Transformation des données pour Microsoft Threat and Vulnerability Management Vulnerability Integration
Une fois que vous avez identifié les données que vous souhaitez importer, elles sont récupérées à partir de l’application ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM), traitées via un ensemble de sources de données et transformées dans votre instance.
Pendant l’installation, les cartes de gravité normalisées sont installées dans le module Mappage de gravité normalisée. Ces cartes transforment les niveaux de gravité de vulnérabilité tiers importés Microsoft en niveaux de gravité standard pour le traitement dans votre instance. Pour en savoir plus sur la création de cartes de gravité, reportez-vous à Créer une carte de Vulnerability Response gravité.
Importation d’ordinateurs MS TVM
Les données des machines importées sont d’abord chargées dans la table Importation des machines MS TVM [sn_vul_msft_tvm_machines_import].
La transformation des machines MS TVM est utilisée pour transformer les informations des machines importées.
Remarque :
Pour afficher cette carte de transformation, accédez à et recherchez Microsoft TVM Machines Transform.Les modifications apportées à cette carte de transformation modifient le mode de traitement des données provenant de l’importation des machines MS TVM.
La table suivante répertorie les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | source_id | ID unique des actifs. Cet ID est mappé au source_id de l’enregistrement de l’élément détecté. |
| u_ipaddresses.macAdresse | mac_address | Adresse MAC mappée de l’API au champ d’adresse MAC hôte de l’enregistrement cmdb_ci. |
| u_ipaddresses.ipAddress | ip_address | Champ Adresse IP mappé au champ Adresse IP de l’enregistrement cmdb_ci. |
| u_lastseen | last_scan_date | Champ mappé au champ last_scan_date sur l’enregistrement d’élément détecté. |
| u_machinetags | Balises enregistrées dans sn_sec_cmn_host_tag. Le mappage des balises aux ressources est enregistré dans sn_sec_cmn_m2m_src_ci_tag. | |
| u_osplatform | système d'exploitation | Champ mappé au champ système d’exploitation sur l’enregistrement cmdb_ci. |
| u_computerdnsname | fqdn | Champ qui mappe le champ dnsname de l’API au champ fqdn sur l’enregistrement cmdb_ci. |
Les scripts de transformation suivants sont exécutés pendant le processus de transformation.
Minuteur et objectif du script de carte de transformation des machines MS TVM
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation). | Script utilisé pour initialiser les valeurs de la variable de champ d’application (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Script utilisé pour mettre à jour les valeurs dans l’hôte et vérifier si l’hôte existe. En fonction des résultats, ce script modifie les valeurs de la variable d’étendue (sn_vul_msft_tvm). Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Script utilisé pour définir le nombre de CI créés, mis à jour et ignorés. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
Le script include MicrosoftTVMMachinesProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de l’intégration des machines Microsoft TVM et la transforme en CI. Toute modification apportée à ce script include peut altérer la transformation des données des ordinateurs Microsoft TVM dans la table CI et Élément détecté.
Intégration des vulnérabilités MS TVM
Les données de vulnérabilités importées sont d’abord chargées dans la table d’importation [sn_vul_msft_tvm_vulnerabilities_import] CVE (vulnérabilités) Microsoft TVM.
Remarque :
Pour afficher cette carte de transformation, accédez à et recherchez la transformation des vulnérabilités Microsoft TVM.Les modifications apportées à cette carte de transformation modifient la façon dont les données de l’importation des vulnérabilités MS TVM sont traitées.
La table suivante répertorie les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | id | Mappe vers la colonne ID de l’enregistrement sn_vul_entry. |
| u_severity | source_severity | Mappe le champ Gravité sur la gravité. La valeur par défaut est de 5. |
| u_publishedon | date_published | Mappe le champ u_publishedon à la date de publication. |
| u_publicexploit | public_exploit | Mappe les u_publicexploit fournies par le scanner à la colonne d’exploitation publique dans la table d’entrée de vulnérabilité. |
| u_cvssv3 | v3_base_score | Mappe le score cvssv3 sur le score de base v3 dans l’enregistrement d’entrée de vulnérabilité. |
| u_description | résumé | Mappe la description au champ Résumé dans l’enregistrement d’entrée de vulnérabilité. |
| u_exploitinkit | malware_kit | Mappe le champ u_exploitinkit au kit malware dans la table Exploit. |
| u_exploittypes | type | Mappe le type d’exploit au type de la table Exploit. |
| u_exploitverified | is_exploit_verified | Mappe le champ u_exploitverified sur l’exploit vérifié dans la table Exploit. |
| u_exploituris | exploit_links | Mappe le champ u_exploituris aux liens d’exploitation dans la table Exploit. |
Les scripts de transformation suivants sont exécutés pendant le processus de transformation.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation). | Script utilisé pour initialiser les valeurs de la variable de champ d’application (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Script utilisé pour créer ou mettre à jour les valeurs dans la table NVD ou d’entrée tierce. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Script utilisé pour définir les valeurs des nouveaux éléments qui ont été créés et des éléments qui ont été mis à jour et ignorés. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
Importation des recommandations MS TVM
Les données de recommandation importées sont d’abord chargées dans la table d’importation des recommandations MS TVM [sn_vul_msft_tvm_recom_import].
Remarque :
Pour afficher cette carte de transformation, accédez à et recherchez MS TVM Recommendation Transform (Transformation des recommandations MS TVM).Les modifications apportées à cette carte de transformation modifient le mode de traitement des données issues de l’importation des recommandations MS TVM.
La table suivante répertorie les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_recommendedvendor | recommended_vendor | Mappe le champ u_recommendedvendor à la colonne Fournisseur. |
| u_weaknesses | Faiblesses | Mappe le champ u_weaknesses à la colonne Faiblesses. |
| u_exposedmachinescount | src_exposed_machines_cnt | Mappe le champ u_exposedmachinescount à la colonne Nombre d’ordinateurs exposés. |
| u_status | état | Mappe l’état au champ État dans l’enregistrement de recommandation. |
| u_productname | product_name | Mappe le champ u_productname au nom du produit dans l’enregistrement de recommandation. |
| u_nonproductiv_impactedassets | non_prod_impacted_assets | Mappe le champ u_nonproductiv_impactedassets à la colonne Actifs impactés dans l’enregistrement de recommandation. |
| u_activealert | active_alert | Mappe le champ u_activealert à la colonne Alerte active dans l’enregistrement de recommandation. |
| u_recommendedversion | recommended_version | Mappe le champ u_recommendedversion à la colonne Version recommandée dans l’enregistrement de recommandation. |
| u_totalmachinecount | total_machine_count | Mappe le champ u_totalmachinecount à la colonne Nombre total d’ordinateurs dans l’enregistrement de recommandation. |
| u_exposureimpact | exposure_impact | Mappe le champ u_exposureimpact à la colonne Impact de l’exposition dans l’enregistrement de recommandation. |
| u_recommendationname | recommendation_name | Mappe le champ u_recommendationname à la colonne Nom de recommandation dans l’enregistrement de recommandation. |
| u_subcategory | Sous-catégorie | Mappe le champ u_subcategory à la colonne Sous-catégorie dans l’enregistrement de recommandation. |
| u_id | source_id | Mappe l’ID de recommandation de MS TVM à la colonne ID source. |
| u_remediationtype | remediation_type | Mappe le champ u_remediationtype à la colonne Type de rattrapage dans l’enregistrement de recommandation. |
| u_relatedcomponent | related_component | Mappe le champ u_relatedcomponent à la colonne Composant connexe dans l’enregistrement de recommandation. |
| u_recommendedprogram | recommended_program | Mappe le champ u_recommendedprogram à la colonne Programme recommandé dans l’enregistrement de recommandation. |
| u_recommendationcategory | recommendation_category | Mappe le champ u_recommendationcategory à la colonne de catégorie de recommandation dans l’enregistrement de recommandation. |
| u_publicexploit | public_exploit | Mappe le champ u_publicexploit à la colonne Exploitation publique dans l’enregistrement de recommandation. |
| u_vendor | vendor | Mappe le champ u_vendor à la colonne Fournisseur dans l’enregistrement de recommandation. |
| [Script] | integration_instance | Nom de l’instance à partir de laquelle la recommandation est importée. |
| [Script] | sys_domain | Domaine dans lequel cet enregistrement est importé. |
Les scripts de transformation suivants sont exécutés pendant le processus de transformation.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation). | Script utilisé pour initialiser les valeurs de la variable de champ d’application (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Script utilisé pour mettre à jour les valeurs dans les recommandations et vérifier si les recommandations existent. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Script utilisé pour définir les valeurs des éléments créés, mis à jour et ignorés. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
Importation des vulnérabilités de la machine MS TVM
La carte de transformation des vulnérabilités des ordinateurs MS TVM est utilisée pour transformer les informations sur les vulnérabilités ouvertes et corrigées importées à partir de MS TVM.
Remarque :
Pour accéder aux cartes de transformation des vulnérabilités ouvertes et fixes de MS TVM, accédez à et recherchez la transformation des vulnérabilités de la machine MS TVM.Les modifications apportées à cette carte de transformation modifient la façon dont les données de l’importation des vulnérabilités de la machine MS TVM sont traitées.
La table suivante répertorie les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | detection_key | Mappe le champ u_id à la colonne Clé de détection dans la table de détection. |
| u_diskpaths | proof | Mappe le champ u_diskpaths à la colonne Preuve dans la table de détection. |
| u_registrypaths | proof | Mappe le champ u_registrypaths à la colonne Preuve dans la table de détection. |
| u_recommendedsecurityupdateid | preferred_solution | Mappe le champ u_recommendedsecurityupdateid à la colonne Solution préférée dans la table des éléments vulnérables, si la solution existe avec le même ID dans la table sn_vul_solution. |
| u_recommendationreference | Recommandation | Mappe le champ u_recommendationreference à la colonne Recommandation dans la table des éléments vulnérables. |
| u_cveid | vulnerability | Mappe le champ u_cveid à la colonne Vulnérabilité dans la table des éléments vulnérables. |
| u_status | source_status | Mappe le champ u_status à la colonne État de la source dans la table de détection. |
| u_eventtimestamp | temporal_score | Mappe le champ de u_eventtimestamp à la colonne Dernier trouvé dans la table d’éléments vulnérables. |
| u_lastseentimestamp | last_seen | Mappe le champ u_lastseentimestamp à la colonne Dernier observé dans la table des éléments vulnérables. |
| u_firstseentimestamp | first_seen | Mappe le champ u_firstseentimestamp à la colonne Premier observé dans la table des éléments vulnérables. |
| u_recommendedsecurityupdate | solution_summary | Mappe le champ u_recommendedsecurityupdate à la colonne Résumé de la solution dans la table des éléments vulnérables. |
| u_recommendedsecurityupdateurl | solution_summary | Mappe le champ u_recommendedsecurityupdateurl à la colonne Résumé de la solution dans la table des éléments vulnérables. |
Les scripts de transformation suivants sont exécutés pendant le processus de transformation.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation). | Script utilisé pour initialiser les valeurs de la variable de champ d’application (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Script utilisé pour vérifier si l’entrée et les détections de vulnérabilité existent. Dans le cas contraire, ces enregistrements sont créés dans leurs tables respectives. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onComplete (lorsqu’un jeu d’importation a terminé sa transformation). | Script utilisé pour mettre à jour le nombre de VI et de détections tels qu’importés à partir de MS TVM. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |