Tenable 脆弱性統合のデータ変換
インポートするデータを特定すると、Tenable 製品からデータが取得され、インスタンス内の一連のデータソースと変換によって処理されます。
インストール時に、正規化された重大度マップが [正規化された重大度マッピング (Normalized Severity Mapping)] モジュールにインストールされます。これらのマップ変換では、Tenable 重大度レベルを標準の重大度レベルにインポートし、インスタンス処理します。重大度マップの作成については、脆弱性対応 ドキュメントの Vulnerability Response 重大度マップの作成についてを参照してください。
Tenable.io 資産インポート
インポートされた資産データは、最初に Tenable.io 資産インポート [sn_vul_tenable_io_asset_import] テーブルにロードされます。
Tenable.io 資産統合変換マップは、インポートされた資産情報の変換に使用されます。この変換を変更すると、Tenable 資産インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します: . 「Tenable.io Asset Transform」を検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | source_id | Tenable は資産の一意の ID を提供して、検出されたアイテムレコードにマッピングし、CI ルックアップに使用されます。 |
| u_ipv4s | ip_address | 最初の ip 値を検出されたアイテムレコードの ip_address フィールドにマッピングします。 |
| u_mac_addresses | mac_address | 最初の mac_address 値を検出されたアイテムレコードの mac_address フィールドにマッピングします。 |
| u_fqdns | fqdn | 最初の fqdn 値を検出されたアイテムレコードの fqdn フィールドにマッピングします。 |
| u_netbios_names | netbios | 最初の netbios 値を検出されたアイテムレコードの netbios フィールドにマッピングします。 |
| u_operating_systems | os | 最初の OS 値を検出されたアイテムレコードの os フィールドにマッピングします。 |
| (Tenable 脆弱性統合の v14.0 脆弱性対応 および v2.2 より前u_last_scan_time | last_scan_date | 検出されたアイテムレコードの last_scan_date フィールドにマッピングします。 |
| u_last_authenticated_scan_date | last_auth_scan_date | 検出されたアイテムレコードの last_auth_scan_date フィールドにマッピングします。 |
| [script] | name | スクリプトのロジックを使用してホスト名をマッピングします。 |
| u_tags | タグは sn_sec_cmn_host_tag に保存されます。タグから資産へのマッピングは sn_sec_cmn_m2m_src_ci_tag に保存されます。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
Tenable.io 資産変換マップスクリプトのタイミングと目的
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのimport_setの値を初期化します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | ホストの値を更新し、ホストが存在するかどうかを確認します。結果に基づいて、import_set の値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | 作成された新しい CI と更新されて無視された CI の値を設定します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.io プラグイン統合
Tenable.io プラグイン変換マップは、Tenable.io からインポートされたプラグインを変換するために使用されます。
注:
この変換マップを変更すると、Tenable プラグインから取得するデータの処理方法が変更されます。
この変換マップにアクセスするには、次に移動します: . Tenable.io プラグイン変換を検索します。
Tenable.io プラグインのペイロードには、sn_vul_tenable_io_plugin_import テーブルの u_attributes 列のすべてのフィールドが含まれます。次の表に示すように、属性フィールドが解析され、サードパーティのエントリーテーブルレコードにマッピングされます。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| id | ID | ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、ターゲットテーブルの ID は TEN-12345 です。 |
| 説明 | summary | プラグインの説明を summary 列にマッピングします。 |
| [script] | ソース | インポートされたサードパーティエントリー (TPE) のソースは Tenable.io です。 |
| [script] | source_instance | このレコードをインポートする Tenable 展開への参照 |
| family | category | プラグインのファミリを category 列にマッピングします。 |
| plugin_modification_date | last_modified | plugin_modification_date を最後に変更されたフィールドにマッピングします。 |
| plugin_publication_date | date_published | plugin_publication_date を公開日にマッピングします。 |
| has_patch | remediation_type | has_patch 値から修復タイプをマッピングします。 |
| synopsis | threat | この脆弱性に関する脅威情報をマッピングします。 |
| cvss_base__score | score | Common Vulnerability Scoring System (CVSS) ベーススコアをサードパーティのエントリーテーブルのスコア列にマッピングします。 |
| solution | solution | スキャナーによって提供されたソリューションをサードパーティのエントリーテーブルの solution 列にマッピングします。 |
| exploit_available | exploit | スキャナーによって提供されたexploit_availableをサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| vpr.score | source_risk_score | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| vpr.drivers.age_of_vuln | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln 列にマッピングします。 |
| vpr.drivers.exploit_code_maturity | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| vpr.drivers.product_coverage | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| vpr.drivers.threat_sources_last28 | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| vpr.drivers.threat_intensity_last28 | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| vpr.drivers.threat_recency | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| vpr.drivers.cvss3_impact_score | v3_impact_subscore | cvss3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore 列にマッピングします。 |
| cvss_temporal_score | cvss_temporal_score | CVSS v2 の一時スコアをマッピングします。 |
| cvss_v3_temporal_score | v3_temporal_score | CVSS v3 の一時スコアをマッピングします。 |
| risk_factor | source_severity | サードパーティのエントリーテーブルのソース重大度にマッピングします。 |
| name | name | プラグインの名前をサードパーティのエントリーテーブルの名前にマッピングします。 |
| stig_severity | stig_severity | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| plugin_type | check_type | プラグインタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| unsupported_by_vendor | unsupported_by_vendor | unsupported_by_vendor フィールドを unsupported_by_vendor 列にマッピングします。 |
| [script] | exploit_attack_vector | サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ共通脆弱性識別子 (CVE) が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| bid | バグトラックのリストが参照として追加されます。 |
| see_also | URL のリストが参照として追加されます。 |
| xref | X-REF のリストが参照として追加されます。 |
| [script] | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのimport_setの値を初期化します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティエントリーの値を更新し、サードパーティエントリーが存在するかどうかを確認します。結果に基づいて、サードパーティエントリーの値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | 作成された新しい CI と更新されて無視された CI の値を設定します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
TenableIOPluginsImportProcessor スクリプトインクルードは onBefore 変換スクリプトから呼び出されます。Tenable.io プラグイン統合からの出力を取得し、ServiceNow AI Platform サードパーティの脆弱性エントリーに変換します。このスクリプトインクルードを変更すると、サードパーティのエントリーテーブルの Tenable.io プラグインデータの変換が変更される可能性があります。
Tenable.io 脆弱性のインポート
Tenable.io 脆弱性一致アイテム変換マップは、Tenable.io からインポートされたオープンおよび修正された脆弱性情報を変換するために使用されます。
注:
この変換マップを変更すると、Tenable 脆弱性インポートからのデータの処理方法が変更されます。
Tenable.io の修正された脆弱性統合と Tenable.io のオープンな脆弱性統合の両方に同じ変換マップが使用されます。この変換マップにアクセスするには、次に移動します: . 「Tenable.io Vulnerable Item transform map」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_asset.uuid | id | uuid は cmdb_ci レコードの id フィールドにマッピングされます。 |
| u_asset.ipv4 | ip_address | ipv4 フィールドは cmdb_ci レコードの ip_address フィールドにマッピングされます。 |
| u_asset.last_authenticated_results | last_auth_scan_date | 前回の認証済みスキャン日は、cmdb_ci レコードの前回の認証済みスキャン日にマッピングされます。 |
| u_asset.mac_addess | mac_address | MAC アドレスは cmdb_ci レコードの host mac address フィールドにマッピングされます。 |
| u_asset.netbios_name | netbios | netbios は、cmdb_ci レコードの netbios フィールドにマッピングされます。 |
| u._plugin.cvss3_base_score | v3_base_score | CVSS v3 ベーススコアは、サードパーティのエントリーレコードの v3 ベーススコアにマッピングされます。 |
| u._plugin.cvss3_temporal_score | v3_temporal_score | CVSS v3 一時スコアは、サードパーティのエントリーレコードの v3 一時スコアにマッピングされます。 |
| u._plugin.cvss_base_score | score | CVSS ベーススコアは、サードパーティのエントリーレコードの score フィールドにマッピングされます。 |
| u._plugin.cvss_temporal_score | temporal_score |
一時スコアは、サードパーティのエントリーレコードの一時スコアにマッピングされます。 |
| u_plugin.description | summary | 説明は、サードパーティのエントリーレコードの summary フィールドにマッピングされます。 |
| u_plugin.family | category | プラグインのファミリをサードパーティのエントリーレコードの category 列にマッピングします。 |
| u_plugin.modification_date | last_modified | 最終変更日は、サードパーティのエントリーレコードのプラグインの最終変更日にマッピングされます。 |
| u_plugin.publication_date | date_published | 公開日は、サードパーティのエントリーレコードの date_published フィールドにマッピングされます。 |
| u_plugin.risk_factor | source_severity | リスク要因は、サードパーティのエントリーレコードの source_severity フィールドにマッピングされます。 |
| u_plugin.solution | solution | ソリューションは、サードパーティのエントリーレコードの solution フィールドにマッピングされます。 |
| u_plugin.synopsis | threat | 概要は、サードパーティのエントリーレコードの threat フィールドにマッピングされます。 |
| u_severity_id | priority | 優先度は、ペイロードの重大度 ID にマッピングされます。デフォルト値は 5 です。 |
| u_plugin.exploit_available | exploit | スキャナーによって提供された exploit_available をサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| vpr.score | source_risk_score | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_plugin.vpr.drivers.age_of_vuln | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_plugin.vpr.drivers.exploit_code_maturity | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_plugin.vpr.drivers.product_coverage | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_plugin.vpr.drivers.threat_sources_last28 | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティのエントリーテーブルの threat_sources にマッピングします。 |
| u_plugin.vpr.drivers.threat_intensity_last28 | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_plugin.vpr.drivers.threat_recency | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_plugin.vpr.drivers.cvss3_impact_score | v3_impact_subscore | CVSS3 v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore 列にマッピングします。 |
| u_plugin.type | check_type | プラグインタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_plugin.unsupported_by_vendor | unsupported_by_vendor | プラグインの unsupported_by_vendor フィールドを unsupported_by_vendor 列にマッピングします。 |
| [script] | exploit_attack_vector | サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
| u_plugin.family_id | family_id | プラグインのファミリ ID をサードパーティのエントリーテーブルの family_id 列にマッピングします。 |
| port | port | ポートは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| protocol | protocol | プロトコルは、脆弱性一致アイテムレコードの protocol フィールドにマッピングされます。 |
| u_first_found | first_found | 初回検出は、脆弱性一致アイテムレコードの first_found フィールドにマッピングされます。 |
| u_last_found | last_found | 前回検出は、脆弱性一致アイテムレコードの last_found フィールドにマッピングされます。 |
| u_state | state | ステータスは、脆弱性一致アイテムレコードの [ステータス (State)] フィールドにマッピングされます。 |
| [script] | source | 統合のソースが入力されます。この統合から作成された脆弱性一致アイテムには、Tenable.io がソースとして含まれています。 |
| [script] | integration_instance | integration_instance は、脆弱性一致アイテムのインポート元のインスタンスの名前です。 |
| u_plugin.name | 名前 | プラグインの名前をサードパーティのエントリーテーブルの名前にマッピングします。 |
| u_plugin.stig_severity | stig_severity | プラグインの stig 重大度をサードパーティのエントリーテーブルの stig 重大度列にマッピングします |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ CVE が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| bid | バグトラックのリストが参照として追加されます。 |
| see_also | URL のリストが参照として追加されます。 |
| xref | X-REF のリストが参照として追加されます。 |
| [script] | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | TTriggers Tenable IO 脆弱性プロセッサーは、インポートセットを使用して Tenable.io からデータをインポートし、各レコードを CMDB CI テーブル、脆弱性一致アイテムテーブル、およびサードパーティ脆弱性テーブルにロードします。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティのエントリーと検出が存在するかどうかを確認します。そうでない場合、これらのレコードはそれぞれのテーブルに作成されます。isntこのスクリプトは内部使用のためのものであり、それらを変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | Tenable.io からインポートされた CI、VIT、および検出の数を更新します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.sc 資産インポート
Tenable.sc からインポートされた資産データは、最初に Tenable.sc 資産インポートテーブル (sn_vul_tenable_sc_asset_import) にロードされます。Tenable.sc 資産統合変換マップは、インポートされた資産情報の変換に使用されます。この変換を変更すると、Tenable 資産インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します: . 「Tenable.sc Asset Transform」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_uuid | ID | uuid は Tenable API から入力されないため、「u_uniqueness」属性を使用して資産の一意の uuid フィールドを作成し、それをcmdb_ciレコードにマッピングします。 |
| u_ip | ip_address | API からの ip フィールドを cmdb_ci レコードの ip_address フィールドにマッピングします。 |
| u_macaddress | mac_address | API からの MAC アドレスフィールドを cmdb_ci レコードのアドレスフィールドにマッピングします。 |
| u_dnsname | fqdn | API からの dnsname フィールドを cmdb_ci レコードの fqdn フィールドにマッピングします。 |
| u_netbiosname | netbios | API からの netbios フィールドを cmdb_ci レコードの netbios フィールドにマッピングします。 |
| u_oscpe | os | OS 情報はペイロードの oscpe 属性から抽出され、cmdb_ci レコードの os フィールドにマッピングされます。 |
| u_lastauthrun | last_auth_scan_date | API からの lastauthrun フィールドを、検出されたアイテムレコードの last_auth_scan_date フィールドにマッピングします。 |
| u_lastauthrun および u_lastunauthrun | last_scan_date | lastauthrun は、Tenable API または lastunauthrun から抽出されます。検出されたアイテムレコードの [last_scan_date] フィールドは、ペイロードに表示される値に基づいて入力されます。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのimport_setの値を初期化します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | ホストの値を更新し、ホストが存在するかどうかを確認します。結果に基づいて、import_set の値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | 作成された新しい CI と更新されて無視された CI の値を設定します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.sc プラグインのインポート
Tenable.sc からインポートされたプラグインデータは、最初に Tenable.sc プラグインインポートテーブル (sn_vul_tenable_sc_plugin_import) にロードされます。Tenable.sc プラグイン変換マップは、インポートされたプラグイン情報の変換に使用されます。この変換を変更すると、Tenable プラグインインポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します: . 「Tenable.sc Plugin Transform Map」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | ID | ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、ターゲットテーブルの ID は TEN-12345 です。 |
| u_description | summary | プラグインの説明を summary 列にマッピングします。 |
| [script] | source | この統合からインポートされた TPE には、Tenable.sc がソースとして含まれています。 |
| [script] | source_instance | このレコードをインポートする Tenable 展開への参照 |
| u_family | category | プラグインのファミリオブジェクトの name フィールドを category 列にマッピングします。 |
| u_plugin_modification_date | last_modified | plugin_modification_date を最後に変更されたフィールドにマッピングします。 |
| u_plugin_publication_date | date_published | plugin_publication_date を公開日にマッピングします。 |
| u_has_patch | remediation_type | has_patch 値から修復タイプをマッピングします。 |
| u_synopsis | threat | この脆弱性に関する脅威情報をマッピングします。 |
| u_cvss_base_score | score | CVSS ベーススコアをサードパーティのエントリーテーブルの score 列にマッピングします。 |
| u_solution | solution | スキャナーによって提供されたソリューションをサードパーティのエントリーテーブルの solution 列にマッピングします。 |
| u_cvss_temporal_score | cvss_temporal_score | CVSS v2 の一時スコアをマッピングします。 |
| u_cvss_v3_temporal_score | v3_temporal_score | CVSS v3 の一時スコアをマッピングします。 |
| u_risk_factor | source severity | サードパーティのエントリーテーブルのソース重大度にマッピングします。 |
| u_cvss_v3_base_score | v3_base_score | サードパーティのエントリーテーブルの CVSS ベーススコアをマッピングします。 |
| u_exploit_available | exploit | スキャナーによって提供された exploitAvailable をサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| u_vpr_score | source_risk_score | スキャナーからの VPR スコアをサードパーティのエントリーテーブルのソースリスクスコアにマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_vpr_context[id=product_coverage] | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_vpr_context[id=”threat_sources_last_28] | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| u_vpr_context[id=”threat_intensity_last_28] | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_vpr_context[id=”threat_recency”] | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | スキャナーからの CVSS v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore にマッピングします。 |
| u_name | name | プラグインの名前をサードパーティのエントリーテーブルの name 列にマッピングします。 |
| u_stig_severity | stig_severity | プラグインの stig_severity フィールドをサードパーティのエントリーテーブルの stig_severity にマッピングします。 |
| u_check_type | check_type | チェックタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_family.id | family_id | プラグインの family_id をサードパーティのエントリーテーブルの family_id にマッピングします。 |
|
[script] |
exploit_attack_vector |
サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| u_cpe | CPE のリストが参照として追加されます。 |
| u_see_also | URL のリストが参照として追加されます。 |
| u_exploit_frameworks | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティエントリーの値を更新し、サードパーティエントリーが存在するかどうかを確認するために使用される機能。結果に基づいて、サードパーティエントリーの値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成されて無視されたプラグインの値を設定するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
TenableSCPluginsImportProcessor スクリプトインクルードは onBefore 変換スクリプトから呼び出されます。Tenable.sc プラグイン統合からの出力を取得し ServiceNow サードパーティ脆弱性エントリーに変換します。このスクリプトインクルードを変更すると Tenable.sc サードパーティのエントリーテーブルのプラグインデータの変換が変更される可能性があります。
Tenable.sc 脆弱性インポート
Tenable.sc のオープンな脆弱性変換マップは、Tenable.sc のオープンな脆弱性統合からインポートされたデータを変換するために使用され、Tenable.sc および修正された脆弱性変換マップは、Tenable.sc の修正された脆弱性統合からインポートされたデータを変換するために使用されます。
注:
Tenable.sc オープンおよび修正された脆弱性変換マップにアクセスするには、次に移動します: .これらの変換マップを変更すると、[修正済み]/[オープン] の Tenable 脆弱性インポートからのデータの処理方法が変更されます。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_pluginID | Id | プラグインの識別子として使用されます。このフィールドは、サードパーティのエントリーレコードの plugin Id にマッピングされます。 |
| u_riskfactor | source_severity | このフィールドは、サードパーティのエントリーレコードの source_severity にマッピングされます。 |
| u_severity | priority | priority フィールドは重大度にマッピングされます。デフォルト値は 5 です。 |
| u_hasbeenmitigated | state | 緩和済みは、脆弱性レコードのステータスフィールドにマッピングされます。修正された脆弱性統合では、すべての VI が [クローズ済み] ステータスになっています。 |
| u_ip | ip_address | IP アドレスは、cmdb_ci テーブルの host ip フィールドにマッピングされます。 |
| u_port | port | ポートは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| u_protocol | protocol | プロトコルは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| u_firstSeen | first_found | 初回検出値は、VI レコードの first_found フィールドにマッピングされます。 |
| u_lastSeen | last_found | 前回検出値は、VI レコードの last_found フィールドにマッピングされます。 |
| u_exploitAvailable | exploit | exploitAvailable は、サードパーティのエントリーレコードの exploit フィールドにマッピングされます。 |
| u_synopsis | threat | 概要は、サードパーティのエントリーレコードの threat フィールドにマッピングされます。 |
| u_description | summary | 説明は、サードパーティのエントリーレコードの summary フィールドにマッピングされます。 |
| u_solution | solution | ソリューションは、サードパーティのエントリーレコードの solution フィールドにマッピングされます。 |
| u_basescore | score | baseScore は、サードパーティのエントリーレコードの score フィールドにマッピングされます。 |
| u_temporalScore | temporal_score | 一時スコアは、サードパーティのエントリーレコードの一時スコアにマッピングされます。 |
| u_cvssv3basescore | v3_base_score | cvssv3basescore は、サードパーティのエントリーレコードの v3_base_score にマッピングされます。 |
| u_cvsstemporalscore | v3_temporal_score | cvssv3temporal スコアは、サードパーティのエントリーレコードの v3_temporal_score にマッピングされます。 |
| u_pluginpubdate | date_published | プラグイン公開日は、サードパーティのエントリーレコードのプラグイン公開日にマッピングされます。 |
| u_pluginmoddate | last_modified | 最終変更日は、サードパーティのエントリーレコードのプラグインの最終変更日にマッピングされます。 |
| u_dnsname | fqdn | dnsName は cmdb_ci レコードの FQDN フィールドにマッピングされます。 |
| u_macaddress | mac_address | macAddress は cmdb_ci レコードの mac_address フィールドにマッピングされます。 |
| u_netbiosName | netbios | netbiosName は、cmdb_ci レコードの NETBIOS フィールドにマッピングされます。 |
| u_ip | ip | IP は cmdb_ci レコードの IP フィールドにマッピングされます。 |
| hostUniqueness | uuid | ホストの一意性はどのフィールドにもマッピングされませんが、ホストの uuid を決定するために使用されます。 |
| u_family | category | プラグインのファミリオブジェクトの name フィールドをサードパーティのエントリーレコードの category 列にマッピングします。 |
| u_plugintext | proof | プラグインテキストは tpe レコードの proof にマッピングされます。 |
| [script] | source | 統合のソースが入力されます。この統合から作成された脆弱性一致アイテムには、Tenable.sc がソースとして含まれています。 |
| [script} | integration_instance | integration_instance は、脆弱性一致アイテムのインポート元のインスタンスの名前です。 |
| u_vpr_score | source_risk_score | スキャナーからの VPR スコアをサードパーティのエントリーテーブルのソースリスクスコアにマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_vpr_context[id=product_coverage] | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_vpr_context[id=”threat_sources_last_28] | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| u_vpr_context[id=”threat_intensity_last_28] | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_vpr_context[id=”threat_recency”] | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | スキャナーからの CVSS v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore にマッピングします。 |
| u_pluginname | name | プラグインの名前をサードパーティのエントリーテーブルの name 列にマッピングします。 |
| u_stigseverity | stig_severity | プラグインの stig_severity フィールドをサードパーティのエントリーテーブルの stig_severity にマッピングします。 |
| u_checktype | check_type | チェックタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_family.id | family_id | プラグインの family.id をサードパーティのエントリーテーブルの family_id にマッピングします。 |
| [script] | exploit_attack_vector | third_party_entry テーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
| ソースフィールド | 説明 |
|---|---|
| u_cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ CVE が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| u_bid | バグトラックのリストが参照として追加されます。 |
| u_cpe | CPE のリストが参照として追加されます。 |
| u_seealso | URL のリストが参照として追加されます。 |
| u_xrefs | X-REF のリストが参照として追加されます。 |
| u_exploitframeworks | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | 脆弱性の値を更新し、脆弱性が存在するかどうかを確認するために使用される機能。結果に基づいて、脆弱性一致アイテムテーブルの値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成された新しい VI と更新されて無視された VI の値を設定するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.cs コンテナ資産のインポート
インポートされた資産データは、最初に Tenable.cs コンテナ資産インポート [sn_vul_tenable_cs_container_asset_import] テーブルにロードされます。
Tenable.csコンテナ資産変換マップは、インポートされた資産情報を変換するために使用されます。この変換を変更すると、 Tenable.cs コンテナ資産インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、[システムインポートセット] > [変換マップ] に移動します。「 Tenable.cs Container Asset Transform」を検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_digest | Image_id | Tenable は、コンテナ資産の一意のダイジェストを提供し、検出されたコンテナイメージと Docker イメージレコードにマップして、CI ルックアップに使用します。 |
| u_digest | Image_digest | Tenable は、コンテナ資産の一意のダイジェストを提供し、検出されたコンテナイメージと Docker イメージレコードにマップして、CI ルックアップに使用します。 |
| u_name | 名前 | Docker イメージレコードの name フィールドにマップします。 |
| u_repositoryuri | 名前 | コンテナリポジトリレコードにマップ |
| u_repositoryuri | リポジトリ | 検出されたコンテナイメージレコードにマッピングします。 |
| u_virtualmachines | host_list | 検出されたコンテナイメージレコードにマップ |
| u_labels | Image_labels | 最初の OS 値を検出されたアイテムレコードの os フィールドにマッピングします。 |
| u_clusters | image_cluster | 検出されたコンテナイメージレコードにマップ |
| u_imagetags | tags | 検出されたコンテナイメージレコードにマップ |
| u_cloudprovider | cloud_providers | 検出されたコンテナイメージレコードにマップ |
| u_accountid | cloud_account_ids | 検出されたコンテナイメージレコードにマップ |
| u_region | cloud_regions | 検出されたコンテナイメージレコードにマップ |
| u_operatingsystem | os | 検出されたコンテナイメージレコードにマップ |
| u_scantime | last_scan_date | 検出されたコンテナイメージレコードにマップ |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 |
ホストの値を更新し、ホストが存在するかどうかを確認するために使用される機能。結果に基づいて、import_set の値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成された新しい CI と更新されて無視された CI の値を設定するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.cs コンテナ脆弱性のインポート
インポートされたコンテナ脆弱性データは、最初に Tenable.cs コンテナ脆弱性インポート [sn_vul_tenable_cs_container_vuln_import] テーブルにロードされます。
Tenable.cs コンテナ脆弱性変換マップは、インポートされたコンテナ脆弱性情報を変換するために使用されます。この変換を変更すると、 Tenable.cs コンテナ脆弱性インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します: . 「 Tenable.cs Container Vuln Transform」を検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| [script] | Image_id | ダイジェストは API の Resource.Id フィールドから抽出されimage_id検出されたコンテナイメージと Docker イメージレコードのフィールドにマッピングされます。 |
| [script] | Image_digest | API の Resource.Id フィールドからダイジェストが抽出されimage_digest検出されたコンテナイメージと Docker イメージレコードのフィールドにマッピングされます。 |
| [script] | 名前 | リポジトリ情報は [名前] フィールドから抽出され、Docker イメージとコンテナリポジトリレコードにマッピングされます。 |
| [script] | リポジトリ | リポジトリ情報が名前フィールドから抽出され、検出コンテナイメージレコードにマッピングされます。 |
| u_resource。ラベル | Image_labels | 検出されたコンテナイメージレコードにマップ |
| u_resource。クラウドプロバイダー | cloud_providers | 検出されたコンテナイメージレコードにマップ |
| u_resource。AccountId | cloud_account_ids | 検出されたコンテナイメージレコードにマップ |
| u_resource。地域 | cloud_regions | 検出されたコンテナイメージレコードにマップ |
| u_vulnerability。ID | ID | ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、サードパーティのエントリーテーブルの ID は TEN-12345 です。 |
| u_vulnerability。説明 ID | サマリー ID | サードパーティのエントリーレコードにマップします。またはCVEレコード。 |
| u_vulnerability。過酷 | v4_base_severity | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。Vprスコア | source_risk_score | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。VprSeverity | source_severity | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。AttackVector | v4_attack_vector | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。エクスプロイト成熟度 | v4_exploit_maturity | サードパーティのエントリーレコードにマップします。 |
| [script] | ソース | 輸入されたTPEのソースは Tenable.csです。 |
| u_vulnerability。身分証明書 | 名前 | 脆弱性参照レコードへのマッピング |
| u_vulnerability。リンク | URL | 脆弱性参照レコードへのマッピング |
| 脆弱性 | 脆弱性参照レコードでの TPE または CVE の参照 | |
| u_software。名前 | 名前 | コンテナイメージパッケージレコードにマップ |
| u_software。バージョン | バージョン | コンテナイメージパッケージレコードにマップ |
| u_software。種類 | package_type | コンテナイメージパッケージレコードにマップ |
| u_softwarepaths | パス | コンテナイメージパッケージレコードにマップ |
| u_resolved | ステータス | コンテナイメージの検索レコードにマップ |
| u_firstscantime | first_found | コンテナイメージの検索レコードにマップ |
| u_resource。スキャン時間 | last_found | コンテナイメージの検索レコードにマップ |
| u_vulnerability。形容 | proof | コンテナイメージの検索レコードにマップ |
| u_resolved | state | コンテナ脆弱性一致アイテムレコードにマップ |
| u_firstscantime | first_found | コンテナ脆弱性一致アイテムレコードにマップ |
| u_resource。スキャン時間 | last_found | コンテナ脆弱性一致アイテムレコードにマップ |
| [script] | ソース | コンテナ脆弱性一致アイテムレコードのソースは Tenable.csです。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | インポートセットを使用して Tenable.cs からデータをインポートし、各レコードを CMDB CI テーブル、脆弱性一致アイテムテーブル、サードパーティ脆弱性エントリーテーブル、脆弱性参照テーブル、コンテナイメージパッケージ、コンテナイメージの検索、およびコンテナ脆弱性一致アイテムにロードする TenableCS コンテナ脆弱性プロセッサをトリガーします。変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティのエントリーとイメージの検索が存在するかどうかを確認します。そうでない場合、これらのレコードはそれぞれのテーブルに作成されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | Tenable.cs からインポートされた CI、VIT、および結果の数を更新します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.cs CPU 脆弱性インポート
インポートされたホスト脆弱性データは、最初に Tenable.cs Compute 脆弱性インポート [sn_vul_tenable_cs_compute_vuln_import] テーブルにロードされます。
Tenable.cs Compute Vuln 変換マップは、インポートされたホスト脆弱性情報を変換するために使用されます。この変換を変更すると、 Tenable.cs Compute 脆弱性インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します: . 「 Tenable.cs Compute Vuln Transform」を検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_resource。身分証明書 | object_id | CMDB CI レコードにマッピングします。 |
| u_resource。名前 | 名前 | CMDB CI レコードにマッピングします。 |
| asset_category | クラウドは、検出されたアイテムレコードの資産カテゴリとしてマッピングされます。 | |
| U_resource。クラウドプロバイダー | cloud_service_provider | 検出されたアイテムレコードにマップ |
| u_resource。地域 | cloud_region | 検出されたアイテムレコードにマップ |
| u_resource。AccountId | cloud_account | 検出されたアイテムレコードにマップ |
| u_resource。CloudProvider | cloud_resource_type | 検出されたアイテムレコードにマップ |
| u_resource。身分証明書 | resource_id | 検出されたアイテムレコードにマップ |
| u_resource。名前 | resource_name | 検出されたアイテムレコードにマップ |
| u_vulnerability。身分証明書 | ID |
ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、サードパーティのエントリーテーブルの ID は TEN-12345 です。 ID を CVE にもマッピングします。 |
| u_vulnerability。説明 | まとめ | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。過酷 | v4_base_severity | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。Vprスコア | source_risk_score | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。VprSeverity | source_severity | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。AttackVector | v4_attack_vector | サードパーティのエントリーレコードにマップします。 |
| u_vulnerability。エクスプロイト成熟度 | v4_exploit_maturity | サードパーティのエントリーレコードにマップします。 |
| [script] | ソース | インポートされた TPE のソースは Tenable.cs です。 |
| u_vulnerability。身分証明書 | 名前 | 脆弱性参照レコードへのマッピング |
| u_vulnerability。リンクス | URL | 脆弱性参照レコードへのマッピング |
| 脆弱性 | 脆弱性参照レコードでの TPE または CVE の参照 | |
| u_resolved | ステータス | 脆弱性一致アイテム検出レコードへのマッピング |
| u_firstscantime | first_found | 脆弱性一致アイテム検出レコードへのマッピング |
| u_resource。スキャン時間 | last_found | 脆弱性一致アイテム検出レコードへのマッピング |
| u_softwarepaths | proof | 脆弱性一致アイテム検出レコードへのマッピング |
| u_softwareresolutionversions | solution_summary | 脆弱性一致アイテム検出レコードへのマッピング |
| u_resolved | state | 脆弱性一致アイテムレコードにマップ |
| u_firstscantime | first_found | 脆弱性一致アイテムレコードにマップ |
| u_resource。スキャン時間 | last_found | 脆弱性一致アイテムレコードにマップ |
| [script] | ソース | 脆弱性一致アイテムレコードのソースは Tenable.csです。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | インポートセットを使用して Tenable.cs からデータをインポートし、各レコードを CMDB CI テーブル、脆弱性一致アイテムテーブル、およびサードパーティ脆弱性テーブルにロードする Tenable CS CPU 脆弱性プロセッサーをトリガーします。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティのエントリーと検出が存在するかどうかを確認します。そうでない場合、これらのレコードはそれぞれのテーブルに作成されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | Tenable.cs からインポートされた CI、VIT、および検出の数を更新します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_digest | Image_id | コンテナ資産に対して Tenable によって提供される一意のダイジェスト。検出されたコンテナイメージと Docker イメージレコードにマッピングされ、CI ルックアップに使用されます。 |
| u_name | 名前 | Docker イメージレコードの name フィールドにマップします。 |