Transformation des données pour l’intégration Tenable Vulnerability
Une fois que vous avez identifié les données à importer, celles-ci sont récupérées à partir du produit Tenable et traitées via un ensemble de sources de données et de transformations dans votre instance.
Lors de l’installation, les cartes de gravité normalisées sont installées dans le module Mappage de gravité normalisée. Ces cartes transforment les niveaux de gravité Tenable importés en niveaux de gravité standard pour le traitement dans votre instance. Pour plus d’informations sur la création de cartes de gravité, consultez Créer une carte de gravité Vulnerability Response dans la Réponse aux vulnérabilités documentation.
Importation d'actif Tenable.io
Les données d’actif importées sont d’abord chargées dans la table d’importation d’actifs Tenable.io [sn_vul_tenable_io_asset_import].
La carte de transformation d’intégration des actifs Tenable.io est utilisée pour transformer les informations sur les actifs importés. Les changements apportés à cette transformation modifient la façon dont les données provenant de l’importation d’actifs Tenable sont traitées. Pour accéder à cette carte de transformation, accédez à . Recherchez Tenable.io transformation d’actif.
Les tables suivantes répertorient les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | source_id | Tenable fournit un ID unique pour les actifs et les mappe à l’enregistrement d’élément détecté et est utilisé pour la recherche de CI. |
| u_ipv4s | ip_address | Mappe la première valeur IP au champ ip_address sur l’enregistrement de l’élément détecté. |
| u_mac_addresses | mac_address | Mappe la première valeur mac_address au champ d’adresse MAC sur l’enregistrement de l’élément détecté. |
| u_fqdns | fqdn | Mappe la première valeur de nom de domaine complet au champ de nom de domaine complet sur l’enregistrement d’élément détecté. |
| u_netbios_names | Netbios | Mappe la première valeur netbios au champ netbios sur l’enregistrement de l’élément détecté. |
| u_operating_systems | système d'exploitation | Mappe la première valeur de système d’exploitation au champ système d’exploitation sur l’enregistrement de l’élément détecté. |
| (Avant les versions 14.0 Réponse aux vulnérabilités et 2.2 de Tenable Vulnerability Integration)u_last_scan_time | last_scan_date | Mappé au champ last_scan_date sur l’enregistrement de l’élément détecté. |
| u_last_authenticated_scan_date | last_auth_scan_date | Mappe au champ last_auth_scan_date sur l’enregistrement de l’élément détecté. |
| [script] | name | Mappe le nom d’hôte à l’aide de la logique du script. |
| u_tags | Les balises sont enregistrées dans sn_sec_cmn_host_tag. Le mappage des balises aux ressources est enregistré dans sn_sec_cmn_m2m_src_ci_tag. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie le moment d’exécution de chaque script et son but.
Délai et objectif du script de la carte de transformation des actifs Tenable.io
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs du import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Fonction utilisée pour mettre à jour les valeurs dans l’hôte et vérifier si l’hôte existe déjà. En fonction des résultats, modifie les valeurs d’un import_set. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
Intégration des modules d’extension Tenable.io
La carte de transformation des modules d’extension Tenable.io est utilisée pour transformer les modules d’extension importés à partir de Tenable.io.
Remarque :
Les modifications apportées à cette carte de transformation modifient la façon dont les données reçues des modules d’extension Tenable sont traitées.
Pour accéder à cette carte de transformation, accédez à . Recherchez la transformation du module d’extension Tenable.io.
La charge utile des modules d’extension tenable.io contient tous les champs de la colonne u_attributes de la table sn_vul_tenable_io_plugin_import. Le champ d’attributs est analysé et mappé aux enregistrements de table d’entrée tiers, tels que répertoriés dans la table suivante.
| Champ source | Champ cible | Description |
|---|---|---|
| id | id | Mappe l’ID à partir de la source et lui ajoute le préfixe TEN-. Par exemple, si l’ID reçu est 12345, l’ID de la table cible est TEN-12345. |
| Description | résumé | Mappe la description du module d’extension à la colonne Résumé. |
| [script] | source | La source du TPE importé est Tenable.io. |
| [script] | source_instance | Référence au déploiement Tenable qui importe cet enregistrement. |
| famille | catégorie | Mappe la famille de module d’extension à la colonne de catégorie |
| plugin_modification_date | last_modified | Mappe la plugin_modification_date au champ de la dernière modification. |
| plugin_publication_date | date_published | Mappe le plugin_publication_date à la date de publication. |
| has_patch | remediation_type | Mappe le type de rattrapage à partir de has_patch valeur. |
| synopsis | menace | Mappe les informations sur la menace concernant cette vulnérabilité. |
| cvss_base__score | score | Mappe le score de base CVSS à la colonne de score dans la table d’entrée tierce. |
| solution | solution | Mappe la solution fournie par le scanner à la colonne de solution dans la table d’entrée tierce. |
| exploit_available | exploit | Mappe les exploit_available fournies par le scanner à la colonne Exploit dans la table d’entrée tierce |
| vpr.score | source_risk_score | Mappe le score VPR fourni par le scanner au source_risk_score dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR à la cote de risque standard en fonction des plages de scores :
|
| vpr.drivers.age_of_vuln | age_of_vuln | Mappe l’âge de la vulnérabilité du scanner à la colonne age_of_vuln dans la table d’entrée tierce. |
| vpr.drivers.exploit_code_maturity | exploit_code_maturity | Mappe la maturité du code d’exploitation du scanner à exploit_code_maturity dans la table d’entrée tierce. |
| vpr.drivers.product_coverage | product_coverage | Mappe la couverture du produit depuis le scanner jusqu’au product_coverage dans la table d’entrée tierce. |
| vpr.drivers.threat_sources_last28 | threat_sources | Mappe les sources de menace au cours des 28 derniers jours, du scanner au threat_sources dans la table tierce. |
| vpr.drivers.threat_intensity_last28 | threat_intensity | Mappe l’intensité de la menace au cours des 28 derniers jours depuis le scanner jusqu’à threat_intensity dans la table d’entrée tierce. |
| vpr.drivers.threat_recency | threat_recency | Mappe les informations de récence de la menace du scanner à threat_recency dans la table d’entrée tierce. |
| vpr.drivers.cvss3_impact_score | v3_impact_subscore | Mappe le score d’impact cvss3 à v3_impact_subscore colonne dans la table d’entrée tierce. |
| cvss_temporal_score | cvss_temporal_score | Mappe le score temporel pour CVSS v2. |
| cvss_v3_temporal_score | v3_temporal_score | Mappe le score temporel pour CVSS v3. |
| risk_factor | source_severity | Mappé à la gravité de la source dans la table d’entrée tierce. |
| name | name | Mappe le nom du module d’extension au nom dans la table d’entrée tierce. |
| stig_severity | stig_severity | Mappe le score VPR fourni par le scanner au source_risk_score dans la table d’entrée tierce. |
| plugin_type | check_type | Mappe le type de module d’extension au check_type dans la table d’entrée tierce. |
| unsupported_by_vendor | unsupported_by_vendor | Mappe le champ de unsupported_by_vendor à la colonne unsupported_by_vendor. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction de exploit_available et v3_attack_vector de colonnes. |
En plus des champs directs, d’autres informations sont ajoutées sous forme de listes connexes aux entrées de tiers.
| Champ source | Description |
|---|---|
| cve | Insère les données liées aux CVE dans la table de référence (sn_vul_nvd_entry). Si la même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvée, elle associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| offre | La liste des traqs de bogues est ajoutée en tant que référence. |
| see_also | La liste des URL est ajoutée en tant que référence. |
| xrefs | La liste de X-REF est ajoutée en tant que référence. |
| [script] | Liste des exploits pour ce module d’extension et insère le mappage pour le cadre de travail de l’exploit applicable et le module d’extension à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie le moment d’exécution de chaque script et son but.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs du import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Fonction utilisée pour mettre à jour les valeurs de l’entrée tierce et vérifier si l’entrée tierce existe déjà. En fonction des résultats, modifie les valeurs d’une entrée de tiers. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
L’include de script TenableIOPluginsImportProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de Tenable.io intégration des modules d’extension et la transforme en Now Platform entrées de vulnérabilité tierces. Toute modification apportée à cet include de script peut altérer la transformation des données de Tenable.io modules d’extension dans la table d’entrée tierce.
Importation des vulnérabilités Tenable.io
Les Tenable.io cartes de transformation des éléments vulnérables sont utilisées pour transformer les informations sur les vulnérabilités ouvertes et corrigées importées depuis Tenable.io.
Remarque :
Les changements apportés à cette carte de transformation modifient la façon dont les données provenant de l’importation des vulnérabilités Tenable sont traitées.
La même carte de transformation est utilisée pour l’intégration des vulnérabilités fixes Tenable.io et l’intégration des vulnérabilités ouvertes Tenable.io. Pour accéder à cette carte de transformation, accédez à . Recherchez la carte de transformation de l’élément vulnérable Tenable.io.
| Champ source | Champ cible | Description |
|---|---|---|
| u_asset.uuid | id | Uuid est mappé au champ d’ID de l’enregistrement de cmdb_ci. |
| u_asset.ipv4 | ip_address | Le champ ipv4 est mappé au champ d’adresse ip de l’enregistrement cmdb_ci. |
| u_asset .last_authenticated_results | last_auth_scan_date | La date de la dernière analyse authentifiée est mappée à la date de la dernière analyse d’authentification de l’enregistrement cmdb_ci. |
| u_asset.mac_addess | mac_address | L’adresse Mac est mappée au champ d’adresse MAC de l’hôte de l’enregistrement cmdb_ci. |
| u_asset.netbios_name | Netbios | Netbios est mappé au champ netbios de cmdb_ci enregistrement. |
| u._plugin.cvss3_base_score | v3_base_score | Le score de base CVSS v3 est mappé au score de base v3 de l’enregistrement d’entrée tierce. |
| u._plugin.cvss3_temporal_score | v3_temporal_score | Le score temporel CVSS v3 est mappé au score temporel v3 dans l’enregistrement d’entrée tierce. |
| u._plugin.cvss_base_score | score | Le score de base CVSS est mappé au champ de score de l’enregistrement d’entrée tierce. |
| u._plugin.cvss_temporal_score | temporal_score | Le score temporel est mappé au score temporel dans l’enregistrement d’entrée tierce. |
| u_plugin.description | résumé | La description est mappée au champ Résumé dans l’enregistrement d’entrée tierce. |
| u_plugin.famille | catégorie | Mappe la famille de module d’extension à la colonne de catégorie de l’enregistrement d’entrée tierce. |
| u_plugin.modification_date | last_modified | La dernière date modifiée est mappée à la date de la dernière modification du module d’extension dans l’enregistrement d’entrée tierce. |
| u_plugin.date_publication_ | date_published | La date de publication est mappée au champ Date de publication de l’enregistrement d’entrée tierce. |
| u_plugin.risque_facteur | source_severity | Le facteur de risque est mappé au champ source_severity de l’enregistrement d’entrée tierce. |
| u_plugin.solution | solution | La solution est mappée au champ de solution de l’enregistrement d’entrée tierce. |
| u_plugin.synopsis | menace | Le synopsis est mappé au champ de menace de l’enregistrement d’entrée de tiers. |
| u_severity_id | Priorité | La priorité est mappée à l’ID de gravité de la charge utile. La valeur par défaut est de 5. |
| u_plugin.exploit_disponible | exploit | Mappe les exploit_available fournies par le scanner à la colonne Exploit dans la table d’entrée tierce. |
| vpr.score | source_risk_score | Mappe le score VPR fourni par le scanner au source_risk_score dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR à la cote de risque standard en fonction des plages de scores :
|
| u_plugin.vpr.drivers.age_of_vuln | age_of_vuln | Mappe l’âge de vulnérabilité depuis le scanner jusqu’aux age_of_vuln dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.exploit_code_maturity | exploit_code_maturity | Mappe la maturité du code d’exploitation du scanner à exploit_code_maturity dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.product_coverage | product_coverage | Mappe la couverture du produit depuis le scanner jusqu’au product_coverage dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.threat_sources_last28 | threat_sources | Mappe les sources de menace au cours des 28 derniers jours depuis le scanner jusqu’à threat_sources dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.threat_intensity_last28 | threat_intensity | Mappe l’intensité de la menace au cours des 28 derniers jours depuis le scanner jusqu’à threat_intensity dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.threat_recency | threat_recency | Mappe les informations de récence de la menace du scanner aux threat_recency dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.cvss3_impact_score | v3_impact_subscore | Mappe le score d’impact CVSS3 v3 à v3_impact_subscore colonne dans la table d’entrée tierce. |
| u_plugin.type | check_type | Mappe le type de module d’extension au check_type dans la table d’entrée tierce. |
| u_plugin.unsupported_by_vendor | unsupported_by_vendor | Mappe le champ unsupported_by_vendor du module d’extension à la colonne unsupported_by_vendor. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction de exploit_available et v3_attack_vector de colonnes. |
| u_plugin.family_id | Family_id | Mappe l’ID de famille de modules d’extension à family_id colonne de la table d’entrée tierce. |
| port | port | Le port est mappé au champ port de l’enregistrement d’élément vulnérable. |
| protocol | protocol | Le protocole est mappé au champ Protocole de l’enregistrement d’élément vulnérable. |
| u_first_found | first_found | Le premier trouvé est mappé au champ du premier trouvé de l’enregistrement d’élément vulnérable. |
| u_last_found | last_found | Dernier trouvé est mappé au champ Dernier trouvé de l’enregistrement d’élément vulnérable. |
| u_state | État | L’état est mappé au champ État dans l’enregistrement de l’élément vulnérable |
| [script] | source | La source de l’intégration est renseignée. Les éléments vulnérables créés à partir de cette intégration ont Tenable.io comme source. |
| [script] | integration_instance | Le integration_instance est le nom de l’instance à partir de laquelle l’élément vulnérable est importé. |
| u_plugin.name | name | Mappe le nom du module d’extension au nom dans la table d’entrée tierce. |
| u_plugin.stig_severity | stig_severity | Mappe la gravité stig du module d’extension à la colonne gravité stig dans la table d’entrée tierce |
En plus des champs directs, d’autres informations sont ajoutées sous forme de listes connexes aux entrées de tiers.
| Champ source | Description |
|---|---|
| cve | Insère les données liées aux CVE dans la table de référence (sn_vul_nvd_entry). Si la même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvée, elle associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| offre | La liste des traqs de bogues est ajoutée en tant que référence. |
| see_also | La liste des URL est ajoutée en tant que référence. |
| xrefs | La liste de X-REF est ajoutée en tant que référence. |
| [script] | Liste des exploits pour ce module d’extension et insère le mappage de l’infrastructure de l’exploit applicable et du module d’extension à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie le moment d’exécution de chaque script et son but.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation déclenche TenableIOVulnerabilitiesProcessor qui importe les données des Tenable.io à l’aide du jeu d’importation et charge chaque enregistrement dans la table CI CMDB, la table des éléments vulnérables et la table de vulnérabilité tierce. Pour un usage interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Fonction permettant de vérifier si l’entrée et les détections tierces existent déjà. Dans le cas contraire, ces enregistrements sont créés dans leurs tables respectives. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour mettre à jour le nombre de CI, de VI et de détections tels qu’importés à partir de Tenable.io. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
Importation d'actif Tenable.sc
Les données d’actif importées à partir de Tenable.sc sont d’abord chargées dans la table d’importation d’actifs Tenable.sc (sn_vul_tenable_sc_asset_import). La carte de transformation de l’intégration des actifs Tenable.sc est utilisée pour transformer les informations sur les actifs importés. Les changements apportés à cette transformation modifient la façon dont les données provenant de l’importation d’actifs Tenable sont traitées. Pour accéder à cette carte de transformation, accédez à . Recherchez la transformation de l’actif Tenable.sc.
| Champ source | Champ cible | Description |
|---|---|---|
| u_uuid | id | L’uuid n’étant pas renseigné à partir de l’API Tenable, l’attribut « u_uniqueness » est donc utilisé pour créer un champ uuid unique pour les actifs et le mapper à l’enregistrement cmdb_ci. |
| u_ip | ip_address | Mappe le champ IP de l’API au champ ip_address d’un enregistrement cmdb_ci. |
| u_macaddress | mac_address | Mappe le champ macaddress de l’API au champ d’adresse sur l’enregistrement cmdb_ci. |
| u_dnsname | fqdn | Mappe le champ dnsname de l’API au champ fqdn de l’enregistrement cmdb_ci. |
| u_netbiosname | Netbios | Mappe le champ netbios de l’API au champ netbios de l’enregistrement cmdb_ci. |
| u_oscpe | système d'exploitation | Les informations sur le système d’exploitation sont extraites de l’attribut oscpe dans la charge utile et les mappent au champ système d’exploitation de l’enregistrement cmdb_ci. |
| u_lastauthrun | last_auth_scan_date | Mappe le champ lastauthrun de l’API au champ last_auth_scan_date sur l’enregistrement de l’élément détecté. |
| u_lastauthrun et u_lastunauthrun | last_scan_date | Le lastauthrun est extrait de l’api Tenable ou du lastunauthrun. En fonction de la valeur qui apparaît dans la charge utile, le champ last_scan_date de l’enregistrement de l’élément détecté est renseigné. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie le moment d’exécution de chaque script et son but.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs du import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Fonction utilisée pour mettre à jour les valeurs dans l’hôte et vérifier si l’hôte existe déjà. En fonction des résultats, modifie les valeurs d’un import_set. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
Tenable.sc Importation des modules d’extension
Les données des modules d’extension importées à partir de Tenable.sc sont d’abord chargées dans la table d’importation des modules d’extension Tenable.sc (sn_vul_tenable_sc_plugin_import). La carte de transformation du module d’extension Tenable.sc est utilisée pour transformer les informations des modules d’extension qui ont été importées. Les changements apportés à cette transformation modifient la façon dont les données provenant de l’importation du module d’extension Tenable sont traitées. Pour accéder à cette carte de transformation, accédez à . Recherchez Tenable.sc carte de transformation de module d’extension.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | id | Mappe l’ID à partir de la source et ajoute le préfixe TEN-. Par exemple, si l’ID reçu est 12345, l’ID de la table cible est TEN-12345. |
| u_description | résumé | Mappe la description du module d’extension à la colonne Résumé. |
| [script] | source | Le TPE importé à partir de cette intégration a Tenable.sc comme source. |
| [script] | source_instance | Référence au déploiement Tenable qui importe cet enregistrement. |
| u_family | catégorie | Mappe le champ Nom dans l’objet de famille du module d’extension à la colonne Catégorie. |
| u_plugin_modification_date | last_modified | Mappe la plugin_modification_date au champ de la dernière modification. |
| u_plugin_publication_date | date_published | Mappe le plugin_publication_date à la date de publication. |
| u_has_patch | Remediation_type | Mappe le type de rattrapage à partir de has_patch valeur. |
| u_synopsis | menace | Mappe les informations sur la menace concernant cette vulnérabilité. |
| u_cvss_base_score | score | Mappe le score de base CVSS à la colonne de score dans la table d’entrée tierce. |
| u_solution | solution | Mappe la solution fournie par le scanner à la colonne de solution dans la table d’entrée tierce. |
| u_cvss_temporal_score | cvss_temporal_score | Mappe le score temporel pour CVSS v2. |
| u_cvss_v3_temporal_score | v3_temporal_score | Mappe le score temporel pour CVSS v3. |
| u_risk_factor | Gravité de la source | Mappé à la gravité de la source dans la table d’entrée tierce. |
| u_cvss_v3_base_score | v3_base_score | Mappe le score de base CVSS dans la table d’entrée tierce. |
| u_exploit_available | exploit | Mappe l’exploitDisponible fourni par le scanner à la colonne Exploit dans la table d’entrée tierce. |
| u_vpr_score | source_risk_score | Mappe le score VPR du scanner au score du risque source dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR à la cote de risque standard en fonction des plages de scores :
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | Mappe l’âge de la vulnérabilité depuis le scanner jusqu’aux age_of_vuln dans la table d’entrée tierce. |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | Mappe la maturité du code d’exploitation du scanner à exploit_code_maturity dans la table d’entrée tierce. |
| u_vpr_context[id=product_coverage] | product_coverage | Mappe la couverture du produit depuis le scanner jusqu’au product_coverage dans la table d’entrée tierce. |
| u_vpr_context[id="threat_sources_last_28] | threat_sources | Mappe les sources de menace au cours des 28 derniers jours, du scanner à l’threat_sources dans la table tierce. |
| u_vpr_context[id="threat_intensity_last_28] | threat_intensity | Mappe l’intensité de la menace au cours des 28 derniers jours depuis le scanner jusqu’à threat_intensity dans la table d’entrée tierce. |
| u_vpr_context[id="threat_recency"] | threat_recency | Mappe les informations de récence de la menace du scanner aux threat_recency de la table d’entrée tierce. |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | Mappe le score d’impact CVSS v3 du scanner au v3_impact_subscore dans la table d’entrée tierce. |
| u_name | name | Mappe le nom du module d’extension à la colonne nom dans la table d’entrée tierce. |
| u_stig_severity | stig_severity | Mappe le champ stig_severity du module d’extension à stig_severity dans la table d’entrée tierce. |
| u_check_type | check_type | Mappe le type de chèque au check_type dans la table d’entrée tierce. |
| u_family.id | family_id | Mappe les family_id de module d’extension aux family_id dans la table d’entrée tierce. |
[script] |
exploit_attack_vector |
La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction de exploit_available et v3_attack_vector de colonnes. |
En plus des champs directs, d’autres informations sont ajoutées sous forme de listes connexes aux entrées de tiers.
| Champ source | Description |
|---|---|
| u_cpe | La liste des CPE est ajoutée à titre de référence. |
| u_see_also | La liste des URL est ajoutée en tant que référence. |
| u_exploit_frameworks | Liste des exploits pour ce module d’extension et insère le mappage pour le cadre de travail de l’exploit applicable et le module d’extension à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie le moment d’exécution de chaque script et son but.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs du import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Fonction utilisée pour mettre à jour les valeurs dans l’entrée tierce et vérifier si l’entrée tierce existe déjà. En fonction des résultats, modifie les valeurs d’une entrée de tiers. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation permet de définir les valeurs des modules d’extension créés et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
L’include de script TenableSCPluginsImportProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de l’intégration des modules d’extension Tenable.sc et la transforme en entrées de vulnérabilité tierces ServiceNow. Toute modification apportée à cet include de script peut altérer la transformation des données de Tenable.sc modules d’extension dans la table d’entrée tierce.
Tenable.sc Importation des vulnérabilités
La carte de transformation des vulnérabilités ouvertes Tenable.sc est utilisée pour transformer les données importées de l’intégration des vulnérabilités ouvertes Tenable.sc, et la carte de transformation des vulnérabilités Tenable.sc et corrigées est utilisée pour transformer les données importées de l’intégration des vulnérabilités corrigées Tenable.sc.
Remarque :
Pour accéder aux cartes de transformation des vulnérabilités ouvertes et corrigées Tenable.sc, naviguez vers .Les changements apportés à ces cartes de transformation modifient la façon dont les données provenant de l’importation des vulnérabilités Tenable corrigées/ouvertes sont traitées.
| Champ source | Champ cible | Description |
|---|---|---|
| u_pluginID | ID | Utilisé comme identificateur pour le module d’extension. Ce champ est mappé à l’ID du module d’extension dans l’enregistrement d’entrée tierce. |
| u_riskfactor | source_severity | Ce champ est mappé à source_severity dans l’enregistrement d’entrée tierce. |
| u_severity | Priorité | Le champ de priorité est mappé avec la gravité. La valeur par défaut est de 5. |
| u_hasbeenmitigated | État | Hasbeenmitigated est mappé au champ d’état de l’enregistrement de vulnérabilité. Pour l’intégration des vulnérabilités corrigées, tous les VI sont à l’état « Fermé ». |
| u_ip | ip_address | L’adresse IP est mappée au champ IP de l’hôte de cmdb_ci table. |
| u_port | port | Le port est mappé au champ port de l’enregistrement d’élément vulnérable. |
| u_protocol | protocol | Le protocole est mappé au champ de port de l’enregistrement de l’élément vulnérable. |
| u_firstSeen | first_found | La première valeur vue est mappée au premier champ trouvé de l’enregistrement VI. |
| u_lastSeen | last_found | La dernière valeur observée est mappée au dernier champ trouvé de l’enregistrement VI. |
| u_exploitAvailable | exploit | ExploitAvailable est mappé au champ Exploit dans l’enregistrement d’entrée tierce. |
| u_synopsis | menace | Le synopsis est mappé au champ Menace dans l’enregistrement d’entrée tierce. |
| u_description | résumé | La description est mappée au champ Résumé dans l’enregistrement d’entrée tierce. |
| u_solution | solution | La solution est mappée au champ de solution dans l’enregistrement d’entrée tierce. |
| u_basescore | score | Le score de base est mappé au champ de score dans l’enregistrement de l’entrée tierce. |
| u_temporalScore | temporal_score | Le score temporel est mappé au score temporel dans l’enregistrement d’entrée tierce. |
| u_cvssv3basescore | v3_base_score | Cvssv3basescore est mappé au score de base v3 dans l’enregistrement d’entrée tierce. |
| u_cvsstemporalscore | v3_temporal_score | Le score temporel Cvssv3 est mappé au score temporel v3 dans l’enregistrement d’entrée tierce. |
| u_pluginpubdate | date_published | La date de publication du module d’extension est mappée à la date de publication du module d’extension dans l’enregistrement d’entrée tierce. |
| u_pluginmoddate | last_modified | La dernière date modifiée est mappée à la date de la dernière modification du module d’extension dans l’enregistrement d’entrée tierce. |
| u_dnsname | fqdn | DnsName est mappé au champ FQDN de l’enregistrement cmdb_ci. |
| u_macaddress | mac_address | MacAddress est mappé au champ mac_address de l’enregistrement cmdb_ci. |
| u_netbiosName | Netbios | NetbiosName est mappé au champ NETBIOS de l’enregistrement cmdb_ci. |
| u_ip | ip | L’adresse IP est mappée au champ IP de cmdb_ci enregistrement. |
| hostUniqueness | uuid | L’unicité de l’hôte n’est mappée à aucun champ, mais est utilisée pour déterminer l’uuid de l’hôte. |
| u_family | catégorie | Mappe le champ de nom dans l’objet de famille du module d’extension à la colonne de catégorie de l’enregistrement d’entrée tiers. |
| u_plugintext | proof | Le texte du module d’extension est mappé à la preuve dans l’enregistrement TPE. |
| [script] | source | La source de l’intégration est renseignée. Les éléments vulnérables créés à partir de cette intégration ont Tenable.sc comme source. |
| [script} | integration_instance | Le integration_instance est le nom de l’instance à partir de laquelle l’élément vulnérable est importé. |
| u_vpr_score | source_risk_score | Mappe le score VPR du scanner au score du risque source dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR à la cote de risque standard en fonction des plages de scores :
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | Mappe l’âge de la vulnérabilité depuis le scanner jusqu’aux age_of_vuln dans la table d’entrée tierce. |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | Mappe la maturité du code d’exploitation du scanner à exploit_code_maturity dans la table d’entrée tierce. |
| u_vpr_context[id=product_coverage] | product_coverage | Mappe la couverture du produit depuis le scanner jusqu’au product_coverage dans la table d’entrée tierce. |
| u_vpr_context[id="threat_sources_last_28] | threat_sources | Mappe les sources de menace au cours des 28 derniers jours depuis le scanner jusqu’à threat_sources dans la table tierce. |
| u_vpr_context[id="threat_intensity_last_28] | threat_intensity | Mappe l’intensité de la menace au cours des 28 derniers jours depuis le scanner jusqu’à threat_intensity dans la table d’entrée tierce. |
| u_vpr_context[id="threat_recency"] | threat_recency | Mappe les informations de récence de la menace du scanner aux threat_recency de la table d’entrée tierce. |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | Mappe le score d’impact CVSS v3 du scanner au v3_impact_subscore dans la table d’entrée tierce. |
| u_pluginname | name | Mappe le nom du module d’extension à la colonne nom dans la table d’entrée tierce. |
| u_stigseverity | stig_severity | Mappe le champ stig_severity du module d’extension à stig_severity dans la table d’entrée tierce. |
| u_checktype | check_type | Mappe le type de vérification à check_type dans la table d’entrée tierce. |
| u_family.id | family_id | Mappe les family.id de module d’extension aux family_id dans la table d’entrée tierce. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table third_party_entry est renseignée en fonction de exploit_available et v3_attack_vector de colonnes. |
| Champ source | Description |
|---|---|
| u_cve | Insère les données liées aux CVE dans la table de référence (sn_vul_nvd_entry). Si la même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvée, elle associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| u_bid | La liste des traqs de bogues est ajoutée en tant que référence. |
| u_cpe | La liste des CPE est ajoutée à titre de référence. |
| u_seealso | La liste des URL est ajoutée en tant que référence. |
| u_xrefs | La liste des X-REF est ajoutée à titre de référence. |
| u_exploitframeworks | Liste des exploits pour ce module d’extension et insère le mappage de l’infrastructure de l’exploit applicable et du module d’extension à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie le moment d’exécution de chaque script et son but.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation) | Cette transformation est utilisée pour initialiser les valeurs du import_set du processus d’intégration. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Fonction utilisée pour mettre à jour les valeurs de la vulnérabilité et vérifier si la vulnérabilité existe déjà. En fonction des résultats, modifie les valeurs d’une table d’éléments vulnérables. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux VI créés et des VI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. La modification ou la suppression n’est pas recommandée. |