Microsoft Threat and Vulnerability Management 脆弱性統合のデータ変換
インポートするデータを特定すると、ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM) アプリケーションからデータが取得され、一連のデータソースによって処理され、インスタンス内で変換されます。
インストール時に、正規化された重大度マップが [正規化された重大度マッピング (Normalized Severity Mapping)] モジュールにインストールされます。これらのマップ変換では、Microsoft サードパーティ脆弱性重大度レベルを標準の重大度レベルにインポートし、インスタンスで処理されます。重大度マッピングの作成については、「脆弱性対応 重大度マップの作成」を参照してください。
MS TVM マシンのインポート
インポートされたマシンのデータは、最初に MS TVM マシンのインポート [sn_vul_msft_tvm_machines_import] テーブルにロードされます。
MS TVM マシンの変換は、インポートされたマシン情報を変換するために使用されます。
注:
この変換マップにアクセスするには、 をクリックし、「 Microsoft TVM Machines Transform」を検索します。この変換マップを変更すると、MS TVM マシンのインポートからのデータの処理方法が変更されます。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | source_id | 資産の一意の ID。この ID は、検出されたアイテムレコードの source_id にマップされます。 |
| u_ipaddresses.macAddress | mac_address | API から cmdb_ci レコードの host mac address フィールドにマッピングされる MAC アドレス。 |
| u_ipaddresses.ipAddress | ip_address | cmdb_ci レコードの IP アドレスフィールドにマッピングされる IP アドレスフィールド。 |
| u_lastseen | last_scan_date | 検出されたアイテムレコードの last_scan_date フィールドにマッピングされるフィールド。 |
| u_machinetags | sn_sec_cmn_host_tag に保存されているタグ。タグから資産へのマッピングは sn_sec_cmn_m2m_src_ci_tag に保存されます。 | |
| u_osplatform | os | cmdb_ci レコードの os フィールドにマップするフィールド。 |
| u_computerdnsname | fqdn | API から cmdb_ci レコードの fqdn フィールドに dnsname フィールドをマッピングするフィールド。 |
変換プロセス中に、次の変換スクリプトが実行されます。
MS TVM マシンの変換マップスクリプトのタイミングと目的
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのスコープ変数 [sn_vul_sccm] の値を初期化するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onBefore (インポートセットの変換が完了する前)。 | ホストの値を更新し、ホストが存在するかどうかを確認するために使用されるスクリプト。結果に基づいて、このスクリプトはスコープ変数 (sn_vul_msft_tvm) の値を変更します。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onComplete (インポートセットが変換を完了したとき) | 作成、更新、および無視される CI の数を設定するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
MicrosoftTVMMachinesProcessor スクリプトインクルードは onBefore 変換スクリプトから呼び出されます。Microsoft TVM マシンの統合からの出力を取得し、CI に変換します。このスクリプトインクルードを変更すると、CI および検出されたアイテムテーブルの Microsoft TVM マシンのデータ変換が変更される可能性があります。
MS TVM 脆弱性統合
インポートされた脆弱性データは、最初に Microsoft TVM CVE (脆弱性) インポート [sn_vul_msft_tvm_vulnerabilities_import] テーブルにロードされます。
注:
この変換マップにアクセスするには、 をクリックし、 Microsoft TVM 脆弱性変換を検索します。この変換マップを変更すると、MS TVM 脆弱性インポートからのデータの処理方法が変更されます。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | ID | sn_vul_entry レコードの [ID] 列にマッピングします。 |
| u_severity | source_severity | [重大度] フィールドを重大度にマッピングします。デフォルト値は 5 です。 |
| u_publishedon | date_published | u_publishedon フィールドを公開日にマッピングします。 |
| u_publicexploit | public_exploit | スキャナーによって提供された u_publicexploit を脆弱性エントリーテーブルの公開 exploit 列にマッピングします。 |
| u_cvssv3 | v3_base_score | cvssv3 スコアを脆弱性エントリーレコードの v3 ベーススコアにマッピングします。 |
| u_description | summary | 説明を脆弱性エントリーレコードのサマリフィールドにマッピングします。 |
| u_exploitinkit | malware_kit | u_exploitinkit フィールドを [エクスプロイト] テーブルのマルウェアキットにマッピングします。 |
| u_exploittypes | type | エクスプロイトタイプを [エクスプロイト] テーブルのタイプにマッピングします。 |
| u_exploitverified | is_exploit_verified | u_exploitverified フィールドを [エクスプロイト] テーブルの検証済みエクスプロイトにマッピングします。 |
| u_exploituris | exploit_links | u_exploituris フィールドを [エクスプロイト] テーブルのエクスプロイトリンクにマッピングします。 |
変換プロセス中に、次の変換スクリプトが実行されます。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのスコープ変数 [sn_vul_sccm] の値を初期化するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onBefore (インポートセットの変換が完了する前)。 | NVD またはサードパーティのエントリーテーブルの値を作成または更新するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onComplete (インポートセットが変換を完了したとき) | 作成された新しいアイテムと更新されて無視されたアイテムの値を設定するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
MS TVM 推奨事項のインポート
インポートされた推奨事項データは、最初に MS TVM 推奨事項のインポート [sn_vul_msft_tvm_recom_import] テーブルにロードされます。
注:
この変換マップにアクセスするには、 をクリックし、「 MS TVM 推奨事項変換」を検索します。この変換マップを変更すると、MS TVM 推奨事項のインポートからのデータの処理方法が変更されます。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_recommendedvendor | recommended_vendor | u_recommendedvendor フィールドを [ベンダー] 列にマッピングします。 |
| u_weaknesses | weaknesses | u_weaknesses フィールドを [脆弱性] 列にマッピングします。 |
| u_exposedmachinescount | src_exposed_machines_cnt | u_exposedmachinescount フィールドを [公開済みマシン数] 列にマッピングします。 |
| u_status | status | ステータスを推奨レコードの [ステータス] フィールドにマッピングします。 |
| u_productname | product_name | u_productname フィールドを推奨レコードの [製品名] にマッピングします。 |
| u_nonproductiv_impactedassets | non_prod_impacted_assets | u_nonproductiv_impactedassets フィールドを推奨レコードの [影響を受ける資産] 列にマッピングします。 |
| u_activealert | active_alert | u_activealert フィールドを推奨事項レコードの [アクティブなアラート] 列にマッピングします。 |
| u_recommendedversion | recommended_version | u_recommendedversion フィールドを推奨レコードの [推奨バージョン] 列にマッピングします。 |
| u_totalmachinecount | total_machine_count | u_totalmachinecount フィールドを推奨レコードの [マシンの合計数] 列にマッピングします。 |
| u_exposureimpact | exposure_impact | u_exposureimpact フィールドを推奨レコードの [エクスポージャーの影響] 列にマッピングします。 |
| u_recommendationname | recommendation_name | u_recommendationname フィールドを推奨レコードの [推奨事項の名前] 列にマッピングします。 |
| u_subcategory | subcategory | u_subcategory フィールドを推奨レコードの [サブカテゴリ] 列にマッピングします。 |
| u_id | source_id | 推奨事項 ID を MS TVM から [ソース ID] 列にマッピングします。 |
| u_remediationtype | remediation_type | u_remediationtype フィールドを推奨レコードの [推奨事項タイプ] 列にマッピングします。 |
| u_relatedcomponent | related_component | u_relatedcomponent フィールドを推奨レコードの [関連コンポーネント] 列にマッピングします。 |
| u_recommendedprogram | recommended_program | u_recommendedprogram フィールドを推奨レコードの [推奨プログラム] 列にマッピングします。 |
| u_recommendationcategory | recommendation_category | u_recommendationcategory フィールドを推奨レコードの [推奨事項のカテゴリ] 列にマッピングします。 |
| u_publicexploit | public_exploit | u_publicexploit フィールドを推奨レコードの [公開エクスプロイト] 列にマッピングします。 |
| u_vendor | vendor | u_vendor フィールドを推奨レコードの [ベンダー] 列にマッピングします。 |
| [Script] | integration_instance | 推奨事項のインポート元のインスタンスの名前。 |
| [Script] | sys_domain | このレコードがインポートされるドメイン。 |
変換プロセス中に、次の変換スクリプトが実行されます。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのスコープ変数 [sn_vul_sccm] の値を初期化するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onBefore (インポートセットの変換が完了する前)。 | 推奨事項の値を更新し、推奨事項が存在するかどうかを確認するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onComplete (インポートセットが変換を完了したとき) | 作成、更新、および無視されるアイテムの値を設定するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
MS TVM マシン脆弱性のインポート
MS TVM マシン脆弱性変換マップは、MS TVM からインポートされたオープンおよび修正済みの脆弱性情報を変換するために使用されます。
注:
MS TVM のオープンおよび修正された脆弱性変換マップにアクセスするには、次の場所に移動します。 をクリックし、 MS TVM マシン脆弱性変換を検索します。この変換マップを変更すると、MS TVM マシン脆弱性インポートからのデータの処理方法が変更されます。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | detection_key | u_id フィールドを検出テーブルの [検出キー] 列にマッピングします。 |
| u_diskpaths | proof | u_diskpaths フィールドを検出テーブルの [実証] 列にマッピングします。 |
| u_registrypaths | proof | u_registrypaths フィールドを検出テーブルの [実証] 列にマッピングします。 |
| u_recommendedsecurityupdateid | preferred_solution | sn_vul_solution テーブルに同じ ID のソリューションが存在する場合、u_recommendedsecurityupdateid フィールドを脆弱性一致アイテムテーブルの [優先ソリューション] 列にマッピングします。 |
| u_recommendationreference | recommendation | u_recommendationreference フィールドを脆弱性一致アイテムテーブルの [推奨事項] 列にマッピングします。 |
| u_cveid | vulnerability | u_cveid フィールドを脆弱性一致アイテムテーブルの [脆弱性] 列にマッピングします。 |
| u_status | source_status | u_status フィールドを検出テーブルの [ソースステータス] 列にマッピングします。 |
| u_eventtimestamp | temporal_score | u_eventtimestamp フィールドを脆弱性一致アイテムテーブルの [前回検出日] 列にマッピングします。 |
| u_lastseentimestamp | last_seen | u_lastseentimestamp フィールドを脆弱性一致アイテムテーブルの [前回確認日] 列にマッピングします。 |
| u_firstseentimestamp | first_seen | u_firstseentimestamp フィールドを脆弱性一致アイテムテーブルの [初回確認日] 列にマッピングします。 |
| u_recommendedsecurityupdate | solution_summary | u_recommendedsecurityupdate フィールドを脆弱性一致アイテムテーブルの [ソリューションの概要] 列にマッピングします。 |
| u_recommendedsecurityupdateurl | solution_summary | u_recommendedsecurityupdateurl フィールドを脆弱性一致アイテムテーブルの [ソリューションの概要] 列にマッピングします。 |
変換プロセス中に、次の変換スクリプトが実行されます。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのスコープ変数 [sn_vul_sccm] の値を初期化するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onBefore (インポートセットの変換が完了する前)。 | 脆弱性エントリーと検出が存在するかどうかを確認するために使用されるスクリプト。そうでない場合、これらのレコードはそれぞれのテーブルに作成されます。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onComplete (インポートセットが変換を完了したとき) | MS TVM からインポートされた VI と検出の数を更新するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |