Transformation des données pour l’intégration de vulnérabilité Tenable
Une fois que vous avez identifié les données à importer, elles sont récupérées à partir du produit Tenable et traitées via un ensemble de sources de données et de transformations dans votre instance.
Lors de l’installation, les cartes de gravité normalisées sont installées dans le module Mappage de gravité normalisée. Ces cartes transforment les niveaux de gravité Tenable importés en niveaux de gravité standard pour le traitement dans votre instance. Pour plus d’informations sur la création de cartes de gravité, consultez Créer une carte de gravité de Vulnerability Response dans la Réponse aux vulnérabilités documentation.
Importation d'actif Tenable.io
Les données d’actif importées sont d’abord chargées dans la table d’importation d’actif Tenable.io [sn_vul_tenable_io_asset_import].
La carte de transformation de l’intégration des actifs Tenable.io est utilisée pour transformer les informations sur les actifs importés. Les changements apportés à cette transformation modifient la façon dont les données de l’importation d’actif Tenable sont traitées. Pour accéder à cette carte de transformation, accédez à . Recherchez Tenable.io transformation d’actif.
Les tables suivantes répertorient les champs de carte de transformation par intégration.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | source_id | Tenable fournit un ID unique pour les actifs et les mappe à l’enregistrement de l’élément détecté et est utilisé pour la recherche de CI. |
| u_ipv4s | ip_address | Mappe la première valeur IP au champ ip_address de l’enregistrement de l’élément détecté. |
| u_mac_addresses | mac_address | Mappe la première valeur mac_address au champ d’adresse mac de l’enregistrement d’élément détecté. |
| u_fqdns | fqdn | Mappe la première valeur FQDN au champ FQDN de l’enregistrement d’élément détecté. |
| u_netbios_names | Netbios | Mappe la première valeur NetBIOS au champ NetBIOS de l’enregistrement d’élément détecté. |
| u_operating_systems | système d'exploitation | Mappe la première valeur du système d’exploitation au champ du système d’exploitation de l’enregistrement de l’élément détecté. |
| (Avant les versions 14.0 Réponse aux vulnérabilités et v2.2 de l’intégration de vulnérabilité Tenable u_last_scan_time | last_scan_date | Mappé au champ last_scan_date de l’enregistrement de l’élément détecté. |
| u_last_authenticated_scan_date | last_auth_scan_date | Mappé au champ last_auth_scan_date de l’enregistrement de l’élément détecté. |
| [script] | nom | Mappe le nom d’hôte à l’aide de la logique du script. |
| u_tags | Les balises sont enregistrées dans sn_sec_cmn_host_tag. Le mappage des balises aux actifs est enregistré dans sn_sec_cmn_m2m_src_ci_tag. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie l’exécution de chaque script et son objectif.
Tenable.io Transformation de l’actif : script, synchronisation et objectif du script de carte de transformation
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a commencé la transformation) | Cette transformation permet d’initialiser les valeurs dans le import_set pour le processus d’intégration. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs de l’hôte et vérifier si l’hôte existe déjà. En fonction des résultats, modifie les valeurs d’un import_set. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
Intégration des modules d’extension Tenable.io
La carte de transformation des modules d’extension Tenable.io est utilisée pour transformer les modules d’extension importés à partir de Tenable.io.
Remarque :
Les modifications apportées à cette carte de transformation modifient la façon dont les données reçues des modules d’extension Tenable sont traitées.
Pour accéder à cette carte de transformation, accédez à . Recherchez la transformation du module d’extension Tenable.io.
La charge utile des modules d’extension tenable.io contient tous les champs de la colonne u_attributes de la table sn_vul_tenable_io_plugin_import. Le champ d’attributs est analysé et mappé aux enregistrements de la table d’entrée tierce, tels que répertoriés dans la table suivante.
| Champ source | Champ cible | Description |
|---|---|---|
| id | id | Mappe l’ID à partir de la source et y ajoute le préfixe TEN-. Par exemple, si l’ID reçu est 12345, l’ID dans la table cible est TEN-12345. |
| Description | résumé | Mappe la description du module d’extension à la colonne de résumé. |
| [script] | source | La source du TPE importé est Tenable.io. |
| [script] | source_instance | Référence au déploiement Tenable qui importe cet enregistrement. |
| famille | catégorie | Mappe la famille de module d’extension à la colonne de catégorie |
| plugin_modification_date | last_modified | Mappe le plugin_modification_date au champ de la dernière modification. |
| plugin_publication_date | date_published | Mappe le plugin_publication_date à la date de publication. |
| has_patch | remediation_type | Mappe le type de rattrapage à partir de has_patch valeur. |
| synopsis | menace | Mappe les informations sur cette vulnérabilité. |
| cvss_base__score | score | Mappe le score de base CVSS à la colonne de score dans la table d’entrée tierce. |
| Solution | Solution | Mappe la solution fournie par le scanner à la colonne de solution dans la table d’entrée tierce. |
| exploit_available | exploit | Mappe le exploit_available fourni par le scanner à la colonne Exploit dans la table d’entrée tierce |
| vpr.score | source_risk_score | Mappe le score VPR fourni par le scanner au source_risk_score dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR à la cote de risque standard en fonction des plages de scores :
|
| vpr.drivers.age_of_vuln | age_of_vuln | Mappe l’âge de la vulnérabilité du scanner à la colonne age_of_vuln dans la table d’entrée tierce. |
| vpr.drivers.exploit_code_maturity | exploit_code_maturity | Mappe la maturité du code d’exploitation du scanner à exploit_code_maturity dans la table d’entrée tierce. |
| vpr.drivers.product_coverage | product_coverage | Mappe la couverture du produit du scanner à product_coverage dans la table d’entrée tierce. |
| vpr.drivers.threat_sources_last28 | threat_sources | Mappe les sources de menace au cours des 28 derniers jours, du scanner au threat_sources dans la table tierce. |
| vpr.drivers.threat_intensity_last28 | threat_intensity | Mappe l’intensité de menace au cours des 28 derniers jours du scanner à la threat_intensity dans la table d’entrée tierce. |
| vpr.drivers.threat_recency | threat_recency | Mappe les informations sur la récence des menaces du scanner à la threat_recency dans la table d’entrée tierce. |
| vpr.drivers.cvss3_impact_score | v3_impact_subscore | Mappe le score d’impact cvss3 à v3_impact_subscore colonne de la table d’entrée tierce. |
| cvss_temporal_score | cvss_temporal_score | Mappe le score temporel pour CVSS v2. |
| cvss_v3_temporal_score | v3_temporal_score | Mappe le score temporel pour CVSS v3. |
| risk_factor | source_severity | Mappe à la gravité de la source dans la table d’entrée tierce. |
| nom | nom | Mappe le nom du module d’extension au nom dans la table d’entrée tierce. |
| stig_severity | stig_severity | Mappe le score VPR fourni par le scanner au source_risk_score dans la table d’entrée tierce. |
| plugin_type | check_type | Mappe le type de module d’extension à check_type dans la table d’entrée tierce. |
| unsupported_by_vendor | unsupported_by_vendor | Mappe le champ unsupported_by_vendor à la colonne unsupported_by_vendor. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction du exploit_available et de l’v3_attack_vector des colonnes. |
En plus des champs directs, d’autres informations sont ajoutées en tant que listes connexes aux entrées tierces.
| Champ source | Description |
|---|---|
| cve | Insère les données liées à CVE dans la table de référence (sn_vul_nvd_entry). Si le même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvé, il associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| offre | La liste des transactions de bogues est ajoutée à titre de référence. |
| see_also | La liste des URL est ajoutée en tant que référence. |
| xrefs | La liste de X-REF est ajoutée à titre de référence. |
| [script] | Liste des exploits pour ce module d’extension et mappage des insertions pour le cadre de travail de l’exploit et le module d’extension applicables à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie l’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a commencé la transformation) | Cette transformation permet d’initialiser les valeurs dans le import_set pour le processus d’intégration. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs de l’entrée tierce et vérifier si l’entrée tierce existe déjà. En fonction des résultats, modifie les valeurs d’une entrée tierce. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
L’include de script TenableIOPluginsImportProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de l’intégration des modules d’extension de Tenable.io et la transforme en Now Platform entrées de vulnérabilité tierces. Tout changement apporté à cet include de script peut altérer la transformation des données des modules d’extension de Tenable.io dans la table d’entrée tierce.
Tenable.io l’importation des vulnérabilités
La carte de transformation des éléments vulnérables Tenable.io est utilisée pour transformer les informations sur les vulnérabilités ouvertes et corrigées importées de Tenable.io.
Remarque :
Les changements apportés à cette carte de transformation modifient la façon dont les données de l’importation des vulnérabilités de Tenable sont traitées.
La même carte de transformation est utilisée pour l’intégration des vulnérabilités corrigées Tenable.io et l’intégration des vulnérabilités ouvertes Tenable.io. Pour accéder à cette carte de transformation, accédez à . Recherchez la carte de transformation de l’élément vulnérable Tenable.io.
| Champ source | Champ cible | Description |
|---|---|---|
| u_asset.uuid | id | L’UUID est mappé au champ d’ID de l’enregistrement cmdb_ci. |
| u_asset.ipv4 | ip_address | Le champ ipv4 est mappé au champ d’adresse IP de l’enregistrement cmdb_ci. |
| u_asset .last_authenticated_results | last_auth_scan_date | La date de la dernière analyse authentifiée est mappée à la date de la dernière analyse d’authentification de l’enregistrement cmdb_ci. |
| u_asset.mac_addess | mac_address | L’adresse Mac est mappée au champ adresse MAC de l’hôte de l’enregistrement cmdb_ci. |
| nom_bios u_asset.net | Netbios | NetBIOS est mappé au champ NetBIOS de cmdb_ci enregistrement. |
| u._plugin.cvss3_base_score | v3_base_score | Le score de base CVSS v3 est mappé au score de base v3 de l’enregistrement d’entrée tierce. |
| u._plugin.cvss3_score_temporal | v3_temporal_score | Le score temporel CVSS v3 est mappé au score temporel v3 de l’enregistrement d’entrée tierce. |
| u._plugin.cvss_score_base | score | Le score de base CVSS est mappé au champ de score de l’enregistrement d’entrée du tiers. |
| u._plugin.cvss_temporal_score | temporal_score | Le score temporel est mappé au score temporel dans l’enregistrement d’entrée tierce. |
| u_plugin.description | résumé | La description est mappée au champ Résumé de l’enregistrement d’entrée tierce. |
| u_plugin.famille | catégorie | Mappe la famille de modules d’extension à la colonne catégorie de l’enregistrement d’entrée tiers. |
| u_plugin.modification_date | last_modified | La date de la dernière modification est mappée à la date de la dernière modification du module d’extension dans l’enregistrement d’entrée tierce. |
| u_plugin.publication_date | date_published | La date de publication est mappée au champ de date de publication de l’enregistrement d’entrée tierce. |
| u_plugin.facteur_risque | source_severity | Le facteur de risque est mappé au champ source_severity de l’enregistrement d’entrée tierce. |
| u_plugin.solution | Solution | La solution est mappée au champ de solution de l’enregistrement d’entrée tierce. |
| u_plugin.synopsis | menace | Synopsis est mappé au champ Menace de l’enregistrement d’entrée tierce. |
| u_severity_id | Priorité | La priorité est mappée à l’ID de gravité de la charge utile. La valeur par défaut est de 5. |
| u_plugin.exploit_available | exploit | Mappe le exploit_available fourni par le scanner à la colonne Exploit dans la table d’entrée tierce. |
| vpr.score | source_risk_score | Mappe le score VPR fourni par le scanner au source_risk_score dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR à la cote de risque standard en fonction des plages de scores :
|
| u_plugin.vpr.drivers.age_of_vuln | age_of_vuln | Mappe l’âge de vulnérabilité du scanner à age_of_vuln dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.exploit_code_maturity | exploit_code_maturity | Mappe la maturité du code d’exploitation du scanner à exploit_code_maturity dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.product_coverage | product_coverage | Mappe la couverture du produit du scanner à product_coverage dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.threat_sources_last28 | threat_sources | Mappe les sources de menace au cours des 28 derniers jours à partir du scanner pour threat_sources dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.threat_intensity_last28 | threat_intensity | Mappe l’intensité de menace au cours des 28 derniers jours du scanner à la threat_intensity dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.threat_recency | threat_recency | Mappe les informations sur la récence des menaces du scanner aux threat_recency dans la table d’entrée tierce. |
| u_plugin.vpr.drivers.cvss3_impact_score | v3_impact_subscore | Mappe le score d’impact CVSS3 v3 à v3_impact_subscore colonne de la table d’entrée tierce. |
| u_plugin.type | check_type | Mappe le type de module d’extension à check_type dans la table d’entrée tierce. |
| u_plugin.unsupported_by_vendor | unsupported_by_vendor | Mappe le champ unsupported_by_vendor dans le module d’extension à la colonne unsupported_by_vendor. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction du exploit_available et de l’v3_attack_vector des colonnes. |
| u_plugin.family_id | Family_id | Mappe l’ID de famille du module d’extension à family_id colonne dans la table d’entrée tierce. |
| port | port | Le port est mappé au champ port de l’enregistrement d’élément vulnérable. |
| protocol | protocol | Le protocole est mappé au champ Protocole de l’enregistrement d’élément vulnérable. |
| u_first_found | first_found | Le premier trouvé est mappé au champ premier trouvé de l’enregistrement d’élément vulnérable. |
| u_last_found | last_found | Dernier trouvé est mappé au champ Dernier trouvé de l’enregistrement d’élément vulnérable. |
| u_state | État | L’état est mappé au champ État dans l’enregistrement d’élément vulnérable |
| [script] | source | La source de l’intégration est renseignée. Les éléments vulnérables créés à partir de cette intégration ont Tenable.io comme source. |
| [script] | integration_instance | Le integration_instance est le nom de l’instance à partir de laquelle l’élément vulnérable est importé. |
| u_plugin.nom | nom | Mappe le nom du module d’extension au nom dans la table d’entrée tierce. |
| u_plugin.stig_severity | stig_severity | Mappe la gravité stig du module d’extension à la colonne de gravité stig dans la table d’entrée tierce |
En plus des champs directs, d’autres informations sont ajoutées en tant que listes connexes aux entrées tierces.
| Champ source | Description |
|---|---|
| cve | Insère les données liées à CVE dans la table de référence (sn_vul_nvd_entry). Si le même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvé, il associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| offre | La liste des transactions de bogues est ajoutée à titre de référence. |
| see_also | La liste des URL est ajoutée en tant que référence. |
| xrefs | La liste de X-REF est ajoutée à titre de référence. |
| [script] | La liste des exploits pour ce module d’extension et insère le mappage pour le cadre de travail de l’exploit et le module d’extension applicables à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie l’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a commencé la transformation) | Cette transformation déclenche TenableIOVulnerabilitiesProcessor qui importe les données de Tenable.io à l’aide du jeu d’importation et charge chaque enregistrement dans la table CI CMDB, la table Éléments vulnérables et la table Vulnérabilité tierce. Pour un usage interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction permettant de vérifier si l’entrée tierce et les détections existent déjà. Dans le cas contraire, ces enregistrements sont créés dans leurs tables respectives. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour mettre à jour le nombre de CI, de VI et de détections tels qu’importés à partir de Tenable.io. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
Importation d'actif Tenable.sc
Les données d’actif importées à partir de Tenable.sc sont d’abord chargées dans la table d’importation d’actif Tenable.sc (sn_vul_tenable_sc_asset_import). La carte de transformation de l’intégration des actifs Tenable.sc est utilisée pour transformer les informations sur les actifs importés. Les changements apportés à cette transformation modifient la façon dont les données de l’importation d’actif Tenable sont traitées. Pour accéder à cette carte de transformation, accédez à . Recherchez la transformation de l’actif Tenable.sc.
| Champ source | Champ cible | Description |
|---|---|---|
| u_uuid | id | L’uuid n’est pas renseigné à partir de l’API Tenable, c’est pourquoi l’attribut « u_uniqueness » est utilisé pour créer un champ uuid unique pour les actifs et le mapper à l’enregistrement cmdb_ci. |
| u_ip | ip_address | Mappe le champ IP de l’API au champ ip_address d’un enregistrement cmdb_ci. |
| u_macaddress | mac_address | Mappe le champ macaddress de l’API au champ d’adresse de l’enregistrement cmdb_ci. |
| u_dnsname | fqdn | Mappe le champ dnsname de l’API au champ FQDN sur l’enregistrement cmdb_ci. |
| u_netbiosname | Netbios | Mappe le champ netbios de l’API au champ netbios sur l’enregistrement cmdb_ci. |
| u_oscpe | système d'exploitation | Les informations sur le système d’exploitation sont extraites de l’attribut oscpe dans la charge utile et les mappent au champ du système d’exploitation de l’enregistrement cmdb_ci. |
| u_lastauthrun | last_auth_scan_date | Mappe le champ lastauthrun de l’API au champ last_auth_scan_date de l’enregistrement de l’élément détecté. |
| u_lastauthrun et u_lastunauthrun | last_scan_date | Le lastauthrun est extrait de l’API Tenable ou lastunauthrun. En fonction de la valeur qui apparaît dans la charge utile, le champ last_scan_date de l’enregistrement de l’élément détecté est renseigné. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie l’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a commencé la transformation) | Cette transformation permet d’initialiser les valeurs dans le import_set pour le processus d’intégration. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs dans l’hôte et vérifier si l’hôte existe déjà. En fonction des résultats, modifie les valeurs d’un import_set. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux CI créés et des CI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
Tenable.sc l’importation des modules d’extension
Les données de modules d’extension importées à partir de Tenable.sc sont d’abord chargées dans la table d’importation de modules d’extension Tenable.sc (sn_vul_tenable_sc_plugin_import). La carte de transformation du module d’extension Tenable.sc est utilisée pour transformer les informations des modules d’extension qui ont été importées. Les changements apportés à cette transformation modifient la façon dont les données provenant de l’importation du module d’extension Tenable sont traitées. Pour accéder à cette carte de transformation, accédez à . Recherchez Tenable.sc carte de transformation du module d’extension.
| Champ source | Champ cible | Description |
|---|---|---|
| u_id | id | Mappe l’ID à partir de la source et ajoute le préfixe TEN-. Par exemple, si l’ID reçu est 12345, l’ID dans la table cible est TEN-12345. |
| u_description | résumé | Mappe la description du module d’extension à la colonne de résumé. |
| [script] | source | Le TPE importé à partir de cette intégration a Tenable.sc comme source. |
| [script] | source_instance | Référence au déploiement Tenable qui importe cet enregistrement. |
| u_family | catégorie | Mappe le champ nom dans l’objet de famille du module d’extension à la colonne catégorie. |
| u_plugin_modification_date | last_modified | Mappe le plugin_modification_date au champ de la dernière modification. |
| u_plugin_publication_date | date_published | Mappe le plugin_publication_date à la date de publication. |
| u_has_patch | Remediation_type | Mappe le type de rattrapage à partir de has_patch valeur. |
| u_synopsis | menace | Mappe les informations sur cette vulnérabilité. |
| u_cvss_base_score | score | Mappe le score de base CVSS à la colonne de score dans la table d’entrée tierce. |
| u_solution | Solution | Mappe la solution fournie par le scanner à la colonne de solution dans la table d’entrée tierce. |
| u_cvss_temporal_score | cvss_temporal_score | Mappe le score temporel pour CVSS v2. |
| u_cvss_v3_temporal_score | v3_temporal_score | Mappe le score temporel pour CVSS v3. |
| u_risk_factor | Gravité de la source | Mappe à la gravité de la source dans la table d’entrée tierce. |
| u_cvss_v3_base_score | v3_base_score | Mappe le score de base CVSS dans la table d’entrée tierce. |
| u_exploit_available | exploit | Mappe l’exploitAvailable fourni par le scanner à la colonne exploit dans la table d’entrée tierce. |
| u_vpr_score | source_risk_score | Mappe le score VPR du scanner au score de risque source dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR à la cote de risque standard en fonction des plages de scores :
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | Mappe l’âge de la vulnérabilité du scanner à age_of_vuln dans la table d’entrée tierce. |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | Mappe la maturité du code d’exploitation du scanner à exploit_code_maturity dans la table d’entrée tierce. |
| u_vpr_context[id=product_coverage] | product_coverage | Mappe la couverture du produit du scanner à product_coverage dans la table d’entrée tierce. |
| u_vpr_context[id="threat_sources_last_28] | threat_sources | Mappe les sources de menace au cours des 28 derniers jours, du scanner au threat_sources dans la table tierce. |
| u_vpr_context[id="threat_intensity_last_28] | threat_intensity | Mappe l’intensité de menace au cours des 28 derniers jours du scanner à la threat_intensity dans la table d’entrée tierce. |
| u_vpr_context[id="threat_recency"] | threat_recency | Mappe les informations sur la récence des menaces du scanner à threat_recency dans la table d’entrée de tiers. |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | Mappe le score d’impact CVSS v3 du scanner à v3_impact_subscore dans la table d’entrée tierce. |
| u_name | nom | Mappe le nom du module d’extension à la colonne nom dans la table d’entrée tierce. |
| u_stig_severity | stig_severity | Mappe le champ stig_severity dans le module d’extension à stig_severity dans la table d’entrée tierce. |
| u_check_type | check_type | Mappe le type de vérification à check_type dans la table d’entrée tierce. |
| u_family.id | family_id | Mappe le module d’extension family_id à family_id dans la table d’entrée tierce. |
[script] |
exploit_attack_vector |
La colonne exploit_attack_vector de la table d’entrée tierce est renseignée en fonction du exploit_available et de l’v3_attack_vector des colonnes. |
En plus des champs directs, d’autres informations sont ajoutées en tant que listes connexes aux entrées tierces.
| Champ source | Description |
|---|---|
| u_cpe | La liste des CPE est ajoutée à titre de référence. |
| u_see_also | La liste des URL est ajoutée en tant que référence. |
| u_exploit_frameworks | Liste des exploits pour ce module d’extension et mappage des insertions pour le cadre de travail de l’exploit et le module d’extension applicables à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie l’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a commencé la transformation) | Cette transformation permet d’initialiser les valeurs dans le import_set pour le processus d’intégration. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs de l’entrée tierce et vérifier si l’entrée tierce existe déjà. En fonction des résultats, modifie les valeurs d’une entrée tierce. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des modules d’extension créés et ignorés. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
L’include de script TenableSCPluginsImportProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de l’intégration des modules d’extension Tenable.sc et la transforme en entrées de vulnérabilité tierces ServiceNow. Toute modification apportée à cet include de script peut altérer la transformation des données des modules d’extension de Tenable.sc dans la table d’entrée tierce.
Tenable.sc l’importation des vulnérabilités
La carte de transformation des vulnérabilités ouvertes Tenable.sc est utilisée pour transformer les données importées à partir de l’intégration des vulnérabilités ouvertes Tenable.sc, et la carte de transformation des vulnérabilités Tenable.sc et corrigées est utilisée pour transformer les données importées à partir de l’intégration des vulnérabilités corrigées Tenable.sc.
Remarque :
Pour accéder aux Tenable.sc cartes de transformation des vulnérabilités ouvertes et corrigées, accédez à .Les changements apportés à ces cartes de transformation modifient la façon dont les données de l’importation de vulnérabilités Tenable corrigées/ouvertes sont traitées.
| Champ source | Champ cible | Description |
|---|---|---|
| u_pluginID | ID | Utilisé comme identificateur du module d’extension. Ce champ est mappé à l’ID du module d’extension dans l’enregistrement d’entrée tierce. |
| u_riskfactor | source_severity | Ce champ est mappé à source_severity dans l’enregistrement d’entrée tierce. |
| u_severity | Priorité | Le champ de priorité est mappé avec la gravité. La valeur par défaut est de 5. |
| u_hasbeenmitigated | État | Hasbeenmitigated est mappé au champ d’état de l’enregistrement de vulnérabilité. Pour l’intégration des vulnérabilités corrigées, tous les VI sont à l’état « Fermé ». |
| u_ip | ip_address | L’adresse IP est mappée au champ IP de l’hôte de cmdb_ci table. |
| u_port | port | Le port est mappé au champ port de l’enregistrement d’élément vulnérable. |
| u_protocol | protocol | Le protocole est mappé au champ de port de l’enregistrement d’élément vulnérable. |
| u_firstSeen | first_found | La première valeur vue est mappée au premier champ trouvé de l’enregistrement de VI. |
| u_lastSeen | last_found | La dernière valeur vue est mappée au champ dernier trouvé de l’enregistrement de VI. |
| u_exploitAvailable | exploit | ExploitAvailable est mappé au champ d’exploit dans l’enregistrement d’entrée tierce. |
| u_synopsis | menace | Synopsis est mappé au champ Menace dans l’enregistrement d’entrée tierce. |
| u_description | résumé | La description est mappée au champ Résumé de l’enregistrement d’entrée tierce. |
| u_solution | Solution | La solution est mappée au champ Solution dans l’enregistrement d’entrée tierce. |
| u_basescore | score | BaseScore est mappé au champ de score dans l’enregistrement d’entrée tierce. |
| u_temporalScore | temporal_score | Le score temporel est mappé au score temporel dans l’enregistrement d’entrée tierce. |
| u_cvssv3basescore | v3_base_score | Cvssv3basescore est mappé au score de base v3 dans l’enregistrement d’entrée tierce. |
| u_cvsstemporalscore | v3_temporal_score | Le score temporel Cvssv3 est mappé au score temporel v3 dans l’enregistrement d’entrée tierce. |
| u_pluginpubdate | date_published | La date de publication du module d’extension est mappée à la date de publication du module d’extension dans l’enregistrement d’entrée tiers. |
| u_pluginmoddate | last_modified | La date de la dernière modification est mappée à la date de la dernière modification du module d’extension dans l’enregistrement d’entrée tierce. |
| u_dnsname | fqdn | DnsName est mappé au champ FQDN de l’enregistrement cmdb_ci. |
| u_macaddress | mac_address | MacAddress est mappé au champ mac_address de l’enregistrement cmdb_ci. |
| u_netbiosName | Netbios | NetbiosName est mappé au champ NETBIOS de l’enregistrement cmdb_ci. |
| u_ip | ip | L’adresse IP est mappée au champ IP de cmdb_ci enregistrement. |
| hostUniqueness | uuid | L’unicité de l’hôte n’est mappée à aucun champ, mais est utilisée pour déterminer l’uuid de l’hôte. |
| u_family | catégorie | Mappe le champ nom de l’objet famille du module d’extension à la colonne catégorie de l’enregistrement d’entrée tierce. |
| u_plugintext | proof | Le texte du module d’extension est mappé à la preuve dans l’enregistrement TPE. |
| [script] | source | La source de l’intégration est renseignée. Les éléments vulnérables créés à partir de cette intégration ont Tenable.sc comme source. |
| [script} | integration_instance | Le integration_instance est le nom de l’instance à partir de laquelle l’élément vulnérable est importé. |
| u_vpr_score | source_risk_score | Mappe le score VPR du scanner au score de risque source dans la table d’entrée tierce. |
| [script] | source_risk_rating | Mappe le score VPR à la cote de risque standard en fonction des plages de scores :
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | Mappe l’âge de la vulnérabilité du scanner à age_of_vuln dans la table d’entrée tierce. |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | Mappe la maturité du code d’exploitation du scanner à exploit_code_maturity dans la table d’entrée tierce. |
| u_vpr_context[id=product_coverage] | product_coverage | Mappe la couverture du produit de l’analyseur à product_coverage dans la table d’entrée tierce. |
| u_vpr_context[id="threat_sources_last_28] | threat_sources | Mappe les sources de menace au cours des 28 derniers jours, du scanner aux threat_sources dans la table tierce. |
| u_vpr_context[id="threat_intensity_last_28] | threat_intensity | Mappe l’intensité de menace au cours des 28 derniers jours du scanner à la threat_intensity dans la table d’entrée tierce. |
| u_vpr_context[id="threat_recency"] | threat_recency | Mappe les informations sur la récence des menaces du scanner à threat_recency dans la table d’entrée de tiers. |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | Mappe le score d’impact CVSS v3 du scanner à v3_impact_subscore dans la table d’entrée tierce. |
| u_pluginname | nom | Mappe le nom du module d’extension à la colonne de nom dans la table d’entrée tierce. |
| u_stigseverity | stig_severity | Mappe le champ stig_severity dans le module d’extension à stig_severity dans la table d’entrée tierce. |
| u_checktype | check_type | Mappe le type de vérification à check_type dans la table d’entrée tierce. |
| u_family.id | family_id | Mappe le module d’extension family.id à family_id dans la table d’entrée tierce. |
| [script] | exploit_attack_vector | La colonne exploit_attack_vector de la table third_party_entry est renseignée en fonction de la exploit_available et de la v3_attack_vector des colonnes. |
| Champ source | Description |
|---|---|
| u_cve | Insère les données liées à CVE dans la table de référence (sn_vul_nvd_entry). Si le même CVE dans la table d’entrée NVD (sn_vul_nvd_entry) est trouvé, il associe la vulnérabilité actuelle à l’entrée NVD. Le mappage se trouve dans sn_vul_m2m_entry_cve. |
| u_bid | La liste des transactions de bogues est ajoutée à titre de référence. |
| u_cpe | La liste des CPE est ajoutée à titre de référence. |
| u_seealso | La liste des URL est ajoutée en tant que référence. |
| u_xrefs | La liste des X-REF est ajoutée à titre de référence. |
| u_exploitframeworks | La liste des exploits pour ce module d’extension et insère le mappage pour le cadre de travail de l’exploit et le module d’extension applicables à sn_vul_m2m_framework_vul. |
Trois scripts de transformation sont exécutés au cours du processus de transformation. La table suivante répertorie l’exécution de chaque script et son objectif.
| Lorsque le script est exécuté | Objectif |
|---|---|
| onStart (lorsqu’un jeu d’importation a commencé la transformation) | Cette transformation permet d’initialiser les valeurs dans le import_set pour le processus d’intégration. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). | Fonction utilisée pour mettre à jour les valeurs de la vulnérabilité et vérifier si la vulnérabilité existe déjà. En fonction des résultats, modifie les valeurs d’une table d’éléments vulnérables. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |
| onComplete (lorsqu’un jeu d’importation a terminé la transformation). | Cette transformation est utilisée pour définir les valeurs des nouveaux VI créés et des VI qui ont été mis à jour et ignorés. Réservée à une utilisation interne. Il n’est pas recommandé de modifier ou de supprimer. |