Datentransformation für die Tenable-Schwachstellenintegration
Nachdem Sie die zu importierenden Daten identifiziert haben, werden sie aus dem Tenable-Produkt abgerufen und über eine Reihe von Datenquellen und Transformationen in Ihrer Instanz verarbeitet.
Während der Installation werden normalisierte Schweregradzuordnungen im Modul „normalisierte Schweregradzuordnung“ installiert. Diese Zuordnungen transformieren importierte Tenable-Schweregrade in Standardschweregrade zur Verarbeitung in Ihrer Instanz. Informationen zum Erstellen von Schweregradzuordnungen finden Sie unter Zuordnung des Schweregrads von Vulnerability Response erstellen in Vulnerability Response Dokumentation.
Tenable.io-Asset-Import
Importierte Asset-Daten werden zuerst in die Tabelle „Tenable.io-Asset-Import“ [sn_vul_Tenable_io_Asset_Import] geladen.
Die Transformationszuordnung Tenable.io Asset Integration wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Import von Tenable-Assets verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Tenable.io-Asset-Transformation .
In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | source_id | Tenable stellt eine eindeutige ID für Assets bereit und ordnet dem erkannten Elementdatensatz zu und wird für die CI-Suche verwendet. |
| u_ipv4s | ip_address | Ordnet den ersten ip-Wert dem Feld ip_address im erkannten Elementdatensatz zu. |
| u_mac_address | mac_address | Ordnet den ersten mac_address-Wert dem mac-Adressfeld im erkannten Elementdatensatz zu. |
| u_fqdns | fqdn | Ordnet den ersten fqdn-Wert dem fqdn-Feld im erkannten Elementdatensatz zu. |
| u_netbios_names | netbios | Ordnet den ersten netbios-Wert dem Feld netbios im erkannten Elementdatensatz zu. |
| u_Operating_Systems | os | Ordnet den ersten BS-Wert dem Feld „betriebssystem“ im erkannten Elementdatensatz zu. |
| (Vor v14.0 Vulnerability Response Und v2.2 der Tenable-Schwachstellenintegration) u_Last_Scan_time | Last_Scan_date | Ordnet das Feld Last_Scan_date im erkannten Elementdatensatz zu. |
| u_Last_authenticated_Scan_date | Last_auth_Scan_date | Ordnet das Feld Last_auth_Scan_date im erkannten Elementdatensatz zu. |
| [Skript] | name | Ordnet den Hostnamen anhand der Logik des Skripts zu. |
| u_tags | Die Tags werden in sn_sec_cmn_Host_Tag gespeichert. Die Zuordnung von Tags zu Assets wird in sn_sec_cmn_m2m_src_ci_Tag gespeichert. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
Tenable.io Asset-Transformationsskript für Zeitplan und Zweck der Zuordnung
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Initialisiert die Werte in Import_Set für den Integrationsprozess. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Aktualisiert Werte im Host und überprüft, ob der Host vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Import_Set. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Legt die Werte von neu erstellten CIs und von CIs fest, die aktualisiert und ignoriert wurden.dieses Skript ist für die interne Verwendung vorgesehen, und das Ändern oder Löschen dieser CIs wird nicht empfohlen. |
Tenable.io-Plugins-Integration
Die Transformationszuordnung Tenable.io-Plugins wird verwendet, um Plugins zu transformieren, die aus Tenable.io importiert wurden.
Hinweis:
Änderungen an dieser Transformationszuordnung ändern die Verarbeitung von Daten, die von den Tenable-Plugins empfangen werden.
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach der Tenable.io-Plugin-Transformation.
Die Nutzlast des Tenable.io-Plugins enthält alle Felder in der Spalte u_attributes der Tabelle „sn_vul_Tenable_io_Plugin_Import“. Das Attributfeld wird analysiert und den Datensätzen der Drittpartei-Eintragstabelle zugeordnet, wie in der folgenden Tabelle aufgeführt.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| id | id | Ordnet die ID aus der Quelle zu und fügt ihr das TEN-Präfix hinzu. Wenn die empfangene ID beispielsweise 12345 lautet, lautet die ID in der Zieltabelle TEN-12345. |
| Beschreibung | Zusammenfassung | Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu. |
| [Skript] | Quelle | Die Quelle für den importierten Drittparteieintrag (TPE) ist Tenable.io. |
| [Skript] | Source_instance | Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert. |
| Familie | Kategorie | Ordnet die Familie des Plugins der Kategoriespalte zu |
| Plugin_Modification_date | Last_modified | Ordnet Plugin_modify_date dem Feld „zuletzt geändert“ zu. |
| Plugin_publication_date | date_published | Ordnet Plugin_publication_date dem Veröffentlichungsdatum zu. |
| Has_Patch | Remediation_type | Ordnet den Korrekturtyp aus dem Wert „has_Patch“ zu. |
| synopsis | Bedrohung | Ordnet die Bedrohungsinformationen zu dieser Schwachstelle zu. |
| cvss_Base__Score | Punktzahl | Ordnet die Basispunktzahl des Common Vulnerability Scoring System (CVSS) der Punktzahlspalte in der Drittpartei-Eintragstabelle zu. |
| Lösung | Lösung | Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu. |
| Exploit_available | Exploit | Ordnet die vom Scanner bereitgestellte Exploit_available der Exploit-Spalte in der Drittpartei-Eintragstabelle zu. |
| vpr.Punktzahl | Source_Risk_Score | Ordnet die vom Scanner bereitgestellte vpr-Punktzahl der Tabelle „Source_Risk_Score“ in der Drittpartei-Eintragsdatei zu. |
| [Skript] | Source_Risk_Rating | Ordnet die vpr-Punktzahl der Standard-Risikobewertung basierend auf den Punktzahlbereichen zu:
|
| vpr.Driver.age_of_vuln | Age_of_vuln | Ordnet das Alter der Schwachstelle vom Scanner der Spalte „age_of_vuln“ in der Tabelle „Drittpartei-Eintrag“ zu. |
| vpr.drivers.Exploit_Code_Reife | Exploit_Code_Reife | Ordnet die Exploit-Code-Reife vom Scanner Exploit_Code_Reife in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.product_coverage | Product_Coverage | Ordnet die Produktabdeckung vom Scanner zu „Product_Coverage“ in der Drittpartei-Eintragstabelle zu. |
| vpr.Treiber.Threat_sources_last28 | Threat_sources | Ordnet Bedrohungsquellen der letzten 28 Tage vom Scanner den Threat_sources in der Drittpartei-Tabelle zu. |
| vpr.Treiber.Threat_Intensity_last28 | Threat_Intensity | Ordnet die Bedrohungsintensität in den letzten 28 Tagen aus dem Scanner Threat_Intensity in der Drittpartei-Eintragstabelle zu. |
| vpr.Treiber.Threat_recency | Threat_recency | Ordnet die Bedrohungsaktualisierungsinformationen aus dem Scanner Threat_recency in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.cvss3_Impact_Score | V3_Impact_subscore | Ordnet die cvss3-Auswirkungspunktzahl der Spalte v3_impact_subscore in der Drittpartei-Eintragstabelle zu. |
| cvss_temporal_Punktzahl | cvss_temporal_Punktzahl | Ordnet die temporäre Punktzahl für CVSS v2 zu. |
| cvss_v3_temporal_Score | V3_temporal_Punktzahl | Ordnet die temporäre Punktzahl für CVSS v3 zu. |
| risk_factor | Source_severity | Wird dem Quellschweregrad in der Drittpartei-Eintragstabelle zugeordnet. |
| name | name | Ordnet den Namen des Plugins dem Namen in der Drittpartei-Eintragstabelle zu. |
| stig_severity | stig_severity | Ordnet die vom Scanner bereitgestellte vpr-Punktzahl der Quelle_Risk_Score in der Tabelle „Drittpartei-Eintrag“ zu. |
| Plugin_type | Check_type | Ordnet den Plugin-Typ Check_type in der Drittpartei-Eintragstabelle zu. |
| Nicht supported_by_Vendor | Nicht supported_by_Vendor | Ordnet das Feld nicht supported_by_Vendor der Spalte nicht supported_by_Vendor zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „Exploit_Attack_Vector“ in der Drittpartei-Eintragstabelle wird basierend auf den Spalten „Exploit_available“ und „v3_Attack_Vector“ der ausgefüllt. |
Zusätzlich zu den direkten Feldern werden anderen Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dieselben Common Vulnerabilities and Exposures (CVE) in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden werden, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie in sn_vul_m2m_entry_cve. |
| bid | Die Liste der Fehlertraqs wird als Referenz hinzugefügt. |
| Siehe_auch | Die Liste der URLs wird als Referenz hinzugefügt. |
| xrefs | Die Liste der X-REF wird als Referenz hinzugefügt. |
| [Skript] | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das anwendbare Exploit-Framework und Plugin in sn_vul_m2m_Framework_vul ein. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Initialisiert die Werte in Import_Set für den Integrationsprozess. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Aktualisiert die Werte im Drittparteieintrag und überprüft, ob der Drittparteieintrag vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Drittparteieintrag. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Legt die Werte der neu erstellten CIs und der CIs fest, die aktualisiert und ignoriert wurden. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
Die Skripteinbindung TenableIOPluginsImportProcessor wird aus dem onBefore-Transformationsskript aufgerufen. Es verwendet die Ausgabe der Integration von Tenable.io-Plugins und wandelt sie in um ServiceNow AI Platform Einträge zu Schwachstellen von Drittparteien. Alle Änderungen an dieser Skripteinbindung können die Transformation von Tenable.io-Plugins-Daten in der Drittpartei-Eintragstabelle ändern.
Import von Tenable.io-Schwachstellen
Die Transformationszuordnung Tenable.io für angreifbare Elemente wird verwendet, um Informationen zu offenen und behobenen Schwachstellen zu transformieren, die aus Tenable.io importiert wurden.
Hinweis:
Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem Import von Tenable-Schwachstellen verarbeitet werden.
Dieselbe Transformationszuordnung wird sowohl für die Tenable.io-Integration von behobenen Schwachstellen als auch für die Tenable.io-Integration offener Schwachstellen verwendet. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Transformationszuordnung für angreifbares Tenable.io-Element .
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_Asset.uuID | id | UUID wird dem ID-Feld des cmdb_ci-Datensatzes zugeordnet. |
| u_Asset.ipv4 | ip_address | Das Feld ipv4 wird dem ip-Adressfeld des cmdb_ci-Datensatzes zugeordnet. |
| u_Asset.Last_authenticated_results | Last_auth_Scan_date | Das Datum des letzten authentifizierten Scans wird dem Datum des letzten Authentifizierungsscans des cmdb_ci-Datensatzes zugeordnet. |
| u_Asset.mac_addess | mac_address | Die Mac-Adresse wird dem Feld „Host-mac-Adresse“ des cmdb_ci-Datensatzes zugeordnet. |
| u_asset.netbios_name | netbios | NetBIOS wird dem Feld netbios des Datensatzes „cmdb_ci“ zugeordnet. |
| u._Plugin.cvss3_Base_score | V3_Base_Score | Die CVSS v3-Basispunktzahl wird der v3-Basispunktzahl des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u._Plugin.cvss3_temporal_Score | V3_temporal_Punktzahl | Die temporäre CVSS v3-Punktzahl wird der temporären v3-Punktzahl im Drittparteieintragsdatensatz zugeordnet. |
| u._Plugin.cvss_Base_Score | Punktzahl | CVSS-Basispunktzahl wird dem Punktzahlfeld des Drittparteieintragsdatensatzes zugeordnet. |
| u._Plugin.cvss_temporal_Score | Temporal_Punktzahl |
Die temporäre Punktzahl wird der temporären Punktzahl im Drittparteieintragsdatensatz zugeordnet. |
| u_plugin.description | Zusammenfassung | Die Beschreibung wird dem Zusammenfassungsfeld im Drittparteieintragsdatensatz zugeordnet. |
| u_Plugin.family | Kategorie | Ordnet die Familie des Plugins der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu. |
| u_Plugin.Modification_date | Last_modified | Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Plugin.publication_date | date_published | Das Veröffentlichungsdatum wird dem Feld Veröffentlichungsdatum des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_Plugin.Risk_factor | Source_severity | Der Risikofaktor wird dem Feld „Source_severity“ des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_Plugin.Lösung | Lösung | Die Lösung wird dem Lösungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_Plugin.Synopse | Bedrohung | Die Synopse wird dem Bedrohungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_Schweregrad_ID | Priorität | Priorität wird der Schweregrad-ID aus der Nutzlast zugeordnet. Der Standardwert ist 5. |
| u_Plugin.Exploit_available | Exploit | Ordnet die vom Scanner bereitgestellte Exploit_available der Exploit-Spalte in der Drittpartei-Eintragstabelle zu. |
| vpr.Punktzahl | Source_Risk_Score | Ordnet die vom Scanner bereitgestellte vpr-Punktzahl der Quelle_Risk_Score in der Tabelle „Drittpartei-Eintrag“ zu. |
| [Skript] | Source_Risk_Rating | Ordnet die vpr-Punktzahl der Standard-Risikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_Plugin.vpr.drivers.age_of_vuln | Age_of_vuln | Ordnet das Alter der Schwachstelle aus dem Scanner Age_of_vuln in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.drivers.Exploit_Code_Reife | Exploit_Code_Reife | Ordnet die Exploit-Code-Reife vom Scanner Exploit_Code_Reife in der Drittpartei-Eintragstabelle zu. |
| u_plugin.vpr.drivers.product_coverage | Product_Coverage | Ordnet die Produktabdeckung vom Scanner zu „Product_Coverage“ in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.Treiber.Threat_sources_last28 | Threat_sources | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner Threat_sources in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.Treiber.Threat_Intensity_last28 | Threat_Intensity | Ordnet die Bedrohungsintensität in den letzten 28 Tagen aus dem Scanner Threat_Intensity in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.Driver.Threat_recency | Threat_recency | Ordnet die Bedrohungsaktualisierungsinformationen aus dem Scanner Threat_recency in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.vpr.drivers.cvss3_Impact_Score | V3_Impact_subscore | Ordnet die CVSS3 v3-Auswirkungspunktzahl der Spalte v3_Impact_subscore in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.type | Check_type | Ordnet den Plugin-Typ Check_type in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.Unsupported_by_Vendor | Nicht supported_by_Vendor | Ordnet das Feld nicht supported_by_Vendor im Plugin der Spalte nicht supported_by_Vendor zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „Exploit_Attack_Vector“ in der Drittpartei-Eintragstabelle wird basierend auf den Spalten „Exploit_available“ und „v3_Attack_Vector“ der ausgefüllt. |
| u_Plugin.Family_ID | Family_ID | Ordnet die Plugin-Familien-ID der Spalte „Family_ID“ in der Tabelle „Drittpartei-Eintrag“ zu. |
| port | port | Port wird dem Portfeld des Datensatzes des angreifbaren Elements zugeordnet. |
| protocol | protocol | Protokoll wird dem Protokollfeld des Datensatzes für angreifbare Elemente zugeordnet. |
| u_first_found | first_found | „Zuerst gefunden“ wird dem Feld „zuerst gefunden“ des Datensatzes des angreifbaren Elements zugeordnet. |
| u_Last_found | Last_found | „Zuletzt gefunden“ wird dem Feld „zuletzt gefunden“ des Datensatzes für angreifbare Elemente zugeordnet. |
| u_state | Status | Status wird dem Feld Status im Datensatz des angreifbaren Elements zugeordnet |
| [Skript] | Quelle | Die Quelle der Integration ist ausgefüllt. Die aus dieser Integration erstellten angreifbaren Elemente haben Tenable.io als Quelle. |
| [Skript] | Integration_instance | „Integration_instance“ ist der Name der Instanz, aus der das angreifbare Element importiert wird. |
| u_plugin.name | name | Ordnet den Namen des Plugins dem Namen in der Drittpartei-Eintragstabelle zu. |
| u_Plugin.stig_severity | stig_severity | Ordnet den stig-Schweregrad des Plugins der stig-Schweregrad-Spalte in der Drittpartei-Eintragstabelle zu |
Zusätzlich zu den direkten Feldern werden anderen Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie in sn_vul_m2m_entry_cve. |
| bid | Die Liste der Fehlertraqs wird als Referenz hinzugefügt. |
| Siehe_auch | Die Liste der URLs wird als Referenz hinzugefügt. |
| xrefs | Die Liste der X-REF wird als Referenz hinzugefügt. |
| [Skript] | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das anwendbare Exploit-Framework und Plugin in sn_vul_m2m_Framework_vul ein. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Tenable-E/A-Schwachstellenprozessor löst aus, der mithilfe des Importsatzes Daten aus Tenable.io importiert und jeden Datensatz in die CMDB-CI-Tabelle, die Tabelle „angreifbare Elemente“ und die Tabelle „Schwachstellen“ von Drittanbietern lädt. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Überprüft, ob der Drittparteieintrag und die Erkennungen vorhanden sind. Wenn nicht, werden diese Datensätze in ihren jeweiligen Tabellen erstellt. isn’tDieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Aktualisiert die Anzahl der CIs, Vits und Erkennungen wie aus Tenable.io importiert. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
Tenable.sc-Asset-Import
Asset-Daten, die aus Tenable.sc importiert wurden, werden zuerst in die Tabelle „Tenable.sc Asset-Import“ (sn_vul_Tenable_sc_Asset_Import) geladen. Die Transformationszuordnung Tenable.sc Asset Integration wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Import von Tenable-Assets verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Tenable.sc Asset-Transformation .
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_uuid | id | Die UUID wird nicht aus der Tenable-API ausgefüllt, daher wird das Attribut „u_uniqueness“ verwendet, um ein eindeutiges UUID-Feld für Assets zu erstellen und dem cmdb_ci-Datensatz zuzuordnen. |
| u_ip | ip_address | Ordnet das ip-Feld aus der API dem Feld ip_address in einem cmdb_ci-Datensatz zu. |
| u_macaddress | mac_address | Ordnet das mac-Adressfeld aus der API dem Adressfeld im cmdb_ci-Datensatz zu. |
| u_dnsname | fqdn | Ordnet das dnsname-Feld aus der API dem fqdn-Feld im cmdb_ci-Datensatz zu. |
| u_netbiosname | netbios | Ordnet das netbios-Feld aus der API dem netbios-Feld im cmdb_ci-Datensatz zu. |
| u_Oscpe | os | Die BS-Informationen werden aus dem Oszillosattribut in der Nutzlast extrahiert und dem Feld „betriebssystem“ im cmdb_ci-Datensatz zugeordnet. |
| u_lastauthrun | Last_auth_Scan_date | Ordnet das Feld lastauthrun aus der API dem Feld Last_auth_Scan_date im erkannten Elementdatensatz zu. |
| u_lastauthrun und u_lastunauthrun | Last_Scan_date | Der lastauthrun wird aus der Tenable-API oder lastunauthrun extrahiert. Das Feld Last_Scan_date im erkannten Elementdatensatz wird basierend auf dem Wert ausgefüllt, der in der Nutzlast angezeigt wird. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Initialisiert die Werte in Import_Set für den Integrationsprozess. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Aktualisiert die Werte im Host und überprüft, ob der Host vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Import_Set. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Legt die Werte der neu erstellten CIs und der CIs fest, die aktualisiert und ignoriert wurden. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
Import von Tenable.sc-Plugins
Plugins-Daten, die aus Tenable.sc importiert werden, werden zuerst in die Tabelle „Plugins-Import“ (sn_vul_Table_sc_Plugin_Import) von Tenable.sc geladen. Die Tenable.sc-Plugin-Transformationszuordnung wird verwendet, um die importierten Plugin-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Plugin-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Tenable.sc-Plugin-Transformationszuordnung .
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | id | Ordnet die ID aus der Quelle zu und fügt das TEN-Präfix hinzu. Wenn die empfangene ID beispielsweise 12345 lautet, lautet die ID in der Zieltabelle TEN-12345. |
| u_description | Zusammenfassung | Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu. |
| [Skript] | Quelle | Aus dieser Integration importierte TPE hat Tenable.sc als Quelle. |
| [Skript] | Source_instance | Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert. |
| u_Family | Kategorie | Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte zu. |
| u_Plugin_Modification_date | Last_modified | Ordnet Plugin_modify_date dem Feld „zuletzt geändert“ zu. |
| u_Plugin_publication_date | date_published | Ordnet Plugin_publication_date dem Veröffentlichungsdatum zu. |
| u_has_Patch | Remediation_type | Ordnet den Korrekturtyp aus dem Wert „has_Patch“ zu. |
| u_Synopse | Bedrohung | Ordnet die Bedrohungsinformationen zu dieser Schwachstelle zu. |
| u_cvss_Base_Score | Punktzahl | Ordnet die CVSS-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu. |
| u_Solution | Lösung | Ordnet die vom Scanner bereitgestellte Lösung der Spalte „Lösung“ in der Tabelle „Drittpartei-Einträge“ zu. |
| u_cvss_temporal_Punktzahl | cvss_temporal_Punktzahl | Ordnet die temporäre Punktzahl für CVSS v2 zu. |
| u_cvss_v3_temporal_Score | V3_temporal_Punktzahl | Ordnet die temporäre Punktzahl für CVSS v3 zu. |
| u_Risk_factor | Quellenschweregrad | Wird dem Quellschweregrad in der Drittpartei-Eintragstabelle zugeordnet. |
| u_cvss_v3_Base_Score | V3_Base_Score | Ordnet die CVSS-Basispunktzahl in der Drittpartei-Eintragstabelle zu. |
| u_Exploit_available | Exploit | Ordnet das vom Scanner bereitgestellte exploitAvailable der Exploit-Spalte in der Tabelle „Drittpartei-Eintrag“ zu. |
| u_vpr_Punktzahl | Source_Risk_Score | Ordnet die VPR-Punktzahl aus dem Scanner der Quell-Risikopunktzahl in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Source_Risk_Rating | Ordnet die vpr-Punktzahl der Standard-Risikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_vpr_context[ID=age_of_vuln] | Age_of_vuln | Ordnet das Alter der Schwachstelle aus dem Scanner Age_of_vuln in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=Exploit_Code_Reife] | Exploit_Code_Reife | Ordnet die Exploit-Code-Reife vom Scanner Exploit_Code_Reife in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=Product_Coverage] | Product_Coverage | Ordnet die Produktabdeckung vom Scanner zu „Product_Coverage“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID="Threat_sources_Last_28] | Threat_sources | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner zu Threat_sources in der Drittparteitabelle zu. |
| u_vpr_context[ID="Threat_Intensity_Last_28] | Threat_Intensity | Ordnet die Bedrohungsintensität in den letzten 28 Tagen aus dem Scanner Threat_Intensity in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=”Threat_recency”] | Threat_recency | Ordnet die Bedrohungsaktualisierungsinformationen aus dem Scanner Threat_recency in der Eintragstabelle des dritten Teils zu. |
| u_vpr_context[ID=cvssV3_impactScore] | V3_Impact_subscore | Ordnet die CVSS v3-Auswirkungsbewertung aus dem Scanner v3_impact_subscore in der Drittpartei-Eintragstabelle zu. |
| u_name | name | Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu. |
| u_stig_severity | stig_severity | Ordnet das Feld „stig_severity“ im Plugin „stig_severity“ in der Drittpartei-Eintragstabelle zu. |
| u_Check_type | Check_type | Ordnet den Prüftyp Check_type in der Drittpartei-Eintragstabelle zu. |
| u_family.ID | Family_ID | Ordnet das Plugin „Family_ID“ der „family_ID“ in der Drittpartei-Eintragstabelle zu. |
|
[Skript] |
Exploit_Attack_Vector |
Die Spalte „Exploit_Attack_Vector“ in der Drittpartei-Eintragstabelle wird basierend auf den Spalten „Exploit_available“ und „v3_Attack_Vector“ der ausgefüllt. |
Zusätzlich zu den direkten Feldern werden anderen Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| u_cpe | Die Liste der CPEs wird als Referenz hinzugefügt. |
| u_See_auch | Die Liste der URLs wird als Referenz hinzugefügt. |
| u_Exploit_Frameworks | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das anwendbare Exploit-Framework und Plugin in sn_vul_m2m_Framework_vul ein. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in Import_Set für den Integrationsprozess zu initialisieren. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Funktion, die verwendet wird, um die Werte im Drittparteieintrag zu aktualisieren und zu überprüfen, ob der Drittparteieintrag vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Drittparteieintrag. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte von Plugins festzulegen, die erstellt und ignoriert wurden. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
Die Skripteinbindung TenableSCPluginsImportProcessor wird aus dem onBefore-Transformationsskript aufgerufen. Es übernimmt die Ausgabe aus der Plugin-Integration Tenable.sc und wandelt sie in um ServiceNow Einträge zu Schwachstellen von Drittparteien. Alle Änderungen an dieser Skripteinbindung können die Transformation von Tenable.sc-Plugins-Daten in der Drittpartei-Eintragstabelle ändern.
Import von Tenable.sc-Schwachstellen
Die Transformationszuordnung Tenable.sc offene Schwachstellen wird verwendet, um importierte Daten aus der Tenable.sc-Integration offener Schwachstellen zu transformieren, und die Transformationszuordnung Tenable.sc und behobene Schwachstellen werden verwendet, um importierte Daten aus der Tenable.sc-Integration für behobene Schwachstellen zu transformieren.
Hinweis:
Um auf die Transformationszuordnungen Tenable.sc offene und behobene Schwachstellen zuzugreifen, navigieren Sie zu an.Änderungen an diesen Transformationszuordnungen ändern, wie Daten aus dem Import von behobenen/offenen Tenable-Schwachstellen verarbeitet werden.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_Pluginid | ID | Wird als Bezeichner für das Plugin verwendet. Dieses Feld ist der Plugin-ID im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_risikofaktor | Source_severity | Dieses Feld ist Source_severity im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_severity | Priorität | Das Prioritätsfeld wird dem Schweregrad zugeordnet. Der Standardwert ist 5. |
| u_hasbeengemindert | Status | Wurde gemindert ist dem Statusfeld des Schwachstellendatensatzes zugeordnet. Für die Integration behobener Schwachstellen befinden sich alle VIS im Status „Geschlossen“. |
| u_ip | ip_address | Die IP-Adresse wird dem Host-ip-Feld der Tabelle „cmdb_ci“ zugeordnet. |
| u_Port | port | Port wird dem Portfeld des Datensatzes des angreifbaren Elements zugeordnet. |
| u_protocol | protocol | Das Protokoll wird dem Portfeld des Datensatzes des angreifbaren Elements zugeordnet. |
| u_firstSeen | first_found | Der erste sichtbare Wert wird dem Feld zuerst gefunden des VI-Datensatzes zugeordnet. |
| u_lastSeen | Last_found | Der zuletzt gesehene Wert wird dem Feld zuletzt gefunden des VI-Datensatzes zugeordnet. |
| u_exploitAvailable | Exploit | ExploitAvailable wird dem Exploit-Feld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Synopse | Bedrohung | Die Synopse wird dem Bedrohungsfeld im Drittparteieintragsdatensatz zugeordnet. |
| u_description | Zusammenfassung | Die Beschreibung wird dem Zusammenfassungsfeld im Drittparteieintragsdatensatz zugeordnet. |
| u_Solution | Lösung | Die Lösung wird dem Lösungsfeld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_basescore | Punktzahl | BaseScore wird dem Punktzahlfeld im Drittparteieintragsdatensatz zugeordnet. |
| u_temporalScore | Temporal_Punktzahl | Die temporäre Punktzahl wird der temporären Punktzahl im Drittparteieintragsdatensatz zugeordnet. |
| u_cvssv3basescore | V3_Base_Score | Cvssv3basescore wird der v3-Basispunktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_cvsstemporalPunktzahl | V3_temporal_Punktzahl | Die temporäre Cvssv3Punktzahl wird der temporären v3-Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Pluginpubdate | date_published | Das Veröffentlichungsdatum des Plugins wird dem Veröffentlichungsdatum des Plugins im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Pluginmoddate | Last_modified | Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_dnsname | fqdn | DnsName wird dem FQDN-Feld des cmdb_ci-Datensatzes zugeordnet. |
| u_macaddress | mac_address | MacAddress wird dem Feld „mac_address“ des Datensatzes „cmdb_ci“ zugeordnet. |
| u_netbiosName | netbios | NetbiosName wird dem Feld „NETBIOS“ des cmdb_ci-Datensatzes zugeordnet. |
| u_ip | ip | IP ist dem IP-Feld des cmdb_ci-Datensatzes zugeordnet. |
| hostUniqueness | uuid | Die Hosteindeutigkeit ist keinem Feld zugeordnet, wird jedoch verwendet, um die UUID für den Host zu bestimmen. |
| u_Family | Kategorie | Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu. |
| u_plugintext | Nachweis | Plugin-Text wird dem Nachweis im tpe-Datensatz zugeordnet. |
| [Skript] | Quelle | Die Quelle der Integration ist ausgefüllt. Die aus dieser Integration erstellten angreifbaren Elemente haben Tenable.sc als Quelle. |
| [Skript} | Integration_instance | „Integration_instance“ ist der Name der Instanz, aus der das angreifbare Element importiert wird. |
| u_vpr_Punktzahl | Source_Risk_Score | Ordnet die VPR-Punktzahl aus dem Scanner der Quell-Risikopunktzahl in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Source_Risk_Rating | Ordnet die vpr-Punktzahl der Standard-Risikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_vpr_context[ID=age_of_vuln] | Age_of_vuln | Ordnet das Alter der Schwachstelle aus dem Scanner Age_of_vuln in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=Exploit_Code_Reife] | Exploit_Code_Reife | Ordnet die Exploit-Code-Reife vom Scanner Exploit_Code_Reife in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=Product_Coverage] | Product_Coverage | Ordnet die Produktabdeckung vom Scanner zu „Product_Coverage“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID="Threat_sources_Last_28] | Threat_sources | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner Threat_sources in der Drittparteitabelle zu. |
| u_vpr_context[ID="Threat_Intensity_Last_28] | Threat_Intensity | Ordnet die Bedrohungsintensität in den letzten 28 Tagen aus dem Scanner Threat_Intensity in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context[ID=”Threat_recency”] | Threat_recency | Ordnet die Bedrohungsaktualisierungsinformationen aus dem Scanner Threat_recency in der Eintragstabelle des dritten Teils zu. |
| u_vpr_context[ID=cvssV3_impactScore] | V3_Impact_subscore | Ordnet die CVSS v3-Auswirkungsbewertung aus dem Scanner v3_impact_subscore in der Drittpartei-Eintragstabelle zu. |
| u_pluginname | name | Ordnet den Namen des Plugins der Namensspalte in der Eintragstabelle von Drittparteien zu. |
| u_stigseverity | stig_severity | Ordnet das Feld „stig_severity“ im Plugin „stig_severity“ in der Eintragstabelle von Drittparteien zu. |
| u_checktype | Check_type | Ordnet den Prüftyp Check_type in der Drittpartei-Eintragstabelle zu. |
| u_family.ID | Family_ID | Ordnet das Plugin „Family.ID“ der „family_ID“ in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „Exploit_Attack_Vector“ in der Tabelle „Third_Party_entry“ wird basierend auf den Spalten „Exploit_available“ und „v3_Attack_Vector“ ausgefüllt. |
| Quellenfeld | Beschreibung |
|---|---|
| u_cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung befindet sich in sn_vul_m2m_entry_cve. |
| u_bid | Die Liste der Fehlertraqs wird als Referenz hinzugefügt. |
| u_cpe | Die Liste der CPEs wird als Referenz hinzugefügt. |
| u_seeauch | Die Liste der URLs wird als Referenz hinzugefügt. |
| u_xrefs | Die Liste der X-Referenzen wird als Referenz hinzugefügt. |
| u_exploitFrameworks | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das anwendbare Exploit-Framework und Plugin in sn_vul_m2m_Framework_vul ein. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in Import_Set für den Integrationsprozess zu initialisieren. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Funktion, die verwendet wird, um die Werte in der Schwachstelle zu aktualisieren und zu überprüfen, ob die Schwachstelle vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einer Tabelle für angreifbare Elemente. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte neuer erstellter VIS und von VIS festzulegen, die aktualisiert und ignoriert wurden. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
Tenable.cs Container-Asset-Import
Importierte Asset-Daten werden zuerst in geladen Tenable.cs Container-Asset-Import [sn_vul_TENABLE_cs_Container_Asset_Import] Tabelle.
Die Tenable.cs Die Container-Asset-Transformationszuordnung wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem geändert werden Tenable.cs Container-Asset-Import wird verarbeitet. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu System-Importsätze > Transformationszuordnungen. Suchen Sie nach Tenable.cs Container-Asset-Transformation.
In den folgenden Tabellen werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_Digest | Image_ID | Tenable bietet einen eindeutigen Digest für die Container-Assets und ordnet dem erkannten Container-Image und dem Docker-Image-Datensatz zu und wird für die CI-Suche verwendet. |
| u_Digest | Image_Digest | Tenable bietet einen eindeutigen Digest für die Container-Assets und ordnet dem erkannten Container-Image und dem Docker-Image-Datensatz zu und wird für die CI-Suche verwendet. |
| u_name | name | Ordnet dem Namensfeld des Docker-Image-Datensatzes zu. |
| u_repositoryuri | name | Ordnet dem Container-Repository-Datensatz zu |
| u_repositoryuri | Repository | Ordnet dem erkannten Container-Image-Datensatz zu. |
| u_virtualMachines | Host_list | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_Bezeichnungen | Image_Bezeichnungen | Ordnet den ersten BS-Wert dem bs-Feld des erkannten Elementdatensatzes zu. |
| u_Cluster | Image_Cluster | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_imagetags | tags | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_cloudProvider | Cloud_Provider | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_accountid | Cloud_Account_IDs | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_region | Cloud_Regions | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_operatingsystem | os | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_Scantime | Last_Scan_date | Ordnet dem erkannten Container-Image-Datensatz zu |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in Import_Set für den Integrationsprozess zu initialisieren. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). |
Eine Funktion, mit der Werte im Host aktualisiert und überprüft werden, ob der Host vorhanden ist. Ändert basierend auf den Ergebnissen die Werte in einem Import_Set. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte von neu erstellten CIs und CIs festzulegen, die aktualisiert und ignoriert wurden. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
Tenable.cs Import Von Container-Schwachstellen
Importierte Container-Schwachstellendaten werden zuerst in geladen Tenable.cs Container-Schwachstellenimport [sn_vul_TENABLE_cs_Container_vuln_Import] Tabelle.
Die Tenable.cs Die Container-Schwachstellen-Transformationszuordnung wird verwendet, um die importierten Container-Schwachstelleninformationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem geändert werden Tenable.cs Container-Schwachstellenimport wird verarbeitet. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Tenable.cs Container-Schwachstellen-Transformation.
In den folgenden Tabellen werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| [Skript] | Image_ID | Digest wird aus dem Feld „Resource.ID“ aus der API extrahiert und dem Feld „image_ID“ des erkannten Container-Image- und Docker-Image-Datensatzes zugeordnet. |
| [Skript] | Image_Digest | Digest wird aus dem Feld „Resource.ID“ aus der API extrahiert und dem Feld „image_Digest“ des erkannten Container-Image- und Docker-Image-Datensatzes zugeordnet. |
| [Skript] | name | Repository-Informationen werden aus dem Namensfeld extrahiert und dem Docker-Image- und Container-Repository-Datensatz zugeordnet. |
| [Skript] | Repository | Repository-Informationen werden aus dem Namensfeld extrahiert und zugeordnet, um den Container-Image-Datensatz zu erkennen. |
| u_resource.Bezeichnungen | Image_Bezeichnungen | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_resource.CloudProvider | Cloud_Provider | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_resource. AccountId | Cloud_Account_IDs | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_resource.Region | Cloud_Regions | Ordnet dem erkannten Container-Image-Datensatz zu |
| u_Vulnerability. ID | id | Ordnet die ID aus der Quelle zu und fügt das TEN-Präfix hinzu. Wenn die empfangene ID beispielsweise 12345 lautet, lautet die ID in der Tabelle „Drittpartei-Eintrag“ TEN-12345. |
| u_Vulnerability. Beschreibungs-Id | Zusammenfassungs-ID | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. Oder CVE-Datensatz. |
| u_Vulnerability.Schweregrad | v4_Base_severity | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.VprScore | Source_Risk_Score | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.VprSchweregrad | Source_severity | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.AttackVector | v4_Attack_Vector | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.ExploitReife | v4_Exploit_Reife | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| [Skript] | Quelle | Die Quelle für importierte TPE ist Tenable.cs. |
| u_Vulnerability.ID | name | Ordnet dem Datensatz der Schwachstellenreferenzen zu |
| u_Vulnerability. Links | URL | Ordnet dem Datensatz der Schwachstellenreferenzen zu |
| Schwachstelle | Verweis auf TPE oder CVE im Datensatz der Schwachstellenreferenzen | |
| u_Software.Name | name | Ist dem Container-Image-Paket-Datensatz zugeordnet |
| u_Software.Version | Version | Ist dem Container-Image-Paket-Datensatz zugeordnet |
| u_Software.Typ | Package_type | Ist dem Container-Image-Paket-Datensatz zugeordnet |
| u_softwarepfade | path | Ist dem Container-Image-Paket-Datensatz zugeordnet |
| u_gelöst | status | Ordnet dem Container-Image-Ergebnisdatensatz zu |
| u_firstscantime | first_found | Ordnet dem Container-Image-Ergebnisdatensatz zu |
| u_resource.ScanTime | Last_found | Ordnet dem Container-Image-Ergebnisdatensatz zu |
| u_Vulnerability.Description | Nachweis | Ordnet dem Container-Image-Ergebnisdatensatz zu |
| u_gelöst | Status | Ordnet dem Datensatz des angreifbaren Containerelements zu |
| u_firstscantime | first_found | Ordnet dem Datensatz des angreifbaren Containerelements zu |
| u_resource.ScanTime | Last_found | Ordnet dem Datensatz des angreifbaren Containerelements zu |
| [Skript] | Quelle | Die Quelle für den Datensatz des angreifbaren Containerelements ist Tenable.cs. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Löst den TenableCS Container Vulnerabilities Processor aus, der Daten aus importiert Tenable.cs Mithilfe des Importsatzes und lädt jeden Datensatz in die CMDB-CI-Tabelle, die Tabelle „Angreifbares Element“, die Tabelle „Drittanbieter-Schwachstelleneintrag“, die Referenztabelle für Schwachstellen, das Container-Image-Paket, das Container-Image-Ergebnis und das angreifbare Container-Element. Das Ändern oder Löschen wird nicht empfohlen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist) | Überprüft, ob der Drittparteieintrag und die Bildergebnisse vorhanden sind. Wenn nicht, werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist) | Aktualisiert die Anzahl der CIs, Vits und Ergebnisse wie aus importiert Tenable.cs. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
Tenable.cs Vulnerability-Import Berechnen
Importierte Host-Schwachstellendaten werden zuerst in geladen Tenable.cs Tabelle „Import von Compute-Schwachstellen“ [sn_vul_TENABLE_cs_Compute_vuln_Import].
Die Tenable.cs Die Transformationszuordnung „Schwachstellen berechnen“ wird verwendet, um die importierten Informationen zur Host-Schwachstelle zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem geändert werden Tenable.cs Import von Compute-Schwachstellen wird verarbeitet. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu an. Suchen Sie nach Tenable.cs Transformation Für „Schwachstellen Berechnen“.
In der folgenden Tabelle werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_resource.ID | object_id | Wird dem CMDB-CI-Datensatz zugeordnet. |
| u_resource.Name | name | Wird dem CMDB-CI-Datensatz zugeordnet. |
| Asset_category | Cloud ist im erkannten Elementdatensatz als Asset-Kategorie zugeordnet. | |
| U_resource.CloudProvider | Cloud_Service_Provider | Wird dem erkannten Elementdatensatz zugeordnet |
| u_resource.Region | Cloud_Region | Wird dem erkannten Elementdatensatz zugeordnet |
| u_resource.AccountId | cloud_account | Wird dem erkannten Elementdatensatz zugeordnet |
| u_resource. CloudProvider | Cloud_resource_type | Wird dem erkannten Elementdatensatz zugeordnet |
| u_resource.ID | resource_id | Wird dem erkannten Elementdatensatz zugeordnet |
| u_resource.Name | resource_name | Wird dem erkannten Elementdatensatz zugeordnet |
| u_Vulnerability.ID | id |
Ordnet die ID aus der Quelle zu und fügt das TEN-Präfix hinzu. Wenn die empfangene ID beispielsweise 12345 lautet, lautet die ID in der Tabelle „Drittpartei-Eintrag“ TEN-12345. Ordnet die ID auch CVEs zu. |
| u_Vulnerability. Beschreibung | Zusammenfassung | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.Schweregrad | v4_Base_severity | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.VprScore | Source_Risk_Score | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.VprSchweregrad | Source_severity | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.AttackVector | v4_Attack_Vector | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| u_Vulnerability.ExploitReife | v4_Exploit_Reife | Wird dem Drittpartei-Eintragsdatensatz zugeordnet. |
| [Skript] | Quelle | Die Quelle für importierte TPE ist Tenable.cs. |
| u_Vulnerability.ID | name | Ordnet dem Datensatz der Schwachstellenreferenzen zu |
| u_Vulnerability.Links | URL | Ordnet dem Datensatz der Schwachstellenreferenzen zu |
| Schwachstelle | Verweis auf TPE oder CVE im Datensatz der Schwachstellenreferenzen | |
| u_gelöst | status | Ordnet dem Erkennungsdatensatz für angreifbare Elemente zu |
| u_firstscantime | first_found | Ordnet dem Erkennungsdatensatz für angreifbare Elemente zu |
| u_resource.ScanTime | Last_found | Ordnet dem Erkennungsdatensatz für angreifbare Elemente zu |
| u_softwarepfade | Nachweis | Ordnet dem Erkennungsdatensatz für angreifbare Elemente zu |
| u_softwareresolutionVersionen | Solution_Summary | Ordnet dem Erkennungsdatensatz für angreifbare Elemente zu |
| u_gelöst | Status | Ist dem Datensatz des angreifbaren Elements zugeordnet |
| u_firstscantime | first_found | Ist dem Datensatz des angreifbaren Elements zugeordnet |
| u_resource.ScanTime | Last_found | Ist dem Datensatz des angreifbaren Elements zugeordnet |
| [Skript] | Quelle | Die Quelle für den Datensatz für angreifbare Elemente ist Tenable.cs. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführung jedes Skripts und sein Zweck aufgeführt.
| Wenn das Skript ausgeführt wird | Zweck |
|---|---|
| OnStart (wenn die Transformation eines Importsatzes gestartet wurde) | Löst Tenable CS Compute Vulnerabilities Processor aus, der Daten aus importiert Tenable.cs Mithilfe des Importsatzes und lädt jeden Datensatz in die CMDB-CI-Tabelle, die Tabelle „angreifbare Elemente“ und die Tabelle „Schwachstellen von Drittparteien“. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Überprüft, ob der Drittparteieintrag und die Erkennungen vorhanden sind. Wenn nicht, werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| OnComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Aktualisiert die Anzahl der CIs, Vits und Erkennungen wie aus importiert Tenable.cs. Dieses Skript ist zur internen Verwendung vorgesehen, und es wird nicht empfohlen, sie zu ändern oder zu löschen. |
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_Digest | Image_ID | Ein eindeutiger Digest, der von Tenable für die Container-Assets bereitgestellt wird. Er wird dem erkannten Container-Image und dem Docker-Image-Datensatz zugeordnet und für die CI-Suche verwendet. |
| u_name | name | Ordnet dem Namensfeld des Docker-Image-Datensatzes zu. |