssets der Spalte Betroffene Assets im Empfehlungsdatensatz zu.
    u_activeAlert Active_Alert Ordnet das Feld u_activeAlert der Spalte aktive Warnung im Empfehlungsdatensatz zu.
    u_RecommendedVersion Recommended_Version Ordnet das Feld „u_ommendedversion“ der Spalte „empfohlene Version“ im Empfehlungsdatensatz zu.
    u_totalmachinecount Total_MACHINE_count Ordnet das Feld u_totalmachinecount der Spalte Gesamtanzahl der Computer im Empfehlungsdatensatz zu.
    u_Exposureimpact Exposure_Impact Ordnet das Feld u_exposure-eimpact der Spalte „Risikoauswirkung“ im Empfehlungsdatensatz zu.
    u_Recommendationname Empfehlungsname Ordnet das Feld u_Recommendationname der Spalte Empfehlungsname im Empfehlungsdatensatz zu.
    u_Unterkategorie Unterkategorie Ordnet das Feld u_subcategory der Spalte Unterkategorie im Empfehlungsdatensatz zu.
    u_id source_id Ordnet die Empfehlungs-ID aus MS TVM der Spalte „Quell-ID“ zu.
    u_remediationtype Remediation_type Ordnet das Feld u_remediationtype der Spalte „Korrekturtyp“ im Empfehlungsdatensatz zu.
    u_relatedcomponent Related_component Ordnet das Feld „u_relatedcomponent“ der Spalte „zugehörige Komponente“ im Empfehlungsdatensatz zu.
    u_Recommendedprogram Recommended_program Ordnet das Feld u_recommended dprogram der Spalte „Empfohlenes Programm“ im Empfehlungsdatensatz zu.
    u_Recommendationcategory Recommendation_category Ordnet das Feld u_Recommendationcategory der Spalte Empfehlungskategorie im Empfehlungsdatensatz zu.
    u_publicexploit Public_Exploit Ordnet das Feld u_publicexploit der Spalte „Public Exploit“ im Empfehlungsdatensatz zu.
    u_vendor Lieferant Ordnet das Feld u_Vendor der Spalte Lieferant im Empfehlungsdatensatz zu.
    [Skript] Integration_instance Name der Instanz, aus der die Empfehlung importiert wird.
    [Skript] sys_domain Domäne, in die dieser Datensatz importiert wird.

    Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.

    Tabelle : 4. Zuordnungsskript für ms TVM-Empfehlung umwandeln
    Wenn das Skript ausgeführt wird Zweck
    OnStart (wenn die Transformation eines Importsatzes gestartet wurde). Skript, das zum Initialisieren der Werte in der Bereichsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.
    OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Skript, das verwendet wird, um Werte in den Empfehlungen zu aktualisieren und zu überprüfen, ob die Empfehlungen vorhanden sind. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.
    OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Skript, das zum Festlegen der Werte von Elementen verwendet wird, die erstellt, aktualisiert und ignoriert wurden. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.

    Import von MS TVM-Computer-Schwachstellen

    Die Transformationszuordnung für Schwachstellen auf MS TVM-Computern wird verwendet, um Informationen zu offenen und behobenen Schwachstellen zu transformieren, die aus MS TVM importiert werden.
    Hinweis:
    Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem MS TVM-Computer-Schwachstellenimport verarbeitet werden.
    Um auf die Transformationszuordnungen „offene und behobene Schwachstellen“ von MS TVM zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen Und suchen Sie nach Ms TVM-Computer-Schwachstellen – Transformation .

    In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.

    Tabelle : 5. Ms TVM-Computer-Schwachstellen transformieren Zuordnungsfelder
    Quellenfeld Zielfeld Beschreibung
    u_id Erkennungsschlüssel Ordnet das Feld u_ID der Spalte Erkennungsschlüssel in der Erkennungstabelle zu.
    u_diskpfade Nachweis Ordnet das Feld u_diskpaths der Nachweisspalte in der Erkennungstabelle zu.
    u_Registrypaths Nachweis Ordnet das Feld u_registrypaths der Nachweisspalte in der Erkennungstabelle zu.
    u_Recommendedsecurityupdateid Preferred_Solution Ordnet das Feld u_ommendedsecurityupdateid der Spalte bevorzugte Lösung in der Tabelle „angreifbare Elemente“ zu, wenn die Lösung mit derselben ID in der Tabelle „sn_vul_Solution“ vorhanden ist.
    u_Recommendationreference Empfehlung Ordnet das Feld u_Recommendationreference der Spalte Empfehlung in der Tabelle für angreifbare Elemente zu.
    u_cveid Schwachstelle Ordnet das Feld u_cveid der Spalte Schwachstelle in der Tabelle „angreifbare Elemente“ zu.
    u_status Source_Status Ordnet das Feld u_Status der Spalte Quellstatus in der Erkennungstabelle zu.
    u_eventtimestamp Temporal_Punktzahl Ordnet das Feld „u_eventtimestamp“ der Spalte „zuletzt gefunden“ in der Tabelle „angreifbare Elemente“ zu.
    u_lastseentimestamp last_seen Ordnet das Feld „u_lastseentimestamp“ der Spalte „zuletzt gesehen“ in der Tabelle „angreifbare Elemente“ zu.
    u_firstseentimestamp first_seen Ordnet das Feld u_firstseentimestamp der ersten Spalte in der Tabelle „angreifbare Elemente“ zu.
    u_RecommendedsecurityUpdate Solution_Summary Ordnet das Feld u_ommendedsecurityUpdate der Spalte „Lösungszusammenfassung“ in der Tabelle „angreifbare Elemente“ zu.
    u_Recommendedsecurityupdateurl Solution_Summary Ordnet das Feld u_ommendedsecurityupdateurl der Lösungszusammenfassungsspalte in der Tabelle „angreifbare Elemente“ zu.

    Die folgenden Transformationsskripts werden während des Transformationsprozesses ausgeführt.

    Wenn das Skript ausgeführt wird Zweck
    OnStart (wenn die Transformation eines Importsatzes gestartet wurde). Skript, das zum Initialisieren der Werte in der Bereichsvariablen (sn_vul_msft_tvm) für den Integrationsprozess verwendet wird. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.
    OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). Skript, das verwendet wird, um zu überprüfen, ob der Schwachstelleneintrag und die Erkennungen vorhanden sind. Wenn nicht, werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.
    OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). Skript, das zum Aktualisieren der Anzahl der VIS und Erkennungen verwendet wird, wie aus MS TVM importiert. Dieses Skript ist zur internen Verwendung vorgesehen und darf nicht geändert oder gelöscht werden.