Tenable 脆弱性統合のデータ変換
インポートするデータを特定すると、Tenable 製品からデータが取得され、インスタンス内の一連のデータソースと変換によって処理されます。
インストール時に、正規化された重大度マップが [正規化された重大度マッピング (Normalized Severity Mapping)] モジュールにインストールされます。これらのマップ変換では、Tenable 重大度レベルを標準の重大度レベルにインポートし、インスタンス処理します。重大度マップの作成については、脆弱性対応 ドキュメントの Vulnerability Response 重大度マップの作成についてを参照してください。
Tenable.io 資産インポート
インポートされた資産データは、最初に Tenable.io 資産インポート [sn_vul_tenable_io_asset_import] テーブルにロードされます。
Tenable.io 資産統合変換マップは、インポートされた資産情報の変換に使用されます。この変換を変更すると、Tenable 資産インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、 . 「Tenable.io Asset Transform」を検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | source_id | Tenable は資産の一意の ID を提供して、検出されたアイテムレコードにマッピングし、CI ルックアップに使用されます。 |
| u_ipv4s | ip_address | 最初の ip 値を検出されたアイテムレコードの ip_address フィールドにマッピングします。 |
| u_mac_addresses | mac_address | 最初の mac_address 値を検出されたアイテムレコードの mac_address フィールドにマッピングします。 |
| u_fqdns | fqdn | 最初の fqdn 値を検出されたアイテムレコードの fqdn フィールドにマッピングします。 |
| u_netbios_names | netbios | 最初の netbios 値を検出されたアイテムレコードの netbios フィールドにマッピングします。 |
| u_operating_systems | os | 最初の OS 値を検出されたアイテムレコードの os フィールドにマッピングします。 |
| (v 14.0 の 脆弱性対応 および v2.2 の Tenable 脆弱性統合より前)u_last_scan_time | last_scan_date | 検出されたアイテムレコードの last_scan_date フィールドにマッピングします。 |
| u_last_authenticated_scan_date | last_auth_scan_date | 検出されたアイテムレコードの last_auth_scan_date フィールドにマッピングします。 |
| [script] | name | スクリプトのロジックを使用してホスト名をマッピングします。 |
| u_tags | タグは sn_sec_cmn_host_tag に保存されます。タグから資産へのマッピングは sn_sec_cmn_m2m_src_ci_tag に保存されます。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
Tenable.io 資産変換マップスクリプトのタイミングと目的
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。内部使用。変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | ホストの値を更新し、ホストが既に存在するかどうかを確認するために使用される機能。結果に基づいて、import_set の値を変更します。内部使用。変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成された新しい CI と更新されて無視された CI の値を設定するために使用されます。内部使用。変更または削除することはお勧めしません。 |
Tenable.io プラグイン統合
Tenable.io プラグイン変換マップは、Tenable.io からインポートされたプラグインを変換するために使用されます。
注:
この変換マップを変更すると、Tenable プラグインから取得するデータの処理方法が変更されます。
この変換マップにアクセスするには、 . Tenable.io プラグイン変換を検索します。
Tenable.io プラグインのペイロードには、sn_vul_tenable_io_plugin_import テーブルの u_attributes 列のすべてのフィールドが含まれます。次の表に示すように、属性フィールドが解析され、サードパーティのエントリーテーブルレコードにマッピングされます。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| id | id | ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、ターゲットテーブルの ID は TEN-12345 です。 |
| 説明 | summary | プラグインの説明を summary 列にマッピングします。 |
| [script] | source | インポートされた TPE のソースは Tenable.io です。 |
| [script] | source_instance | このレコードをインポートする Tenable 展開への参照 |
| family | category | プラグインのファミリを category 列にマッピングします。 |
| plugin_modification_date | last_modified | plugin_modification_date を最後に変更されたフィールドにマッピングします。 |
| plugin_publication_date | date_published | plugin_publication_date を公開日にマッピングします。 |
| has_patch | remediation_type | has_patch 値から修復タイプをマッピングします。 |
| synopsis | threat | この脆弱性に関する脅威情報をマッピングします。 |
| cvss_base__score | score | cvss ベーススコアをサードパーティのエントリーテーブルの score 列にマッピングします。 |
| solution | solution | スキャナーによって提供されたソリューションをサードパーティのエントリーテーブルの solution 列にマッピングします。 |
| exploit_available | exploit | スキャナーによって提供された exploit_available をサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| vpr.score | source_risk_score | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| vpr.drivers.age_of_vuln | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln 列にマッピングします。 |
| vpr.drivers.exploit_code_maturity | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| vpr.drivers.product_coverage | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| vpr.drivers.threat_sources_last28 | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| vpr.drivers.threat_intensity_last28 | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| vpr.drivers.threat_recency | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| vpr.drivers.cvss3_impact_score | v3_impact_subscore | cvss3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore 列にマッピングします。 |
| cvss_temporal_score | cvss_temporal_score | CVSS v2 の一時スコアをマッピングします。 |
| cvss_v3_temporal_score | v3_temporal_score | CVSS v3 の一時スコアをマッピングします。 |
| risk_factor | source_severity | サードパーティのエントリーテーブルのソース重大度にマッピングします。 |
| name | name | プラグインの名前をサードパーティのエントリーテーブルの名前にマッピングします。 |
| stig_severity | stig_severity | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| plugin_type | check_type | プラグインタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| unsupported_by_vendor | unsupported_by_vendor | unsupported_by_vendor フィールドを unsupported_by_vendor 列にマッピングします。 |
| [script] | exploit_attack_vector | サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ CVE が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| bid | バグトラックのリストが参照として追加されます。 |
| see_also | URL のリストが参照として追加されます。 |
| xref | X-REF のリストが参照として追加されます。 |
| [script] | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。内部使用。変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティエントリーの値を更新し、サードパーティエントリーが既に存在するかどうかを確認するために使用される機能。結果に基づいて、サードパーティエントリーの値を変更します。内部使用。変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成された新しい CI と更新されて無視された CI の値を設定するために使用されます。内部使用。変更または削除することはお勧めしません。 |
TenableIOPluginsImportProcessor スクリプトインクルードは onBefore 変換スクリプトから呼び出されます。Tenable.io プラグイン統合からの出力を取得し、Now Platform サードパーティの脆弱性エントリーに変換します。このスクリプトインクルードを変更すると、サードパーティのエントリーテーブルの Tenable.io プラグインデータの変換が変更される可能性があります。
Tenable.io 脆弱性のインポート
Tenable.io 脆弱性一致アイテム変換マップは、Tenable.io からインポートされたオープンおよび修正された脆弱性情報を変換するために使用されます。
注:
この変換マップを変更すると、Tenable 脆弱性インポートからのデータの処理方法が変更されます。
Tenable.io の修正された脆弱性統合と Tenable.io のオープンな脆弱性統合の両方に同じ変換マップが使用されます。この変換マップにアクセスするには、 . 「Tenable.io Vulnerable Item transform map」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_asset.uuid | id | uuid は cmdb_ci レコードの id フィールドにマッピングされます。 |
| u_asset.ipv4 | ip_address | ipv4 フィールドは cmdb_ci レコードの ip_address フィールドにマッピングされます。 |
| u_asset .last_authenticated_results | last_auth_scan_date | 前回の認証済みスキャン日は、cmdb_ci レコードの前回の認証済みスキャン日にマッピングされます。 |
| u_asset.mac_addess | mac_address | MAC アドレスは cmdb_ci レコードの host mac address フィールドにマッピングされます。 |
| u_asset.netbios_name | netbios | netbios は、cmdb_ci レコードの netbios フィールドにマッピングされます。 |
| u._plugin.cvss3_base_score | v3_base_score | CVSS v3 ベーススコアは、サードパーティのエントリーレコードの v3 ベーススコアにマッピングされます。 |
| u._plugin.cvss3_temporal_score | v3_temporal_score | CVSS v3 一時スコアは、サードパーティのエントリーレコードの v3 一時スコアにマッピングされます。 |
| u._plugin.cvss_base_score | score | CVSS ベーススコアは、サードパーティのエントリーレコードの score フィールドにマッピングされます。 |
| u._plugin.cvss_temporal_score | temporal_score | 一時スコアは、サードパーティのエントリーレコードの一時スコアにマッピングされます。 |
| u_plugin.description | summary | 説明は、サードパーティのエントリーレコードの summary フィールドにマッピングされます。 |
| u_plugin.family | category | プラグインのファミリをサードパーティのエントリーレコードの category 列にマッピングします。 |
| u_plugin.modification_date | last_modified | 最終変更日は、サードパーティのエントリーレコードのプラグインの最終変更日にマッピングされます。 |
| u_plugin.publication_date | date_published | 公開日は、サードパーティのエントリーレコードの date_published フィールドにマッピングされます。 |
| u_plugin.risk_factor | source_severity | リスク要因は、サードパーティのエントリーレコードの source_severity フィールドにマッピングされます。 |
| u_plugin.solution | solution | ソリューションは、サードパーティのエントリーレコードの solution フィールドにマッピングされます。 |
| u_plugin.synopsis | threat | 概要は、サードパーティのエントリーレコードの threat フィールドにマッピングされます。 |
| u_severity_id | priority | 優先度は、ペイロードの重大度 ID にマッピングされます。デフォルト値は 5 です。 |
| u_plugin.exploit_available | exploit | スキャナーによって提供された exploit_available をサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| vpr.score | source_risk_score | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_plugin.vpr.drivers.age_of_vuln | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_plugin.vpr.drivers.exploit_code_maturity | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_plugin.vpr.drivers.product_coverage | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_plugin.vpr.drivers.threat_sources_last28 | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティのエントリーテーブルの threat_sources にマッピングします。 |
| u_plugin.vpr.drivers.threat_intensity_last28 | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_plugin.vpr.drivers.threat_recency | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_plugin.vpr.drivers.cvss3_impact_score | v3_impact_subscore | CVSS3 v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore 列にマッピングします。 |
| u_plugin.type | check_type | プラグインタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_plugin.unsupported_by_vendor | unsupported_by_vendor | プラグインの unsupported_by_vendor フィールドを unsupported_by_vendor 列にマッピングします。 |
| [script] | exploit_attack_vector | サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
| u_plugin.family_id | family_id | プラグインのファミリ ID をサードパーティのエントリーテーブルの family_id 列にマッピングします。 |
| port | port | ポートは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| protocol | protocol | プロトコルは、脆弱性一致アイテムレコードの protocol フィールドにマッピングされます。 |
| u_first_found | first_found | 初回検出は、脆弱性一致アイテムレコードの first_found フィールドにマッピングされます。 |
| u_last_found | last_found | 前回検出は、脆弱性一致アイテムレコードの last_found フィールドにマッピングされます。 |
| u_state | state | ステータスは、脆弱性一致アイテムレコードの [ステータス (State)] フィールドにマッピングされます。 |
| [script] | source | 統合のソースが入力されます。この統合から作成された脆弱性一致アイテムには、Tenable.io がソースとして含まれています。 |
| [script] | integration_instance | integration_instance は、脆弱性一致アイテムのインポート元のインスタンスの名前です。 |
| u_plugin.name | name | プラグインの名前をサードパーティのエントリーテーブルの名前にマッピングします。 |
| u_plugin.stig_severity | stig_severity | プラグインの stig 重大度をサードパーティのエントリーテーブルの stig_severity 列にマッピングします。 |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ CVE が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| bid | バグトラックのリストが参照として追加されます。 |
| see_also | URL のリストが参照として追加されます。 |
| xref | X-REF のリストが参照として追加されます。 |
| [script] | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、インポートセットを使用して Tenable.io からデータをインポートする TenableIOVulnerabilitiesProcessor をトリガーし、各レコードを CMDB CI テーブル、脆弱性一致アイテムテーブル、およびサードパーティ脆弱性テーブルに内部使用のためにロードします。変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティのエントリーと検出が既に存在するかどうかを確認する機能。そうでない場合、これらのレコードはそれぞれのテーブルに作成されます。内部使用。変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、Tenable.io からインポートされた CI、VI および検出の数を更新するのに使用されます。内部使用。変更または削除することはお勧めしません。 |
Tenable.sc 資産インポート
Tenable.sc からインポートされた資産データは、最初に Tenable.sc 資産インポートテーブル (sn_vul_tenable_sc_asset_import) にロードされます。Tenable.sc 資産統合変換マップは、インポートされた資産情報の変換に使用されます。この変換を変更すると、Tenable 資産インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、 . 「Tenable.sc Asset Transform」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_uuid | id | uuid は Tenable API から入力されないため、「u_uniqueness」属性を使用して資産の一意の uuid フィールドを作成し、それを cmdb_ci レコードにマッピングします。 |
| u_ip | ip_address | API からの ip フィールドを cmdb_ci レコードの ip_address フィールドにマッピングします。 |
| u_macaddress | mac_address | API からの macaddress フィールドを cmdb_ci レコードの address フィールドにマッピングします。 |
| u_dnsname | fqdn | API からの dnsname フィールドを cmdb_ci レコードの fqdn フィールドにマッピングします。 |
| u_netbiosname | netbios | API からの netbios フィールドを cmdb_ci レコードの netbios フィールドにマッピングします。 |
| u_oscpe | os | OS 情報はペイロードの oscpe 属性から抽出され、cmdb_ci レコードの os フィールドにマッピングされます。 |
| u_lastauthrun | last_auth_scan_date | API からの lastauthrun フィールドを、検出されたアイテムレコードの last_auth_scan_date フィールドにマッピングします。 |
| u_lastauthrun および u_lastunauthrun | last_scan_date | lastauthrun は、Tenable API または lastunauthrun から抽出されます。検出されたアイテムレコードの last_scan_date フィールドは、ペイロードに表示される値に基づいて入力されます。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。内部使用。変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | ホストの値を更新し、ホストが既に存在するかどうかを確認するために使用される機能。結果に基づいて、import_set の値を変更します。内部使用。変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成された新しい CI と更新されて無視された CI の値を設定するために使用されます。内部使用。変更または削除することはお勧めしません。 |
Tenable.sc プラグインのインポート
Tenable.sc からインポートされたプラグインデータは、最初に Tenable.sc プラグインインポートテーブル (sn_vul_tenable_sc_plugin_import) にロードされます。Tenable.sc プラグイン変換マップは、インポートされたプラグイン情報の変換に使用されます。この変換を変更すると、Tenable プラグインインポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、 . 「Tenable.sc Plugin Transform Map」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | id | ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、ターゲットテーブルの ID は TEN-12345 です。 |
| u_description | summary | プラグインの説明を summary 列にマッピングします。 |
| [script] | source | この統合からインポートされた TPE には、Tenable.sc がソースとして含まれています。 |
| [script] | source_instance | このレコードをインポートする Tenable 展開への参照 |
| u_family | category | プラグインのファミリオブジェクトの name フィールドを category 列にマッピングします。 |
| u_plugin_modification_date | last_modified | plugin_modification_date を最後に変更されたフィールドにマッピングします。 |
| u_plugin_publication_date | date_published | plugin_publication_date を公開日にマッピングします。 |
| u_has_patch | remediation_type | has_patch 値から修復タイプをマッピングします。 |
| u_synopsis | threat | この脆弱性に関する脅威情報をマッピングします。 |
| u_cvss_base_score | score | CVSS ベーススコアをサードパーティのエントリーテーブルの score 列にマッピングします。 |
| u_solution | solution | スキャナーによって提供されたソリューションをサードパーティのエントリーテーブルの solution 列にマッピングします。 |
| u_cvss_temporal_score | cvss_temporal_score | CVSS v2 の一時スコアをマッピングします。 |
| u_cvss_v3_temporal_score | v3_temporal_score | CVSS v3 の一時スコアをマッピングします。 |
| u_risk_factor | source severity | サードパーティのエントリーテーブルのソース重大度にマッピングします。 |
| u_cvss_v3_base_score | v3_base_score | サードパーティのエントリーテーブルの CVSS ベーススコアをマッピングします。 |
| u_exploit_available | exploit | スキャナーによって提供された exploitAvailable をサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| u_vpr_score | source_risk_score | スキャナーからの VPR スコアをサードパーティのエントリーテーブルのソースリスクスコアにマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_vpr_context[id=product_coverage] | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_vpr_context[id=”threat_sources_last_28] | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| u_vpr_context[id=”threat_intensity_last_28] | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_vpr_context[id=”threat_recency”] | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | スキャナーからの CVSS v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore にマッピングします。 |
| u_name | name | プラグインの名前をサードパーティのエントリーテーブルの name 列にマッピングします。 |
| u_stig_severity | stig_severity | プラグインの stig_severity フィールドをサードパーティのエントリーテーブルの stig_severity にマッピングします。 |
| u_check_type | check_type | チェックタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_family.id | family_id | プラグインの family_id をサードパーティのエントリーテーブルの family_id にマッピングします。 |
[script] |
exploit_attack_vector |
サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| u_cpe | CPE のリストが参照として追加されます。 |
| u_see_also | URL のリストが参照として追加されます。 |
| u_exploit_frameworks | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。内部使用。変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティエントリーの値を更新し、サードパーティエントリーが既に存在するかどうかを確認するために使用される機能。結果に基づいて、サードパーティエントリーの値を変更します。内部使用。変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成されて無視されたプラグインの値を設定するために使用されます。内部使用。変更または削除することはお勧めしません。 |
TenableSCPluginsImportProcessor スクリプトインクルードは onBefore 変換スクリプトから呼び出されます。Tenable.sc プラグイン統合からの出力を取得し、Servicenow サードパーティの脆弱性エントリーに変換します。このスクリプトインクルードを変更すると、サードパーティのエントリーテーブルの Tenable.sc プラグインデータの変換が変更される可能性があります。
Tenable.sc 脆弱性インポート
Tenable.sc のオープンな脆弱性変換マップは、Tenable.sc のオープンな脆弱性統合からインポートされたデータを変換するために使用され、Tenable.sc および修正された脆弱性変換マップは、Tenable.sc の修正された脆弱性統合からインポートされたデータを変換するために使用されます。
注:
Tenable.sc のオープンな脆弱性および修正された脆弱性変換マップにアクセスするには、次の場所に移動します。 .これらの変換マップを変更すると、[修正済み]/[オープン] の Tenable 脆弱性インポートからのデータの処理方法が変更されます。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_pluginID | Id | プラグインの識別子として使用されます。このフィールドは、サードパーティのエントリーレコードの plugin Id にマッピングされます。 |
| u_riskfactor | source_severity | このフィールドは、サードパーティのエントリーレコードの source_severity にマッピングされます。 |
| u_severity | priority | priority フィールドは重大度にマッピングされます。デフォルト値は 5 です。 |
| u_hasbeenmitigated | state | hasbeenmitigated は、脆弱性レコードの [ステータス (State)] フィールドにマッピングされます。修正された脆弱性統合では、すべての VI が [クローズ済み] ステータスになっています。 |
| u_ip | ip_address | IP アドレスは、cmdb_ci テーブルの host ip フィールドにマッピングされます。 |
| u_port | port | ポートは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| u_protocol | protocol | プロトコルは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| u_firstSeen | first_found | 初回検出値は、VI レコードの first_found フィールドにマッピングされます。 |
| u_lastSeen | last_found | 前回検出値は、VI レコードの last_found フィールドにマッピングされます。 |
| u_exploitAvailable | exploit | exploitAvailable は、サードパーティのエントリーレコードの exploit フィールドにマッピングされます。 |
| u_synopsis | threat | 概要は、サードパーティのエントリーレコードの threat フィールドにマッピングされます。 |
| u_description | summary | 説明は、サードパーティのエントリーレコードの summary フィールドにマッピングされます。 |
| u_solution | solution | ソリューションは、サードパーティのエントリーレコードの solution フィールドにマッピングされます。 |
| u_basescore | score | baseScore は、サードパーティのエントリーレコードの score フィールドにマッピングされます。 |
| u_temporalScore | temporal_score | 一時スコアは、サードパーティのエントリーレコードの一時スコアにマッピングされます。 |
| u_cvssv3basescore | v3_base_score | cvssv3basescore は、サードパーティのエントリーレコードの v3_base_score にマッピングされます。 |
| u_cvsstemporalscore | v3_temporal_score | cvssv3temporal スコアは、サードパーティのエントリーレコードの v3_temporal_score にマッピングされます。 |
| u_pluginpubdate | date_published | プラグイン公開日は、サードパーティのエントリーレコードのプラグイン公開日にマッピングされます。 |
| u_pluginmoddate | last_modified | 最終変更日は、サードパーティのエントリーレコードのプラグインの最終変更日にマッピングされます。 |
| u_dnsname | fqdn | dnsName は cmdb_ci レコードの FQDN フィールドにマッピングされます。 |
| u_macaddress | mac_address | macAddress は cmdb_ci レコードの mac_address フィールドにマッピングされます。 |
| u_netbiosName | netbios | netbiosName は、cmdb_ci レコードの NETBIOS フィールドにマッピングされます。 |
| u_ip | ip | IP は cmdb_ci レコードの IP フィールドにマッピングされます。 |
| hostUniqueness | uuid | ホストの一意性はどのフィールドにもマッピングされませんが、ホストの uuid を決定するために使用されます。 |
| u_family | category | プラグインのファミリオブジェクトの name フィールドをサードパーティのエントリーレコードの category 列にマッピングします。 |
| u_plugintext | proof | プラグインテキストは tpe レコードの proof にマッピングされます。 |
| [script] | source | 統合のソースが入力されます。この統合から作成された脆弱性一致アイテムには、Tenable.sc がソースとして含まれています。 |
| [script} | integration_instance | integration_instance は、脆弱性一致アイテムのインポート元のインスタンスの名前です。 |
| u_vpr_score | source_risk_score | スキャナーからの VPR スコアをサードパーティのエントリーテーブルのソースリスクスコアにマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_vpr_context[id=product_coverage] | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_vpr_context[id=”threat_sources_last_28] | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| u_vpr_context[id=”threat_intensity_last_28] | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_vpr_context[id=”threat_recency”] | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | スキャナーからの CVSS v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore にマッピングします。 |
| u_pluginname | name | プラグインの名前をサードパーティのエントリーテーブルの name 列にマッピングします。 |
| u_stigseverity | stig_severity | プラグインの stig_severity フィールドをサードパーティのエントリーテーブルの stig_severity にマッピングします。 |
| u_checktype | check_type | チェックタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_family.id | family_id | プラグインの family.id をサードパーティのエントリーテーブルの family_id にマッピングします。 |
| [script] | exploit_attack_vector | third_party_entry テーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
| ソースフィールド | 説明 |
|---|---|
| u_cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ CVE が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| u_bid | バグトラックのリストが参照として追加されます。 |
| u_cpe | CPE のリストが参照として追加されます。 |
| u_seealso | URL のリストが参照として追加されます。 |
| u_xrefs | X-REF のリストが参照として追加されます。 |
| u_exploitframeworks | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。内部使用。変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | 脆弱性の値を更新し、脆弱性が既に存在するかどうかを確認するために使用される機能。結果に基づいて、脆弱性一致アイテムテーブルの値を変更します。内部使用。変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成された新しい VI と更新されて無視された VI の値を設定するために使用されます。内部使用。変更または削除することはお勧めしません。 |