Transformation des données pour Microsoft Threat and Vulnerability Management Intégration des vulnérabilités

  • Rversion finale: Zurich
  • Mis à jour 5 sept. 2025
  • 9 minutes de lecture

    • Une fois que vous avez identifié les données que vous souhaitez importer, les données sont récupérées à partir de l’application ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM), traitées via un ensemble de sources de données et transformées dans votre instance.

    Lors de l’installation, les cartes de gravité normalisées sont installées dans le module Mappage de gravité normalisée. Ces cartes transforment les niveaux de gravité de vulnérabilité tiers importés Microsoft en niveaux de gravité standard pour le traitement dans votre instance. Pour plus d’informations sur la création de cartes de gravité, reportez-vous à la section Créer une carte de Réponse aux vulnérabilités gravité.

    Importation des machines MS TVM

    Les données des machines importées sont d’abord chargées dans la table d’importation des machines MS TVM [sn_vul_msft_tvm_machines_import].

    La transformation des machines MS TVM est utilisée pour transformer les informations des machines importées.
    Remarque :
    Les modifications apportées à cette carte de transformation modifient la façon dont les données de l’importation des machines MS TVM sont traitées.
    Pour accéder à cette carte de transformation, accédez à Ensembles de données à importations système > Cartes de transformation et recherchez Microsoft TVM Machines Transform.

    La table suivante répertorie les champs de carte de transformation par intégration.

    Tableau 1. Transformation des machines MS TVM Champs de carte
    Champ source Champ cible Description
    u_id source_id ID unique des actifs. Cet ID est mappé au source_id de l’enregistrement de l’élément détecté.
    Adresse.mac u_ipaddresses mac_address Adresse MAC mappée à partir de l’API au champ d’adresse MAC de l’hôte de l’enregistrement cmdb_ci.
    u_ipaddresses.adresse ipip ip_address Champ d’adresse IP mappé sur le champ d’adresse IP de l’enregistrement cmdb_ci.
    u_lastseen last_scan_date Champ mappé au champ last_scan_date de l’enregistrement de l’élément détecté.
    u_machinetags Balises enregistrées dans sn_sec_cmn_host_tag. Le mappage des balises aux actifs est enregistré dans sn_sec_cmn_m2m_src_ci_tag.
    u_osplatform système d'exploitation Champ mappé au champ du système d’exploitation sur l’enregistrement cmdb_ci.
    u_computerdnsname fqdn Champ qui mappe le champ dnsname de l’API au champ FQDN sur l’enregistrement cmdb_ci.

    Les scripts de transformation suivants sont exécutés au cours du processus de transformation.

    Machines MS TVM Carte de transformation, synchronisation et finalité du script

    Lorsque le script est exécuté Objectif
    onStart (lorsqu’un jeu d’importation a commencé la transformation). Script utilisé pour initialiser les valeurs de la variable de périmètre (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.
    onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). Script utilisé pour mettre à jour les valeurs dans l’hôte et vérifier si l’hôte existe. En fonction des résultats, ce script modifie les valeurs de la variable de portée (sn_vul_msft_tvm). Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.
    onComplete (lorsqu’un jeu d’importation a terminé la transformation). Script utilisé pour définir le nombre de CI créés, mis à jour et ignorés. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.

    L’include de script MicrosoftTVMMachinesProcessor est appelé à partir du script de transformation onBefore. Il prend la sortie de l’intégration des machines Microsoft TVM et la transforme en CI. Tout changement apporté à cet include de script peut altérer la transformation des données des ordinateurs Microsoft TVM dans la table de CI et d’élément détecté.

    Intégration des vulnérabilités MS TVM

    Les données de vulnérabilités importées sont d’abord chargées dans la table d’importation Microsoft TVM CVE (Vulnerabilities) [sn_vul_msft_tvm_vulnerabilities_import].
    Remarque :
    Les changements apportés à cette carte de transformation modifient la façon dont les données de l’importation de vulnérabilités MS TVM sont traitées.
    Pour accéder à cette carte de transformation, accédez à Ensembles de données à importations système > Cartes de transformation et recherchez Microsoft TVM Vulnerabilities Transform.

    La table suivante répertorie les champs de carte de transformation par intégration.

    Tableau 2. Champs de carte de transformation de vulnérabilités Microsoft TVM
    Champ source Champ cible Description
    u_id id Mappé à la colonne ID de l’enregistrement sn_vul_entry.
    u_severity source_severity Mappe le champ Gravité à la gravité. La valeur par défaut est de 5.
    u_publishedon date_published Mappe le champ u_publishedon à la date de publication.
    u_publicexploit public_exploit Mappe le u_publicexploit fourni par le scanner à la colonne Exploitation publique dans la table Entrée de vulnérabilité.
    u_cvssv3 v3_base_score Mappe le score cvssv3 au score de base v3 dans l’enregistrement d’entrée de vulnérabilité.
    u_description résumé Mappe la description au champ Résumé de l’enregistrement de l’entrée de vulnérabilité.
    u_exploitinkit malware_kit Mappe le champ u_exploitinkit au kit malware dans la table Exploit.
    u_exploittypes type Mappe le type d’exploit au type dans la table Exploit.
    u_exploitverified is_exploit_verified Mappe le champ u_exploitverified à l’exploit vérifié dans la table Exploit.
    u_exploituris exploit_links Mappe le champ u_exploituris aux liens d’exploits dans la table Exploit.

    Les scripts de transformation suivants sont exécutés au cours du processus de transformation.

    Lorsque le script est exécuté Objectif
    onStart (lorsqu’un jeu d’importation a commencé la transformation). Script utilisé pour initialiser les valeurs de la variable de périmètre (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.
    onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). Script utilisé pour créer ou mettre à jour les valeurs dans la NVD ou la table d’entrée tierce. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.
    onComplete (lorsqu’un jeu d’importation a terminé la transformation). Script utilisé pour définir les valeurs des nouveaux éléments qui ont été créés et des éléments qui ont été mis à jour et ignorés. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.

    Importation des recommandations MS TVM

    Les données de recommandation importées sont d’abord chargées dans la table Importation de recommandations MS TVM [sn_vul_msft_tvm_recom_import].
    Remarque :
    Les changements apportés à cette carte de transformation modifient la façon dont les données de l’importation des recommandations MS TVM sont traitées.
    Pour accéder à cette carte de transformation, accédez à Ensembles de données à importations système > Cartes de transformation et recherchez Transformation de recommandation MS TVM.

    La table suivante répertorie les champs de carte de transformation par intégration.

    Tableau 3. Champs de carte de transformation de recommandation MS TVM
    Champ source Champ cible Description
    u_recommendedvendor recommended_vendor Mappe le champ u_recommendedvendor à la colonne Fournisseur.
    u_weaknesses Faiblesses Mappe le champ u_weaknesses à la colonne Faiblesses.
    u_exposedmachinescount src_exposed_machines_cnt Mappe le champ u_exposedmachinescount à la colonne Nombre d’ordinateurs exposés.
    u_status état Mappe l’état au champ État de l’enregistrement de recommandation.
    u_productname product_name Mappe le champ u_productname au nom du produit dans l’enregistrement de recommandation.
    u_nonproductiv_impactedassets non_prod_impacted_assets Mappe le champ u_nonproductiv_impactedassets à la colonne Actifs impactés dans l’enregistrement de recommandation.
    u_activealert active_alert Mappe le champ u_activealert à la colonne Alerte active dans l’enregistrement de recommandation.
    u_recommendedversion recommended_version Mappe le champ u_recommendedversion à la colonne Version recommandée dans l’enregistrement de recommandation.
    u_totalmachinecount total_machine_count Mappe le champ u_totalmachinecount à la colonne Nombre total d’ordinateurs dans l’enregistrement de recommandation.
    u_exposureimpact exposure_impact Mappe le champ u_exposureimpact à la colonne Impact d’exposition dans l’enregistrement de recommandation.
    u_recommendationname recommendation_name Mappe le champ u_recommendationname à la colonne Nom de la recommandation dans l’enregistrement de recommandation.
    u_subcategory sous-catégorie Mappe le champ u_subcategory à la colonne Sous-catégorie dans l’enregistrement de recommandation.
    u_id source_id Mappe l’ID de recommandation de MS TVM à la colonne ID source.
    u_remediationtype remediation_type Mappe le champ u_remediationtype à la colonne Type de rattrapage dans l’enregistrement de recommandation.
    u_relatedcomponent related_component Mappe le champ u_relatedcomponent à la colonne Composant connexe dans l’enregistrement de recommandation.
    u_recommendedprogram recommended_program Mappe le champ u_recommendedprogram à la colonne Programme recommandé dans l’enregistrement de recommandation.
    u_recommendationcategory recommendation_category Mappe le champ u_recommendationcategory à la colonne Catégorie de recommandation dans l’enregistrement de recommandation.
    u_publicexploit public_exploit Mappe le champ u_publicexploit à la colonne Exploitation publique dans l’enregistrement de recommandation.
    u_vendor vendor Mappe le champ u_vendor à la colonne Fournisseur dans l’enregistrement de recommandation.
    [Script] integration_instance Nom de l’instance à partir de laquelle la recommandation est importée.
    [Script] sys_domain Domaine dans lequel cet enregistrement est importé.

    Les scripts de transformation suivants sont exécutés au cours du processus de transformation.

    Tableau 4. Script de carte de transformation de recommandation MS TVM
    Lorsque le script est exécuté Objectif
    onStart (lorsqu’un jeu d’importation a commencé la transformation). Script utilisé pour initialiser les valeurs de la variable de périmètre (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.
    onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). Script utilisé pour mettre à jour les valeurs dans les recommandations et vérifier si les recommandations existent. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.
    onComplete (lorsqu’un jeu d’importation a terminé la transformation). Script utilisé pour définir les valeurs des éléments créés, mis à jour et ignorés. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.

    Importation des vulnérabilités de la machine MS TVM

    La carte de transformation des vulnérabilités des machines MS TVM est utilisée pour transformer les informations sur les vulnérabilités ouvertes et corrigées importées de MS TVM.
    Remarque :
    Les changements apportés à cette carte de transformation modifient la façon dont les données de l’importation des vulnérabilités de la machine MS TVM sont traitées.
    Pour accéder aux cartes de transformation des vulnérabilités MS TVM ouvertes et corrigées, accédez à Ensembles de données à importations système > Cartes de transformation et recherchez la transformation des vulnérabilités de la machine MS TVM.

    La table suivante répertorie les champs de carte de transformation par intégration.

    Tableau 5. Champs de carte de transformation des vulnérabilités de machine MS TVM
    Champ source Champ cible Description
    u_id detection_key Mappe le champ u_id à la colonne Clé de détection dans la table de détection.
    u_diskpaths proof Mappe le champ u_diskpaths à la colonne Preuve dans la table de détection.
    u_registrypaths proof Mappe le champ u_registrypaths à la colonne Preuve dans la table de détection.
    u_recommendedsecurityupdateid preferred_solution Mappe le champ u_recommendedsecurityupdateid à la colonne Solution préférée de la table des éléments vulnérables, si la solution existe avec le même ID dans la table des sn_vul_solution.
    u_recommendationreference recommandation Mappe le champ u_recommendationreference à la colonne Recommandation de la table des éléments vulnérables.
    u_cveid vulnerability Mappe le champ u_cveid à la colonne Vulnérabilité de la table des éléments vulnérables.
    u_status source_status Mappe le champ u_status à la colonne État source dans la table de détection.
    u_eventtimestamp temporal_score Mappe le champ u_eventtimestamp à la colonne Dernier trouvé dans la table des éléments vulnérables.
    u_lastseentimestamp last_seen Mappe le champ u_lastseentimestamp à la colonne Dernier observé dans la table des éléments vulnérables.
    u_firstseentimestamp first_seen Mappe le champ u_firstseentimestamp à la colonne Premier vu dans la table des éléments vulnérables.
    u_recommendedsecurityupdate solution_summary Mappe le champ u_recommendedsecurityupdate à la colonne Résumé de la solution dans la table des éléments vulnérables.
    u_recommendedsecurityupdateurl solution_summary Mappe le champ u_recommendedsecurityupdateurl à la colonne Résumé de la solution dans la table des éléments vulnérables.

    Les scripts de transformation suivants sont exécutés au cours du processus de transformation.

    Lorsque le script est exécuté Objectif
    onStart (lorsqu’un jeu d’importation a commencé la transformation). Script utilisé pour initialiser les valeurs de la variable de périmètre (sn_vul_msft_tvm) pour le processus d’intégration. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.
    onBefore (avant qu’un jeu d’importation n’ait terminé la transformation). Script utilisé pour vérifier si l’entrée de vulnérabilité et les détections existent. Dans le cas contraire, ces enregistrements sont créés dans leurs tables respectives. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.
    onComplete (lorsqu’un jeu d’importation a terminé la transformation). Script utilisé pour mettre à jour le nombre de VI et de détections tels qu’importés de MS TVM. Ce script est destiné à un usage interne et ne doit pas être modifié ou supprimé.