Transformation des données pour l’intégration Tenable Vulnerability
Une fois que vous avez identifié les données à importer, elles sont récupérées à partir du produit Tenable et traitées via un ensemble de sources de données et de transformations dans votre instance.
Pendant l’installation, les cartes de gravité normalisées sont installées dans le module Mappage de gravité normalisée. Ces cartes transforment les niveaux de gravité Tenable importés en niveaux de gravité standard pour le traitement dans votre instance. Pour plus d’informations sur la création de cartes de gravité, consultez Créer une carte de gravité Vulnerability Response dans la Vulnerability Response documentation.
Importation d'actif Tenable.io
Les données d’actif importées sont d’abord chargées dans la table d’importation d’actifs Tenable.io [sn_vul_tenable_io_asset_import].
La carte de transformation d’intégration des actifs Tenable.io sert à transformer les informations sur les actifs importés. Les modifications apportées à cette transformation modifient la façon dont les données de l’importation de Tenable Asset sont traitées. Pour afficher cette carte de transformation, accédez à . Recherchez Tenable.io transformation d’actif.
Les tableaux suivants répertorient les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | source_id | Tenable fournit un ID unique pour les actifs et des mappages vers l’enregistrement d’élément détecté, et est utilisé pour la recherche de CI. |
| u_ipv4s | ip_address | Mappe la première valeur IP au champ ip_address sur l’enregistrement d’élément détecté. |
| u_mac_addresses | mac_address | Mappe la première valeur mac_address au champ d’adresse MAC sur l’enregistrement d’élément détecté. |
| u_fqdns | fqdn | Mappe la première valeur de nom de domaine complet au champ de nom de domaine complet sur l’enregistrement d’élément détecté. |
| u_netbios_names | Netbios | Mappe la première valeur netbios au champ netbios sur l’enregistrement de l’élément détecté. |
| u_operating_systems | système d'exploitation | Mappe la première valeur de système d’exploitation au champ de système d’exploitation sur l’enregistrement d’élément détecté. |
| (Avant les versions 14.0 Vulnerability Response et 2.2 de Tenable Vulnerability Integration)u_last_scan_time | last_scan_date | Mappe vers le champ last_scan_date de l’enregistrement d’élément détecté. |
| u_last_authenticated_scan_date | last_auth_scan_date | Mappe vers le champ last_auth_scan_date de l’enregistrement d’élément détecté. |
| [script] | nom | Mappe le nom d’hôte à l’aide de la logique du script. |
| u_tags | Les balises sont enregistrées dans sn_sec_cmn_host_tag. Le mappage des balises aux ressources est enregistré dans sn_sec_cmn_m2m_src_ci_tag. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. Le tableau suivant répertorie le moment d’exécution de chaque script et son objectif.
Tenable.io Calendrier et objectif du script de carte de transformation des actifs
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs dans le import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs dans l’hôte et vérifier si l’hôte existe déjà. En fonction des résultats, modifie les valeurs d’un import_set. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
Intégration des modules d’extension Tenable.io
La carte de transformation des modules d’extension Tenable.io est utilisée pour transformer les modules d’extension importés à partir de Tenable.io.
Remarque :
Les modifications apportées à cette carte de transformation modifient la façon dont les données reçues des plug-ins Tenable sont traitées.
Pour afficher cette carte de transformation, accédez à . Recherchez la transformation du module d’extension Tenable.io.
La charge utile des modules d’extension tenable.io contient tous les champs de la colonne u_attributes de la table sn_vul_tenable_io_plugin_import. Le champ d’attributs est analysé et mappé aux enregistrements de la table d’entrée tierce répertoriés dans la table suivante.
| Champ source | Champ cible | Description |
|---|---|---|
| id | id | Mappe l’ID à partir de la source et y ajoute le préfixe TEN. Par exemple, si l’ID reçu est 12345, l’ID dans la table cible est TEN-12345. |
| Description | résumé | Mappe la description du module d’extension à la colonne de résumé. |
| [script] | source | La source du TPE importé est Tenable.io. |
| [script] | source_instance | Référence au déploiement Tenable qui importe cet enregistrement. |
| famille | catégorie | Mappe la famille de module d’extension à la colonne de catégorie |
| plugin_modification_date | last_modified | Mappe la plugin_modification_date au champ de la dernière modification. |
| plugin_publication_date | date_published | Mappe la plugin_publication_date à la date de publication. |
| has_patch | remediation_type | Mappe le type de rattrapage à partir de has_patch valeur. |
| synopsis | Menace | Mappe les informations sur la menace concernant cette vulnérabilité. |
| cvss_base__score | score | Mappe le score de base cvss à la colonne de score dans la table d’entrée tierce. |
| solution | solution | Mappe la solution fournie par le scanner à la colonne de solution dans la table d’entrée tierce. |
| exploit_available | exploit | Mappe les exploit_available fournies par le scanner à la colonne d’exploit dans la table d’entrée tierce |
| Score VPR | source_risk_score | Mappe le score VPR fourni par le scanner au source_risk_score de la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR sur la cote de risque standard en fonction des plages de scores :
|
| vpr.drivers.age_of_vuln | age_of_vuln | Mappe l’âge de la vulnérabilité depuis le scanner vers la colonne age_of_vuln de la table d’entrée tierce. |
| vpr.drivers.exploit_code_maturity | exploit_code_maturity | Mappe la maturité du code d’exploitation depuis le scanner jusqu’à l’exploit_code_maturity dans la table d’entrée tierce. |
| vpr.drivers.product_coverage | product_coverage | Mappe la couverture du produit depuis le scanner vers product_coverage dans la table d’entrée tierce. |
| vpr.drivers.threat_sources_last28 | threat_sources | Mappe les sources de menace au cours des 28 derniers jours, du scanner au threat_sources de la table tierce. |
| vpr.drivers.threat_intensity_last28 | threat_intensity | Mappe l’intensité de la menace au cours des 28 derniers jours, de l’analyseur au threat_intensity dans la table d’entrée tierce. |
| vpr.drivers.threat_recency | threat_recency | Mappe les informations de récence de la menace du scanner au threat_recency dans la table d’entrée tierce. |
| vpr.drivers.cvss3_impact_score | v3_impact_subscore | Mappe le score d’impact cvss3 sur v3_impact_subscore colonne de la table d’entrée tierce. |
| cvss_temporal_score | cvss_temporal_score | Mappe le score temporel pour CVSS v2. |
| cvss_v3_temporal_score | v3_temporal_score | Mappe le score temporel pour CVSS v3. |
| risk_factor | source_severity | Mappe à la gravité de la source dans la table d’entrée tierce. |
| nom | nom | Mappe le nom du module d’extension au nom dans la table d’entrée tierce. |
| stig_severity | stig_severity | Mappe le score VPR fourni par le scanner sur le source_risk_score de la table d’entrée tierce. |
| plugin_type | check_type | Mappe le type de module d’extension pour check_type dans la table d’entrée tierce. |
| unsupported_by_vendor | unsupported_by_vendor | Mappe le champ de unsupported_by_vendor à la colonne unsupported_by_vendor. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction du exploit_available et de la v3_attack_vector de colonnes. |
En plus des champs directs, d’autres informations sont ajoutées sous forme de listes connexes aux entrées tierces.
| Champ source | Description |
|---|---|
| cve | Insère les données liées aux CVE dans la table de référence (sn_vul_nvd_entry). Si la même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvée, elle associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| offre | La liste des traqs de bogues est ajoutée en tant que référence. |
| see_also | La liste des URL est ajoutée en tant que référence. |
| xrefs | La liste des X-REF est ajoutée comme référence. |
| [script] | Liste des exploits pour ce module d’extension et insertions le mappage pour l’infrastructure d’exploitation et le module d’extension applicables à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. Le tableau suivant répertorie le moment d’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs dans le import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs dans l’entrée tierce et vérifier si l’entrée tierce existe déjà. En fonction des résultats, modifie les valeurs d’une entrée tierce. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
Le script include TenableIOPluginsImportProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de Tenable.io intégration des modules d’extension et la transforme en Now Platform entrées de vulnérabilité tierces. Toute modification apportée à ce script include peut altérer la transformation des données de Tenable.io modules d’extension dans la table d’entrée tierce.
Importation des vulnérabilités Tenable.io
Les cartes de transformation des éléments vulnérables Tenable.io sont utilisées pour transformer les informations de vulnérabilités ouvertes et corrigées importées à partir de Tenable.io.
Remarque :
Les modifications apportées à cette carte de transformation modifient la façon dont les données de l’importation des vulnérabilités Tenable sont traitées.
La même carte de transformation est utilisée pour l’intégration des vulnérabilités corrigées Tenable.io et l’intégration des vulnérabilités ouvertes Tenable.io. Pour afficher cette carte de transformation, accédez à . Recherchez la carte de transformation de l’élément vulnérable Tenable.io.
| Champ source | Champ cible | Description |
|---|---|---|
| u_asset.uuid | id | L’uuid est mappé au champ id de l’enregistrement cmdb_ci. |
| u_asset.ipv4 | ip_address | Le champ ipv4 est mappé au champ d’adresse IP de l’enregistrement cmdb_ci. |
| u_asset .last_authenticated_results | last_auth_scan_date | La date de la dernière analyse authentifiée est mappée à la dernière date d’analyse d’authentification de l’enregistrement cmdb_ci. |
| u_asset.mac_addess | mac_address | L’adresse Mac est mappée au champ Adresse MAC de l’hôte de l’enregistrement cmdb_ci. |
| u_asset.nom_netbios | Netbios | NetBIOS est mappé au champ netBIOS de cmdb_ci enregistrement. |
| u._plugin.cvss3_score_de_base | v3_base_score | Le score de base CVSS v3 est mappé au score de base v3 de l’enregistrement d’entrée tierce. |
| u._plugin.cvss3_score_temporal | v3_temporal_score | Le score temporel CVSS v3 est mappé au score temporel v3 dans l’enregistrement d’entrée tierce. |
| u._plugin.cvss_score_base_score (en anglais seulement) | score | Le score de base CVSS est mappé au champ de score de l’enregistrement d’entrée tierce. |
| u._plugin.cvss_temporal_score | temporal_score | Le score temporel est mappé au score temporel dans l’enregistrement d’entrée tierce. |
| u_plugin.description | résumé | La description est mappée au champ Résumé dans l’enregistrement d’entrée tierce. |
| u_plugin.famille | catégorie | Mappe la famille de module d’extension à la colonne de catégorie de l’enregistrement d’entrée tierce. |
| u_plugin.modification_date | last_modified | La date de la dernière modification est mappée à la date de la dernière modification du module d’extension dans l’enregistrement d’entrée tierce. |
| u_plugin.date_de_publication | date_published | La date de publication est mappée au champ Date de publication de l’enregistrement d’entrée tierce. |
| u_plugin.risque_facteur | source_severity | Le facteur de risque est mappé au champ source_severity de l’enregistrement d’entrée tierce. |
| u_plugin.solution | solution | La solution est mappée au champ de solution de l’enregistrement d’entrée tierce. |
| u_plugin.synopsis | Menace | Le synopsis est mappé au champ Menace de l’enregistrement d’entrée tierce. |
| u_severity_id | priorité | La priorité est mappée sur l’ID de gravité à partir de la charge utile. La valeur par défaut est de 5. |
| u_plugin.exploit_available | exploit | Mappe les exploit_available fournies par le scanner à la colonne Exploit dans la table d’entrée tierce. |
| Score VPR | source_risk_score | Mappe le score VPR fourni par le scanner sur le source_risk_score de la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR sur la cote de risque standard en fonction des plages de scores :
|
| u_plugin.vpr.drivers.age_of_vuln | age_of_vuln | Mappe l’âge de vulnérabilité depuis le scanner vers age_of_vuln dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.exploit_code_maturity | exploit_code_maturity | Mappe la maturité du code d’exploitation depuis le scanner jusqu’à l’exploit_code_maturity dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.product_coverage | product_coverage | Mappe la couverture du produit depuis le scanner vers product_coverage dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.threat_sources_last28 | threat_sources | Mappe les sources de menace au cours des 28 derniers jours à partir de l’analyseur vers threat_sources dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.threat_intensity_last28 | threat_intensity | Mappe l’intensité de la menace au cours des 28 derniers jours, de l’analyseur au threat_intensity dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.menace_recency | threat_recency | Mappe les informations de récence de la menace de l’analyseur aux threat_recency de la table d’entrée tierce. |
| u_plugin.vpr.drivers.cvss3_impact_score | v3_impact_subscore | Mappe le score d’impact CVSS3 v3 sur v3_impact_subscore colonne de la table d’entrée tierce. |
| u_plugin.type | check_type | Mappe le type de module d’extension pour check_type dans la table d’entrée tierce. |
| u_plugin.unsupported_by_vendor | unsupported_by_vendor | Mappe le champ unsupported_by_vendor dans le module d’extension à la colonne unsupported_by_vendor. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction du exploit_available et de la v3_attack_vector de colonnes. |
| u_plugin.family_id | Family_id | Mappe l’ID de famille de module d’extension à family_id colonne dans la table d’entrée tierce. |
| port | port | Le port est mappé au champ port de l’enregistrement d’élément vulnérable. |
| protocol | protocol | Le protocole est mappé au champ de protocole de l’enregistrement d’élément vulnérable. |
| u_first_found | first_found | Le premier trouvé est mappé au champ premier trouvé de l’enregistrement d’élément vulnérable. |
| u_last_found | last_found | Dernier trouvé est mappé au champ Dernier trouvé de l’enregistrement d’élément vulnérable. |
| u_state | État | L’état est mappé au champ État dans l’enregistrement d’élément vulnérable |
| [script] | source | La source de l’intégration est renseignée. Les éléments vulnérables créés à partir de cette intégration ont Tenable.io comme source. |
| [script] | integration_instance | L’integration_instance est le nom de l’instance à partir de laquelle l’élément vulnérable est importé. |
| u_plugin.name | nom | Mappe le nom du module d’extension au nom dans la table d’entrée tierce. |
| u_plugin.stig_severity | stig_severity | Mappe la gravité stig du module d’extension sur la colonne de gravité stig dans la table d’entrée tierce |
En plus des champs directs, d’autres informations sont ajoutées sous forme de listes connexes aux entrées tierces.
| Champ source | Description |
|---|---|
| cve | Insère les données liées aux CVE dans la table de référence (sn_vul_nvd_entry). Si la même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvée, elle associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| offre | La liste des traqs de bogues est ajoutée en tant que référence. |
| see_also | La liste des URL est ajoutée en tant que référence. |
| xrefs | La liste des X-REF est ajoutée comme référence. |
| [script] | Liste des exploits pour ce module d’extension et mappage des insertions pour le cadre de travail d’exploitation applicable et le module d’extension à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. Le tableau suivant répertorie le moment d’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation déclenche TenableIOVulnerabilitiesProcessor qui importe les données de Tenable.io à l’aide du jeu d’importation et charge chaque enregistrement dans la table CI CMDB, la table Éléments vulnérables et la table Vulnérabilité tierce. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction permettant de vérifier si l’entrée et les détections tierces existent déjà. Dans le cas contraire, ces enregistrements sont créés dans leurs tables respectives. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Cette transformation est utilisée pour mettre à jour le nombre de CI, de VI et de détections importés à partir de Tenable.io. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
Importation d'actif Tenable.sc
Les données d’actif importées à partir de Tenable.sc sont d’abord chargées dans la table d’importation d’actifs Tenable.sc (sn_vul_tenable_sc_asset_import). La carte de transformation d’intégration des actifs Tenable.sc est utilisée pour transformer les informations sur les actifs importés. Les modifications apportées à cette transformation modifient le mode de traitement des données provenant de l’importation d’actifs Tenable. Pour afficher cette carte de transformation, accédez à . Recherchez la transformation de l’actif Tenable.sc.
| Champ source | Champ cible | Description |
|---|---|---|
| u_uuid | id | L’uuid n’étant pas renseigné à partir de l’API Tenable, l’attribut « u_uniqueness » est donc utilisé pour créer un champ uuid unique pour les actifs et le mapper à l’enregistrement cmdb_ci. |
| u_ip | ip_address | Mappe le champ IP de l’API vers le champ ip_address d’un enregistrement cmdb_ci. |
| u_macaddress | mac_address | Mappe le champ macaddress de l’API vers le champ d’adresse de l’enregistrement cmdb_ci. |
| u_dnsname | fqdn | Mappe le champ dnsname de l’API au champ fqdn sur l’enregistrement cmdb_ci. |
| u_netbiosname | Netbios | Mappe le champ netbios de l’API vers le champ netbios sur l’enregistrement cmdb_ci. |
| u_oscpe | système d'exploitation | Les informations sur le système d’exploitation sont extraites de l’attribut oscpe dans la charge utile et mappées au champ système d’exploitation dans l’enregistrement cmdb_ci. |
| u_lastauthrun | last_auth_scan_date | Mappe le champ lastauthrun de l’API au champ last_auth_scan_date sur l’enregistrement d’élément détecté. |
| u_lastauthrun et u_lastunauthrun | last_scan_date | Le lastauthrun est extrait de l’api Tenable ou lastunauthrun. En fonction de la valeur qui apparaît dans la charge utile, le champ last_scan_date de l’enregistrement d’élément détecté est renseigné. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. Le tableau suivant répertorie le moment d’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs dans le import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs dans l’hôte et vérifier si l’hôte existe déjà. En fonction des résultats, modifie les valeurs d’un import_set. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
Importation des modules d’extension Tenable.sc
Les données des modules d’extension importées à partir de Tenable.sc sont d’abord chargées dans la table d’importation des modules d’extension Tenable.sc (sn_vul_tenable_sc_plugin_import). La carte de transformation du module d’extension Tenable.sc est utilisée pour transformer les informations des modules d’extension qui ont été importées. Les modifications apportées à cette transformation modifient la façon dont les données de l’importation du module d’extension Tenable sont traitées. Pour afficher cette carte de transformation, accédez à . Recherchez Tenable.sc carte de transformation du module d’extension.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | id | Mappe l’ID à partir de la source et ajoute le préfixe TEN. Par exemple, si l’ID reçu est 12345, l’ID dans la table cible est TEN-12345. |
| u_description | résumé | Mappe la description du module d’extension à la colonne de résumé. |
| [script] | source | Le TPE importé à partir de cette intégration a Tenable.sc comme source. |
| [script] | source_instance | Référence au déploiement Tenable qui importe cet enregistrement. |
| u_family | catégorie | Mappe le champ nom dans l’objet de famille du module d’extension à la colonne de catégorie. |
| u_plugin_modification_date | last_modified | Mappe la plugin_modification_date au champ de la dernière modification. |
| u_plugin_publication_date | date_published | Mappe la plugin_publication_date à la date de publication. |
| u_has_patch | Remediation_type | Mappe le type de rattrapage à partir de has_patch valeur. |
| u_synopsis | Menace | Mappe les informations sur la menace concernant cette vulnérabilité. |
| u_cvss_base_score | score | Mappe le score de base CVSS à la colonne de score dans la table d’entrée tierce. |
| u_solution | solution | Mappe la solution fournie par le scanner à la colonne de solution dans la table d’entrée tierce. |
| u_cvss_temporal_score | cvss_temporal_score | Mappe le score temporel pour CVSS v2. |
| u_cvss_v3_temporal_score | v3_temporal_score | Mappe le score temporel pour CVSS v3. |
| u_risk_factor | Gravité de la source | Mappe à la gravité de la source dans la table d’entrée tierce. |
| u_cvss_v3_base_score | v3_base_score | Mappe le score de base CVSS dans la table d’entrée tierce. |
| u_exploit_available | exploit | Mappe l’exploitAvailable fourni par le scanner à la colonne Exploit de la table d’entrée tierce. |
| u_vpr_score | source_risk_score | Mappe le score VPR du scanner au score de risque source dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR sur la cote de risque standard en fonction des plages de scores :
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | Mappe l’âge de la vulnérabilité depuis le scanner vers age_of_vuln dans la table d’entrée tierce. |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | Mappe la maturité du code d’exploitation depuis le scanner jusqu’à l’exploit_code_maturity dans la table d’entrée tierce. |
| u_vpr_context[id=product_coverage] | product_coverage | Mappe la couverture du produit depuis le scanner vers product_coverage dans la table d’entrée tierce. |
| u_vpr_context[id="threat_sources_last_28] | threat_sources | Mappe les sources de menace au cours des 28 derniers jours, de l’analyseur au threat_sources dans la table tierce. |
| u_vpr_context[id="threat_intensity_last_28] | threat_intensity | Mappe l’intensité de la menace au cours des 28 derniers jours, de l’analyseur au threat_intensity dans la table d’entrée tierce. |
| u_vpr_context[id="threat_recency"] | threat_recency | Mappe les informations de récence de la menace du scanner vers les threat_recency de la table d’entrée tierce. |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | Mappe le score d’impact CVSS v3 du scanner à v3_impact_subscore dans la table d’entrée tierce. |
| u_name | nom | Mappe le nom du module d’extension à la colonne de nom dans la table d’entrée tierce. |
| u_stig_severity | stig_severity | Mappe le champ stig_severity du module d’extension sur stig_severity dans la table d’entrée tierce. |
| u_check_type | check_type | Mappe le type de vérification à check_type dans la table d’entrée tierce. |
| u_family.id | family_id | Mappe les family_id du module d’extension aux family_id dans la table d’entrée tierce. |
[script] |
exploit_attack_vector |
La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction du exploit_available et de la v3_attack_vector de colonnes. |
En plus des champs directs, d’autres informations sont ajoutées sous forme de listes connexes aux entrées tierces.
| Champ source | Description |
|---|---|
| u_cpe | La liste des CPE est ajoutée à titre de référence. |
| u_see_also | La liste des URL est ajoutée en tant que référence. |
| u_exploit_frameworks | Liste des exploits pour ce module d’extension et insertions le mappage pour l’infrastructure d’exploitation et le module d’extension applicables à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. Le tableau suivant répertorie le moment d’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs dans le import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs dans l’entrée tierce et vérifier si l’entrée tierce existe déjà. En fonction des résultats, modifie les valeurs d’une entrée tierce. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Cette transformation est utilisée pour définir les valeurs des modules d’extension créés et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
Le script include TenableSCPluginsImportProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de l’intégration des modules d’extension Tenable.sc et la transforme en entrées de vulnérabilité tierces ServiceNow. Toute modification apportée à ce script include peut altérer la transformation des données de Tenable.sc modules d’extension dans la table d’entrée tierce.
Tenable.sc Importation des vulnérabilités
La carte de transformation des vulnérabilités ouvertes Tenable.sc est utilisée pour transformer les données importées à partir de l’intégration des vulnérabilités Tenable.sc ouvertes, et la carte de transformation des vulnérabilités Tenable.sc et corrigées est utilisée pour transformer les données importées à partir de l’intégration des vulnérabilités corrigées Tenable.sc.
Remarque :
Pour accéder aux cartes de transformation des vulnérabilités ouvertes et corrigées Tenable.sc, accédez à .Les modifications apportées à ces cartes de transformation modifient la façon dont les données de l’importation des vulnérabilités Tenable corrigées/ouvertes sont traitées.
| Champ source | Champ cible | Description |
|---|---|---|
| u_pluginID | ID | Utilisé comme identificateur pour le module d’extension. Ce champ est mappé à l’ID du module d’extension dans l’enregistrement d’entrée tierce. |
| u_riskfactor | source_severity | Ce champ est mappé à source_severity dans l’enregistrement d’entrée tierce. |
| u_severity | priorité | Le champ de priorité est mappé avec la gravité. La valeur par défaut est de 5. |
| u_hasbeenmitigated | État | Hasbeenmitigated est mappé au champ d’état de l’enregistrement de vulnérabilité. Pour l’intégration des vulnérabilités corrigées, tous les VI sont à l’état « Fermé ». |
| u_ip | ip_address | L’adresse IP est mappée au champ IP hôte de cmdb_ci table. |
| u_port | port | Le port est mappé au champ port de l’enregistrement d’élément vulnérable. |
| u_protocol | protocol | Le protocole est mappé au champ de port de l’enregistrement de l’élément vulnérable. |
| u_firstSeen | first_found | La première valeur vue est mappée au premier champ trouvé de l’enregistrement VI. |
| u_lastSeen | last_found | La dernière valeur observée est mappée au dernier champ trouvé de l’enregistrement VI. |
| u_exploitAvailable | exploit | ExploitAvailable est mappé au champ d’exploit dans l’enregistrement d’entrée tierce. |
| u_synopsis | Menace | Le synopsis est mappé au champ Menace dans l’enregistrement d’entrée tierce. |
| u_description | résumé | La description est mappée au champ Résumé dans l’enregistrement d’entrée tierce. |
| u_solution | solution | La solution est mappée au champ Solution dans l’enregistrement d’entrée tierce. |
| u_basescore | score | BaseScore est mappé au champ de score dans l’enregistrement d’entrée tierce. |
| u_temporalScore | temporal_score | Le score temporel est mappé au score temporel dans l’enregistrement d’entrée tierce. |
| u_cvssv3basescore | v3_base_score | Cvssv3basescore est mappé au score de base v3 dans l’enregistrement d’entrée tierce. |
| u_cvsstemporalscore | v3_temporal_score | Le score Cvssv3temporal est mappé au score temporel v3 dans l’enregistrement d’entrée tierce. |
| u_pluginpubdate | date_published | La date de publication du module d’extension est mappée à la date de publication du module d’extension dans l’enregistrement d’entrée tierce. |
| u_pluginmoddate | last_modified | La date de la dernière modification est mappée à la date de la dernière modification du module d’extension dans l’enregistrement d’entrée tierce. |
| u_dnsname | fqdn | DnsName est mappé au champ FQDN de l’enregistrement cmdb_ci. |
| u_macaddress | mac_address | MacAddress est mappé au champ mac_address de l’enregistrement cmdb_ci. |
| u_netbiosName | Netbios | NetBIOSName est mappé au champ NETBIOS de l’enregistrement cmdb_ci. |
| u_ip | ip | L’adresse IP est mappée au champ Adresse IP de cmdb_ci enregistrement. |
| hostUniqueness | uuid | L’unicité de l’hôte n’est mappée à aucun champ, mais est utilisée pour déterminer l’uuid de l’hôte. |
| u_family | catégorie | Mappe le champ nom dans l’objet de famille du module d’extension à la colonne de catégorie de l’enregistrement d’entrée tierce. |
| u_plugintext | proof | Le texte du module d’extension est mappé vers la preuve dans l’enregistrement tpe. |
| [script] | source | La source de l’intégration est renseignée. Les éléments vulnérables créés à partir de cette intégration ont Tenable.sc comme source. |
| [script} | integration_instance | L’integration_instance est le nom de l’instance à partir de laquelle l’élément vulnérable est importé. |
| u_vpr_score | source_risk_score | Mappe le score VPR du scanner au score de risque source dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR sur la cote de risque standard en fonction des plages de scores :
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | Mappe l’âge de la vulnérabilité depuis le scanner vers age_of_vuln dans la table d’entrée tierce. |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | Mappe la maturité du code d’exploitation depuis le scanner jusqu’à l’exploit_code_maturity dans la table d’entrée tierce. |
| u_vpr_context[id=product_coverage] | product_coverage | Mappe la couverture du produit depuis le scanner jusqu’au product_coverage dans la table d’entrée tierce. |
| u_vpr_context[id="threat_sources_last_28] | threat_sources | Mappe les sources de menace au cours des 28 derniers jours, de l’analyseur au threat_sources dans la table tierce. |
| u_vpr_context[id="threat_intensity_last_28] | threat_intensity | Mappe l’intensité de la menace au cours des 28 derniers jours, de l’analyseur au threat_intensity dans la table d’entrée tierce. |
| u_vpr_context[id="threat_recency"] | threat_recency | Mappe les informations de récence de la menace du scanner vers les threat_recency de la table d’entrée tierce. |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | Mappe le score d’impact CVSS v3 du scanner à v3_impact_subscore dans la table d’entrée tierce. |
| u_pluginname | nom | Mappe le nom du module d’extension à la colonne nom dans la table d’entrée tierce. |
| u_stigseverity | stig_severity | Mappe le champ stig_severity du module d’extension pour stig_severity dans la table d’entrée tierce. |
| u_checktype | check_type | Mappe le type de vérification à check_type dans la table d’entrée tierce. |
| u_family.id | family_id | Mappe les family.id du module d’extension aux family_id dans la table d’entrée tierce. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table third_party_entry est renseignée en fonction de la exploit_available et de la v3_attack_vector de colonnes. |
| Champ source | Description |
|---|---|
| u_cve | Insère les données liées aux CVE dans la table de référence (sn_vul_nvd_entry). Si la même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvée, elle associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| u_bid | La liste des traqs de bogues est ajoutée en tant que référence. |
| u_cpe | La liste des CPE est ajoutée à titre de référence. |
| u_seealso | La liste des URL est ajoutée en tant que référence. |
| u_xrefs | La liste des X-REF est ajoutée à titre de référence. |
| u_exploitframeworks | Liste des exploits pour ce module d’extension et mappage des insertions pour le cadre de travail d’exploitation applicable et le module d’extension à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. Le tableau suivant répertorie le moment d’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs dans le import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs dans la vulnérabilité et vérifier si la vulnérabilité existe déjà. En fonction des résultats, modifie les valeurs dans une table d’éléments vulnérables. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux VI créés et des VI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |