Transformation des données pour Microsoft Threat and Vulnerability Management Vulnerability Integration
Une fois que vous avez identifié les données que vous souhaitez importer, celles-ci sont récupérées à partir de l’application ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM), traitées via un ensemble de sources de données et transformées dans votre instance.
Lors de l’installation, les cartes de gravité normalisées sont installées dans le module Mappage de gravité normalisée. Ces cartes transforment les niveaux de gravité de vulnérabilité tiers importés Microsoft en niveaux de gravité standard pour le traitement dans votre instance. Pour en savoir plus sur la création de cartes de gravité, reportez-vous à la section Créer une carte de Réponse aux vulnérabilités gravité.
Importation des machines MS TVM
Les données des machines importées sont d’abord chargées dans la table d’importation des machines MS TVM [sn_vul_msft_tvm_machines_import].
La transformation des machines MS TVM est utilisée pour transformer les informations sur les machines importées.
Remarque :
Pour accéder à cette carte de transformation, accédez à et recherchez Microsoft TVM Machines Transform.Les modifications apportées à cette carte de transformation modifient la façon dont les données provenant de l’importation des machines MS TVM sont traitées.
La table suivante répertorie les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | source_id | ID unique des actifs. Cet ID correspond au source_id de l’enregistrement de l’élément détecté. |
| u_ipaddresses.macAddress | mac_address | Adresse MAC mappée depuis l’API vers le champ d’adresse MAC hôte de l’enregistrement cmdb_ci. |
| u_ipaddresses.ipAddress | ip_address | Champ Adresse IP mappé sur le champ Adresse IP de l’enregistrement cmdb_ci. |
| u_lastseen | last_scan_date | Champ mappé au champ last_scan_date sur l’enregistrement de l’élément détecté. |
| u_machinetags | Balises enregistrées dans sn_sec_cmn_host_tag. Le mappage des balises aux ressources est enregistré dans sn_sec_cmn_m2m_src_ci_tag. | |
| u_osplatform | système d'exploitation | Champ mappé au champ OS de l’enregistrement cmdb_ci. |
| u_computerdnsname | fqdn | Champ qui mappe le champ dnsname de l’API au champ fqdn sur l’enregistrement cmdb_ci. |
Les scripts de transformation suivants sont exécutés au cours du processus de transformation.
Machines MS TVM Délai et objectif du script de carte de transformation
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation). | Script utilisé pour initialiser les valeurs de la variable de champ d’application (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Script utilisé pour mettre à jour les valeurs dans l’hôte et vérifier si l’hôte existe. En fonction des résultats, ce script modifie les valeurs de la variable de champ d’application (sn_vul_msft_tvm). Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Script utilisé pour définir le nombre de CI créés, mis à jour et ignorés. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
L’include de script MicrosoftTVMMachinesProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de l’intégration des machines Microsoft TVM et la transforme en CI. Toute modification apportée à cet include de script peut altérer la transformation des données des ordinateurs Microsoft TVM dans la table CI et Élément détecté.
Intégration des vulnérabilités MS TVM
Les données de vulnérabilités importées sont d’abord chargées dans la table d’importation [sn_vul_msft_tvm_vulnerabilities_import] CVE (vulnérabilités) Microsoft TVM.
Remarque :
Pour accéder à cette carte de transformation, accédez à et recherchez la transformation des vulnérabilités Microsoft TVM.Les modifications apportées à cette carte de transformation modifient la façon dont les données provenant de l’importation des vulnérabilités MS TVM sont traitées.
La table suivante répertorie les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | id | Mappe à la colonne ID de l’enregistrement sn_vul_entry. |
| u_severity | source_severity | Mappe le champ Gravité à la gravité. La valeur par défaut est de 5. |
| u_publishedon | date_published | Mappe le champ de u_publishedon à la date de publication. |
| u_publicexploit | public_exploit | Mappe les u_publicexploit fournies par le scanner à la colonne Exploitation publique dans la table d’entrée de vulnérabilité. |
| u_cvssv3 | v3_base_score | Mappe le score cvssv3 au score de base v3 dans l’enregistrement d’entrée de vulnérabilité. |
| u_description | résumé | Mappe la description au champ Résumé dans l’enregistrement de l’entrée de vulnérabilité. |
| u_exploitinkit | malware_kit | Mappe le champ u_exploitinkit au kit malware dans la table Exploit. |
| u_exploittypes | type | Mappe le type d’exploit au type de la table Exploit. |
| u_exploitverified | is_exploit_verified | Mappe le champ u_exploitverified à l’exploit vérifié dans la table Exploit. |
| u_exploituris | exploit_links | Mappe le champ u_exploituris aux liens d’exploitation dans la table Exploit. |
Les scripts de transformation suivants sont exécutés au cours du processus de transformation.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation). | Script utilisé pour initialiser les valeurs de la variable de champ d’application (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Script utilisé pour créer ou mettre à jour les valeurs dans la table NVD ou la table d’entrée tierce. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Script utilisé pour définir les valeurs des nouveaux éléments qui ont été créés et des éléments qui ont été mis à jour et ignorés. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
Importation des recommandations MS TVM
Les données de recommandation importées sont d’abord chargées dans la table Importation des recommandations MS TVM [sn_vul_msft_tvm_recom_import].
Remarque :
Pour accéder à cette carte de transformation, accédez à et recherchez MS TVM Recommendation Transform.Les modifications apportées à cette carte de transformation modifient le traitement des données issues de l’importation des recommandations MS TVM.
La table suivante répertorie les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_recommendedvendor | recommended_vendor | Mappe le champ u_recommendedvendor à la colonne Fournisseur. |
| u_weaknesses | Faiblesses | Mappe le champ u_weaknesses à la colonne Faiblesses. |
| u_exposedmachinescount | src_exposed_machines_cnt | Mappe le champ u_exposedmachinescount à la colonne Nombre d’ordinateurs exposés. |
| u_status | statut | Mappe l’état au champ État dans l’enregistrement de recommandation. |
| u_productname | product_name | Mappe le champ u_productname au nom du produit dans l’enregistrement de recommandation. |
| u_nonproductiv_impactedassets | non_prod_impacted_assets | Mappe le champ u_nonproductiv_impactedassets à la colonne Actifs impactés dans l’enregistrement de recommandation. |
| u_activealert | active_alert | Mappe le champ u_activealert à la colonne Alerte active dans l’enregistrement de recommandation. |
| u_recommendedversion | recommended_version | Mappe le champ u_recommendedversion à la colonne Version recommandée dans l’enregistrement de recommandation. |
| u_totalmachinecount | total_machine_count | Mappe le champ u_totalmachinecount à la colonne Nombre total d’ordinateurs dans l’enregistrement de recommandation. |
| u_exposureimpact | exposure_impact | Mappe le champ u_exposureimpact à la colonne Impact de l’exposition dans l’enregistrement de recommandation. |
| u_recommendationname | recommendation_name | Mappe le champ u_recommendationname à la colonne Nom de la recommandation dans l’enregistrement de recommandation. |
| u_subcategory | sous-catégorie | Mappe le champ u_subcategory à la colonne Sous-catégorie dans l’enregistrement de recommandation. |
| u_id | source_id | Mappe l’ID de recommandation de MS TVM à la colonne ID de la source. |
| u_remediationtype | remediation_type | Mappe le champ u_remediationtype à la colonne Type de rattrapage dans l’enregistrement de recommandation. |
| u_relatedcomponent | related_component | Mappe le champ u_relatedcomponent à la colonne Composant connexe dans l’enregistrement de recommandation. |
| u_recommendedprogram | recommended_program | Mappe le champ u_recommendedprogram à la colonne Programme recommandé dans l’enregistrement de recommandation. |
| u_recommendationcategory | recommendation_category | Mappe le champ u_recommendationcategory à la colonne Catégorie de recommandation dans l’enregistrement de recommandation. |
| u_publicexploit | public_exploit | Mappe le champ u_publicexploit à la colonne Exploitation publique dans l’enregistrement de recommandation. |
| u_vendor | vendor | Mappe le champ u_vendor à la colonne Fournisseur dans l’enregistrement de recommandation. |
| [Script] | integration_instance | Nom de l’instance à partir de laquelle la recommandation est importée. |
| [Script] | sys_domain | Domaine dans lequel cet enregistrement est importé. |
Les scripts de transformation suivants sont exécutés au cours du processus de transformation.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation). | Script utilisé pour initialiser les valeurs de la variable de champ d’application (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Script utilisé pour mettre à jour les valeurs dans les recommandations et vérifier si les recommandations existent. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Script utilisé pour définir les valeurs des éléments créés, mis à jour et ignorés. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
Importation des vulnérabilités de la machine MS TVM
La carte de transformation des vulnérabilités des machines MS TVM est utilisée pour transformer les informations ouvertes et corrigées sur les vulnérabilités importées à partir de MS TVM.
Remarque :
Pour accéder aux cartes de transformation des vulnérabilités ouvertes et corrigées de MS TVM, accédez à et recherchez la transformation des vulnérabilités de la machine MS TVM.Les modifications apportées à cette carte de transformation modifient la façon dont les données provenant de l’importation des vulnérabilités des machines MS TVM sont traitées.
La table suivante répertorie les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | detection_key | Mappe le champ u_id à la colonne Clé de détection dans la table de détection. |
| u_diskpaths | proof | Mappe le champ u_diskpaths à la colonne Preuve dans la table de détection. |
| u_registrypaths | proof | Mappe le champ u_registrypaths à la colonne Preuve dans la table de détection. |
| u_recommendedsecurityupdateid | preferred_solution | Mappe le champ u_recommendedsecurityupdateid à la colonne Solution préférée dans la table des éléments vulnérables, si la solution existe avec le même ID dans la table sn_vul_solution. |
| u_recommendationreference | recommandation | Mappe le champ u_recommendationreference à la colonne Recommandation de la table des éléments vulnérables. |
| u_cveid | vulnerability | Mappe le champ u_cveid à la colonne Vulnérabilité dans la table des éléments vulnérables. |
| u_status | source_status | Mappe le champ u_status à la colonne État de la source dans la table de détection. |
| u_eventtimestamp | temporal_score | Mappe le champ u_eventtimestamp à la colonne Dernier résultat dans la table des éléments vulnérables. |
| u_lastseentimestamp | last_seen | Mappe le champ u_lastseentimestamp à la colonne Dernier observé dans la table des éléments vulnérables. |
| u_firstseentimestamp | first_seen | Mappe le champ u_firstseentimestamp à la colonne Premier observé dans la table des éléments vulnérables. |
| u_recommendedsecurityupdate | solution_summary | Mappe le champ u_recommendedsecurityupdate à la colonne Résumé de la solution dans la table des éléments vulnérables. |
| u_recommendedsecurityupdateurl | solution_summary | Mappe le champ u_recommendedsecurityupdateurl à la colonne Résumé de la solution dans la table des éléments vulnérables. |
Les scripts de transformation suivants sont exécutés au cours du processus de transformation.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a démarré la transformation). | Script utilisé pour initialiser les valeurs de la variable de champ d’application (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onBefore (avant qu’un jeu d’importation n’ait terminé sa transformation). | Script utilisé pour vérifier si l’entrée de vulnérabilité et les détections existent. Dans le cas contraire, ces enregistrements sont créés dans leurs tables respectives. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Script utilisé pour mettre à jour le nombre de VI et de détections tel qu’importé de MS TVM. Ce script est destiné à une utilisation interne et ne doit pas être modifié ou supprimé. |