Datentransformation für die Integration von Tenable Vulnerability
Nachdem Sie die zu importierenden Daten identifiziert haben, werden sie aus dem Tenable-Produkt abgerufen und über eine Reihe von Datenquellen und Transformationen in Ihrer Instanz verarbeitet.
Während der Installation werden normalisierte Schweregradzuordnungen im Modul „Normalisierte Schweregradzuordnung“ installiert. Diese Zuordnungen transformieren importierte Tenable-Schweregrade in Standardschweregrade für die Verarbeitung in Ihrer Instanz. Weitere Informationen zum Erstellen von Schweregradzuordnungen finden Sie unter Vulnerability Response-Schweregradzuordnungen erstellen in der Dokumentation Vulnerability Response.
Tenable.io-Asset-Import
Importierte Asset-Daten werden zuerst in die Tenable.io-Asset-Importtabelle [sn_vul_tenable_io_asset_import] geladen.
Die Tenable.io Asset Integration-Transformationszuordnung wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Asset-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu . Suchen Sie nach Tenable.io Asset Transform.
In den folgenden Tabellen werden die Transformationszuordnungsfelder nach Integration aufgelistet.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | source_id | Tenable stellt eine eindeutige ID für Assets bereit, ordnet sie dem Datensatz des erkannten Elements zu und wird für die CI-Suche verwendet. |
| u_ipv4s | ip_address | Ordnet den ersten IP-Wert dem Feld ip_address im Datensatz des erkannten Elements zu. |
| u_mac_addresses | mac_address | Ordnet den ersten mac_address-Wert dem MAC-Adressfeld im Datensatz des erkannten Elements zu. |
| u_fqdns | fqdn | Ordnet den ersten fqdn-Wert dem fqdn-Feld im Datensatz des erkannten Elements zu. |
| u_netBIOS_names | NetBIOS | Ordnet den ersten NetBIOS-Wert dem NetBIOS-Feld im Datensatz des erkannten Elements zu. |
| u_operating_systems | os | Ordnet den ersten BS-Wert dem BS-Feld im Datensatz des erkannten Elements zu. |
| (Vor Version 14.0 Vulnerability Response und Version 2.2 von Tenable Vulnerability Integration)u_last_scan_time | last_scan_date | Ordnet auf das Feld last_scan_date im Datensatz des erkannten Elements zu. |
| u_last_authenticated_scan_date | last_auth_scan_date | Ordnet auf das Feld last_auth_scan_date im Datensatz des erkannten Elements zu. |
| [Skript] | Name | Ordnet den Hostnamen mithilfe der Logik des Skripts zu. |
| u_tags | Die Tags werden in sn_sec_cmn_host_tag gespeichert. Die Zuordnung von Tags zu Assets wird in sn_sec_cmn_m2m_src_ci_tag gespeichert. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.
Timing und Zweck des Tenable.io Asset-Transformationszuordnungsskripts
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Eine Funktion, die verwendet wird, um Werte auf dem Host zu aktualisieren und zu überprüfen, ob der Host bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem import_set. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte von neu erstellten CIs sowie von CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
Integration von Tenable.io-Plugins
Die Transformationszuordnung für Tenable.io-Plugins wird verwendet, um aus Tenable.io importierte Plugins zu transformieren.
Hinweis:
Änderungen an dieser Transformationszuordnung ändern, wie Daten verarbeitet werden, die von den Tenable-Plugins empfangen wurden.
Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu . Suchen Sie nach der Tenable.io-Plugin-Transformation.
Die Nutzlast der Tenable.io-Plugins enthält alle Felder in der Spalte u_attributes der Tabelle sn_vul_tenable_io_plugin_import. Das Attributfeld wird analysiert und den Datensätzen der Drittpartei-Eintragstabelle zugeordnet, wie in der folgenden Tabelle aufgeführt.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| id | id | Ordnet die ID aus der Quelle zu und fügt das Präfix TEN hinzu. Beispiel: Wenn die empfangene ID 12345 lautet, lautet die ID in der Zieltabelle TEN-12345. |
| Beschreibung | Zusammenfassung | Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu. |
| [Skript] | Quelle | Die Quelle für importierte TPE ist Tenable.io. |
| [Skript] | source_instance | Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert. |
| Familie | Kategorie | Ordnet die Familie des Plugins der Kategoriespalte zu |
| Plugin_Änderung_Datum | last_modified | Ordnet „plugin_modification_date“ dem Feld der letzten Änderung zu. |
| Plugin_Veröffentlichung_Datum | date_published | Ordnet „plugin_publication_date“ dem Veröffentlichungsdatum zu. |
| has_patch | remediation_type | Ordnet den Korrekturtyp dem Wert has_patch zu. |
| synopsis | Bedrohung | Ordnet die Bedrohungsinformationen für diese Schwachstelle zu. |
| cvss_base__score | Punktzahl | Ordnet die CVSS-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu. |
| Lösung | Lösung | Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu. |
| Exploit_available | Exploit | Ordnet den vom Scanner bereitgestellten „ploit_available“ der Exploit-Spalte in der Drittpartei-Eintragstabelle zu |
| vpr.Punktzahl | source_risk_score | Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu. |
| [Skript] | source_risk_rating | Ordnet die VPR-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
|
| vpr.drivers.age_of_vuln | „age_of_vuln“ | Ordnet das Alter der Schwachstelle vom Scanner der Spalte „age_of_vuln“ in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.exploit_code_maturity | Exploit_code_maturity | Ordnet die Reife des Exploit-Codes vom Scanner „ploit_code_maturity“ in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.product_coverage | product_coverage | Ordnet die Produktabdeckung vom Scanner zu product_coverage in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.threat_sources_last28 | Bedrohungsquellen | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner „thread_sources“ in der Drittparteitabelle zu. |
| vpr.drivers.threat_intensity_last28 | Bedrohungsintensität | Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu Threat_Intensity in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.threat_recency | Threat_recency | Ordnet die Bedrohungsaktualitätsinformationen von „scanner“ Threat_recency in der Drittpartei-Eintragstabelle zu. |
| vpr.drivers.cvss3_impact_score | v3_impact_subscore | Ordnet die cvss3-Auswirkungspunktzahl der Spalte „v3_impact_subscore“ in der Drittpartei-Eintragstabelle zu. |
| cvss_temporal_score | cvss_temporal_score | Ordnet die temporäre Punktzahl für CVSS v2 zu. |
| cvss_v3_temporal_score | v3_temporal_score | Ordnet die temporäre Punktzahl für CVSS v3 zu. |
| risk_factor | source_severity | Ordnet auf den Quellschweregrad in der Drittpartei-Eintragstabelle zu. |
| Name | Name | Ordnet den Namen des Plugins dem Namen in der Drittpartei-Eintragstabelle zu. |
| stig_severity | stig_severity | Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu. |
| Plugin-Typ | check_type | Ordnet den Plugin-Typ check_type in der Drittpartei-Eintragstabelle zu. |
| unsupported_by_vendor | unsupported_by_vendor | Ordnet das Feld unsupported_by_vendor der Spalte unsupported_by_vendor zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt. |
Zusätzlich zu den direkten Feldern werden andere Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie in sn_vul_m2m_entry_cve. |
| bid | Die Liste der Fehlerverfolgungen wird als Referenz hinzugefügt. |
| see_also | Die Liste der URLs wird als Referenz hinzugefügt. |
| xrefs | Die X-REF-Liste wird als Referenz hinzugefügt. |
| [Skript] | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin in sn_vul_m2m_framework_vul ein. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Eine Funktion, die verwendet wird, um die Werte im Drittparteieintrag zu aktualisieren und zu überprüfen, ob der Drittparteieintrag bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem Drittparteieintrag. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte von neu erstellten CIs sowie von CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
Die TenableIOPluginsImportProcessor-Skripteinbindung wird aus dem onBefore-Transformationsskript aufgerufen. Die Ausgabe der Tenable.io-Plugin-Integration wird in Now Platform Schwachstelleneinträge von Drittparteien umgewandelt. Alle Änderungen an dieser Skripteinbindung können die Transformation der Tenable.io-Plugin-Daten in der Drittpartei-Eintragstabelle ändern.
Import von Tenable.io-Schwachstellen
Die Transformationszuordnung für angreifbare Tenable.io-Elemente wird verwendet, um Informationen zu offenen und behobenen Schwachstellen zu transformieren, die aus Tenable.io importiert wurden.
Hinweis:
Änderungen an dieser Transformationszuordnung ändern, wie Daten aus dem Tenable-Schwachstellenimport verarbeitet werden.
Dieselbe Transformationszuordnung wird sowohl für die Integration von Tenable.io mit festen Schwachstellen als auch für die Integration mit Tenable.io Open Vulnerabilities verwendet. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu . Suchen Sie nach der Transformationszuordnung für angreifbares Tenable.io-Element.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_asset.uuid | id | Uuid wird dem ID-Feld des cmdb_ci-Datensatzes zugeordnet. |
| u_asset.ipv4 | ip_address | Das ipv4-Feld wird dem ip-Adressfeld des cmdb_ci-Datensatzes zugeordnet. |
| u_asset .last_authenticated_results | last_auth_scan_date | Das Datum des letzten authentifizierten Scans wird dem Datum des letzten Auth-Scans des cmdb_ci-Datensatzes zugeordnet. |
| u_asset.mac_addess | mac_address | MAC-Adresse wird dem Host-MAC-Adressfeld des cmdb_ci-Datensatzes zugeordnet. |
| u_asset.netBIOS_name | NetBIOS | NetBIOS wird dem NetBIOS-Feld des cmdb_ci-Datensatzes zugeordnet. |
| u._plugin.cvss3_base_score | v3_base_score | CVSS v3-Basispunktzahl wird der v3-Basispunktzahl des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u._plugin.cvss3_temporal_score | v3_temporal_score | Die temporäre CVSS v3-Punktzahl wird der v3 temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u._plugin.cvss_base_score | Punktzahl | Die CVSS-Basispunktzahl wird dem Punktzahlfeld des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u._plugin.cvss_temporal_score | temporal_score | Die temporäre Punktzahl wird der temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_plugin.description | Zusammenfassung | Die Beschreibung wird dem Zusammenfassungsfeld im Datensatz „Drittpartei-Eintrag“ zugeordnet. |
| u_plugin.familie | Kategorie | Ordnet die Plugin-Familie der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu. |
| u_plugin.modification_date | last_modified | Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Datensatz des Drittanbietereintrags zugeordnet. |
| u_plugin.publication_date | date_published | Das Veröffentlichungsdatum wird dem Feld „Veröffentlichungsdatum“ des Datensatzes „Drittpartei-Eintrag“ zugeordnet. |
| u_plugin.risk_factor | source_severity | Der Risikofaktor wird dem Feld „source_severity“ des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_plugin.solution | Lösung | Die Lösung wird dem Lösungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_plugin.synotsis | Bedrohung | Die Synopse wird dem Bedrohungsfeld des Drittpartei-Eintragsdatensatzes zugeordnet. |
| u_severity_id | Priorität | Die Priorität wird der Schweregrad-ID aus der Nutzlast zugeordnet. Der Standardwert ist 5. |
| u_plugin.exploit_available | Exploit | Ordnet den vom Scanner bereitgestellten Exploit_available der Exploit-Spalte in der Drittpartei-Eintragstabelle zu. |
| vpr.Punktzahl | source_risk_score | Ordnet die vom Scanner bereitgestellte VPR-Punktzahl „source_risk_score“ in der Drittpartei-Eintragstabelle zu. |
| [Skript] | source_risk_rating | Ordnet die VPR-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_plugin.vpr.drivers.age_of_vuln | „age_of_vuln“ | Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu. |
| u_plugin.vpr.drivers.exploit_code_maturity | Exploit_code_maturity | Ordnet die Reife des Exploit-Codes vom Scanner „ploit_code_maturity“ in der Drittpartei-Eintragstabelle zu. |
| u_plugin.vpr.drivers.product_coverage | product_coverage | Ordnet die Produktabdeckung vom Scanner zu product_coverage in der Drittpartei-Eintragstabelle zu. |
| u_plugin.vpr.drivers.threat_sources_last28 | Bedrohungsquellen | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner „thread_sources“ in der Drittpartei-Eintragstabelle zu. |
| u_plugin.vpr.drivers.threat_intensity_last28 | Bedrohungsintensität | Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu Threat_Intensity in der Drittpartei-Eintragstabelle zu. |
| u_plugin.vpr.drivers.threat_recency | Threat_recency | Ordnet die Bedrohungsaktualitätsinformationen vom Scanner Threat_recency in der Drittpartei-Eintragstabelle zu. |
| u_plugin.vpr.drivers.cvss3_impact_score | v3_impact_subscore | Ordnet die CVSS3 v3-Auswirkungspunktzahl der Spalte „v3_impact_subscore“ in der Drittpartei-Eintragstabelle zu. |
| u_plugin.type | check_type | Ordnet den Plugin-Typ check_type in der Drittpartei-Eintragstabelle zu. |
| u_plugin.unsupported_by_vendor | unsupported_by_vendor | Ordnet das Feld „unsupported_by_vendor“ im Plugin der Spalte „unsupported_by_vendor“ zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt. |
| u_plugin.family_id | Family_id | Ordnet die Familien-ID des Plugins der Spalte „family_id“ in der Drittpartei-Eintragstabelle zu. |
| port | port | Der Port wird dem Feld „Port“ des Datensatzes für angreifbare Elemente zugeordnet. |
| protocol | protocol | Das Protokoll wird dem Protokollfeld des Datensatzes für angreifbare Elemente zugeordnet. |
| u_first_found | first_found | „Zuerst gefunden“ wird dem Feld „Zuerst gefunden“ des Datensatzes für angreifbare Elemente zugeordnet. |
| u_last_found | last_found | „Zuletzt gefunden“ wird dem Feld „Zuletzt gefunden“ des Datensatzes für angreifbare Elemente zugeordnet. |
| u_state | Status | Der Status wird dem Feld Status im Datensatz des angreifbaren Elements zugeordnet |
| [Skript] | Quelle | Die Quelle der Integration wird ausgefüllt. Die aus dieser Integration erstellten angreifbaren Elemente haben Tenable.io als Quelle. |
| [Skript] | integration_instance | integration_instance ist der Name der Instanz, aus der das angreifbare Element importiert wird. |
| u_plugin.name | Name | Ordnet den Namen des Plugins dem Namen in der Drittpartei-Eintragstabelle zu. |
| u_plugin.stig_severity | stig_severity | Ordnet den STIG-Schweregrad des Plugins der Spalte „STIG-Schweregrad“ in der Drittpartei-Eintragstabelle zu |
Zusätzlich zu den direkten Feldern werden andere Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung finden Sie in sn_vul_m2m_entry_cve. |
| bid | Die Liste der Fehlerverfolgungen wird als Referenz hinzugefügt. |
| see_also | Die Liste der URLs wird als Referenz hinzugefügt. |
| xrefs | Die X-REF-Liste wird als Referenz hinzugefügt. |
| [Skript] | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin zu sn_vul_m2m_framework_vul ein. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation löst TenableIOVulnerabilitiesProcessor aus, der Daten aus Tenable.io mithilfe des Importsatzes importiert und jeden Datensatz in die CMDB-CI-Tabelle, die Tabelle „Angreifbare Elemente“ und die Tabelle „Drittpartei-Schwachstelle“ lädt.Zur internen Verwendung. Das Ändern oder Löschen wird nicht empfohlen. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Eine Funktion, um zu überprüfen, ob der Drittpartei-Eintrag und die Erkennungen bereits vorhanden sind. Wenn nicht, werden diese Datensätze in ihren jeweiligen Tabellen erstellt. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Anzahl der aus Tenable.io importierten CIs, VIs und Erkennungen zu aktualisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
Tenable.sc-Asset-Import
Aus Tenable.sc importierte Asset-Daten werden zuerst in die Tenable.sc-Asset-Importtabelle (sn_vul_tenable_sc_asset_import) geladen. Die Tenable.sc Asset Integration-Transformationszuordnung wird verwendet, um die importierten Asset-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Asset-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu . Suchen Sie nach Tenable.sc Asset Transform.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_uuid | id | Die UUID wird nicht über die Tenable-API ausgefüllt. Daher wird das Attribut „u_uniqueness“ verwendet, um ein eindeutiges UUID-Feld für Assets zu erstellen und dem cmdb_ci-Datensatz zuzuordnen. |
| u_ip | ip_address | Ordnet das IP-Feld der API dem Feld ip_address in einem cmdb_ci-Datensatz zu. |
| u_macaddress | mac_address | Ordnet das Feld macaddress aus der API dem Adressfeld im cmdb_ci-Datensatz zu. |
| u_dnsname | fqdn | Ordnet das dnsname-Feld der API dem fqdn-Feld im cmdb_ci-Datensatz zu. |
| u_netBIOSName | NetBIOS | Ordnet das NetBIOS-Feld der API dem NetBIOS-Feld im cmdb_ci-Datensatz zu. |
| u_oscpe | os | Die BS-Informationen werden aus dem Attribut oscpe in der Nutzlast extrahiert und dem BS-Feld im cmdb_ci-Datensatz zugeordnet. |
| u_lastauthrun | last_auth_scan_date | Ordnet das Feld „lastauthrun“ der API dem Feld „last_auth_scan_date“ im Datensatz des erkannten Elements zu. |
| u_lastauthrun und u_lastunauthrun | last_scan_date | „lastauthrun“ wird aus der Tenable-API oder „lastunauthrun“ extrahiert. Basierend darauf, welcher Wert in der Nutzlast angezeigt wird, wird das Feld „last_scan_date“ im Datensatz des erkannten Elements ausgefüllt. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Funktion zum Aktualisieren der Werte auf dem Host und Überprüfen, ob der Host bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem import_set. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte von neu erstellten CIs sowie von CIs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
Import von Tenable.sc-Plugins
Aus Tenable.sc importierte Plugin-Daten werden zuerst in die Tenable.sc-Plugin-Importtabelle (sn_vul_tenable_sc_plugin_import) geladen. Die Tenable.sc-Plugin-Transformationszuordnung wird verwendet, um die importierten Plugin-Informationen zu transformieren. Änderungen an dieser Transformation ändern, wie Daten aus dem Tenable-Plugin-Import verarbeitet werden. Um auf diese Transformationszuordnung zuzugreifen, navigieren Sie zu . Suchen Sie nach Tenable.sc Plugin Transform Map.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_id | id | Ordnet die ID der Quelle zu und fügt das Präfix TEN hinzu. Beispiel: Wenn die empfangene ID 12345 lautet, lautet die ID in der Zieltabelle TEN-12345. |
| u_description | Zusammenfassung | Ordnet die Beschreibung des Plugins der Zusammenfassungsspalte zu. |
| [Skript] | Quelle | Importiertes TPE aus dieser Integration hat Tenable.sc als Quelle. |
| [Skript] | source_instance | Verweis auf die Tenable-Bereitstellung, die diesen Datensatz importiert. |
| u_familie | Kategorie | Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte zu. |
| u_plugin_modification_date | last_modified | Ordnet „plugin_modification_date“ dem Feld der letzten Änderung zu. |
| u_plugin_publication_date | date_published | Ordnet „plugin_publication_date“ dem Veröffentlichungsdatum zu. |
| u_has_patch | remediation_type | Ordnet den Korrekturtyp dem Wert has_patch zu. |
| u_synosis | Bedrohung | Ordnet die Bedrohungsinformationen für diese Schwachstelle zu. |
| u_cvss_base_score | Punktzahl | Ordnet die CVSS-Basispunktzahl der Punktzahlspalte in der Drittpartei-Eintragstabelle zu. |
| u_solution | Lösung | Ordnet die vom Scanner bereitgestellte Lösung der Lösungsspalte in der Drittpartei-Eintragstabelle zu. |
| u_cvss_temporal_score | cvss_temporal_score | Ordnet die temporäre Punktzahl für CVSS v2 zu. |
| u_cvss_v3_temporal_score | v3_temporal_score | Ordnet die temporäre Punktzahl für CVSS v3 zu. |
| u_risk_factor | Quellschweregrad | Ordnet auf den Quellschweregrad in der Drittpartei-Eintragstabelle zu. |
| u_cvss_v3_base_score | v3_base_score | Ordnet die CVSS-Basispunktzahl in der Drittpartei-Eintragstabelle zu. |
| u_exploit_available | Exploit | Ordnet das vom Scanner bereitgestellte ExploitAvailable der Exploit-Spalte in der Drittpartei-Eintragstabelle zu. |
| u_vpr_score | source_risk_score | Ordnet die VPR-Punktzahl vom Scanner der Quellrisikopunktzahl in der Drittpartei-Eintragstabelle zu. |
| [Skript] | source_risk_rating | Ordnet die VPR-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_vpr_context[id=age_of_vuln] | „age_of_vuln“ | Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = exploit_code_maturity] | Exploit_code_maturity | Ordnet die Reife des Exploit-Codes vom Scanner „ploit_code_maturity“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = product_coverage] | product_coverage | Ordnet die Produktabdeckung vom Scanner zu product_coverage in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = ”threat_sources_last_28] | Bedrohungsquellen | Ordnet Bedrohungsquellen in den letzten 28 Tagen von „scanner“ zu „thread_sources“ in der Drittparteitabelle zu. |
| u_vpr_context [id = ”threat_intensity_last_28] | Bedrohungsintensität | Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu Threat_Intensity in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = „threat_recency“] | Threat_recency | Ordnet die Bedrohungsaktualitätsinformationen vom Scanner Threat_recency in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = cvssV3_impactScore] | v3_impact_subscore | Ordnet die CVSS v3-Auswirkungspunktzahl des Scanners v3_impact_subscore in der Drittpartei-Eintragstabelle zu. |
| u_name | Name | Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu. |
| u_stig_severity | stig_severity | Ordnet das Feld stig_severity im Plugin stig_severity in der Drittpartei-Eintragstabelle zu. |
| u_check_type | check_type | Ordnet den Prüfungstyp check_type in der Drittpartei-Eintragstabelle zu. |
| u_familie.id | familie_id | Ordnet das Plugin „family_id“ „family_id“ in der Drittpartei-Eintragstabelle zu. |
[Skript] |
Exploit_Attack_Vector |
Die Spalte „exploit_attack_vector“ in der Drittpartei-Eintragstabelle wird basierend auf „exploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt. |
Zusätzlich zu den direkten Feldern werden andere Informationen als zugehörige Listen zu Drittparteieinträgen hinzugefügt.
| Quellenfeld | Beschreibung |
|---|---|
| u_cpe | Die Liste der CPEs wird als Referenz hinzugefügt. |
| u_see_also | Die Liste der URLs wird als Referenz hinzugefügt. |
| u_exploit_frameworks | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin in sn_vul_m2m_framework_vul ein. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Funktion zum Aktualisieren der Werte im Drittparteieintrag und zum Überprüfen, ob der Drittparteieintrag bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einem Drittparteieintrag. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte der erstellten und ignorierten Plugins festzulegen. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
Die TenableSCPluginsImportProcessor-Skripteinbindung wird aus dem onBefore-Transformationsskript aufgerufen. Es übernimmt die Ausgabe der Tenable.sc-Plugin-Integration und wandelt sie in ServiceNow-Schwachstelleneinträge von Drittparteien um. Alle Änderungen an dieser Skripteinbindung können die Umwandlung von Tenable.sc-Plugin-Daten in der Drittpartei-Eintragstabelle ändern.
Import von Tenable.sc-Schwachstellen
Die Transformationszuordnung für Tenable.sc Open Vulnerabilities wird verwendet, um importierte Daten aus der Integration von Tenable.sc Open Vulnerabilities zu transformieren, und die Transformationszuordnung für Tenable.sc und feste Schwachstellen wird verwendet, um importierte Daten aus der Integration von Tenable.sc für feste Schwachstellen zu transformieren.
Hinweis:
Um auf die Transformationszuordnungen für offene und feste Schwachstellen von Tenable.sc zuzugreifen, navigieren Sie zu .Änderungen an diesen Transformationszuordnungen ändern, wie Daten aus dem Import von festen/offenen Tenable-Schwachstellen verarbeitet werden.
| Quellenfeld | Zielfeld | Beschreibung |
|---|---|---|
| u_pluginID | ID | Wird als Bezeichner für das Plugin verwendet. Dieses Feld ist der Plugin-ID im Datensatz „Drittpartei-Eintrag“ zugeordnet. |
| u_riskfactor | source_severity | Dieses Feld ist „source_severity“ im Datensatz „Drittpartei-Eintrag“ zugeordnet. |
| u_severity | Priorität | Das Prioritätsfeld wird dem Schweregrad zugeordnet. Der Standardwert ist 5. |
| u_hasbeenmitigated | Status | „Wurde verringert“ wird dem Statusfeld des Schwachstellendatensatzes zugeordnet. Bei der Integration behobener Schwachstellen befinden sich alle AEs im Status „Geschlossen“. |
| u_ip | ip_address | Die IP-Adresse wird dem Host-IP-Feld der Tabelle „cmdb_ci“ zugeordnet. |
| u_port | port | Der Port wird dem Feld „Port“ des Datensatzes für angreifbare Elemente zugeordnet. |
| u_protocol | protocol | Das Protokoll wird dem Port-Feld des Datensatzes für angreifbare Elemente zugeordnet. |
| u_firstSeen | first_found | Der erste gefundene Wert wird dem ersten gefundenen Feld des VI-Datensatzes zugeordnet. |
| u_lastSeen | last_found | Der zuletzt angezeigte Wert wird dem zuletzt gefundenen Feld des VI-Datensatzes zugeordnet. |
| u_exploitVerfügbar | Exploit | ExploitAvailable wird dem Exploit-Feld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_synosis | Bedrohung | Die Synopse wird dem Bedrohungsfeld im Datensatz des Drittpartei-Eintrags zugeordnet. |
| u_description | Zusammenfassung | Die Beschreibung wird dem Zusammenfassungsfeld im Datensatz „Drittpartei-Eintrag“ zugeordnet. |
| u_solution | Lösung | Die Lösung wird dem Lösungsfeld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_basescore | Punktzahl | BaseScore wird dem Punktzahlfeld im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_temporalScore | temporal_score | Die temporäre Punktzahl wird der temporären Punktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_cvssv3basescore | v3_base_score | Cvssv3basescore wird der v3-Basispunktzahl im Drittpartei-Eintragsdatensatz zugeordnet. |
| u_cvsstemporalscore | v3_temporal_score | Cvssv3temporal score wird der zeitlichen v3-Punktzahl im Datensatz des Drittparteieintrags zugeordnet. |
| u_pluginpubdate | date_published | Das Plugin-Veröffentlichungsdatum wird dem Plugin-Veröffentlichungsdatum im Datensatz des Drittanbietereintrags zugeordnet. |
| u_pluginmoddate | last_modified | Das Datum der letzten Änderung wird dem Datum der letzten Änderung des Plugins im Datensatz des Drittanbietereintrags zugeordnet. |
| u_dnsname | fqdn | DnsName wird dem FQDN-Feld des cmdb_ci-Datensatzes zugeordnet. |
| u_macaddress | mac_address | MacAddress wird dem Feld mac_address des cmdb_ci-Datensatzes zugeordnet. |
| u_netBIOSName | NetBIOS | NetBIOSName wird dem NETBIOS-Feld des cmdb_ci-Datensatzes zugeordnet. |
| u_ip | ip | IP wird dem IP-Feld des cmdb_ci-Datensatzes zugeordnet. |
| hostUniqueness | uuid | Die Eindeutigkeit des Hosts wird keinem Feld zugeordnet, sondern verwendet, um die UUID für den Host zu bestimmen. |
| u_familie | Kategorie | Ordnet das Namensfeld im Familienobjekt des Plugins der Kategoriespalte des Drittpartei-Eintragsdatensatzes zu. |
| u_plugintext | Nachweis | Plugin-Text wird dem Nachweis im TPE-Datensatz zugeordnet. |
| [Skript] | Quelle | Die Quelle der Integration wird ausgefüllt. Die aus dieser Integration erstellten angreifbaren Elemente haben Tenable.sc als Quelle. |
| [Skript] | integration_instance | integration_instance ist der Name der Instanz, aus der das angreifbare Element importiert wird. |
| u_vpr_score | source_risk_score | Ordnet die VPR-Punktzahl vom Scanner der Quellrisikopunktzahl in der Drittpartei-Eintragstabelle zu. |
| [Skript] | source_risk_rating | Ordnet die VPR-Punktzahl der Standardrisikobewertung basierend auf den Punktzahlbereichen zu:
|
| u_vpr_context[id=age_of_vuln] | „age_of_vuln“ | Ordnet das Alter der Schwachstelle vom Scanner „age_of_vuln“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = exploit_code_maturity] | Exploit_code_maturity | Ordnet die Reife des Exploit-Codes vom Scanner „ploit_code_maturity“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = product_coverage] | product_coverage | Ordnet die Produktabdeckung vom Scanner „product_coverage“ in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = ”threat_sources_last_28] | Bedrohungsquellen | Ordnet Bedrohungsquellen in den letzten 28 Tagen vom Scanner „thread_sources“ in der Drittparteitabelle zu. |
| u_vpr_context [id = ”threat_intensity_last_28] | Bedrohungsintensität | Ordnet die Bedrohungsintensität in den letzten 28 Tagen vom Scanner zu Threat_Intensity in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = „threat_recency“] | Threat_recency | Ordnet die Bedrohungsaktualitätsinformationen vom Scanner Threat_recency in der Drittpartei-Eintragstabelle zu. |
| u_vpr_context [id = cvssV3_impactScore] | v3_impact_subscore | Ordnet die CVSS v3-Auswirkungspunktzahl des Scanners v3_impact_subscore in der Drittpartei-Eintragstabelle zu. |
| u_pluginname | Name | Ordnet den Namen des Plugins der Namensspalte in der Drittpartei-Eintragstabelle zu. |
| u_stigseverity | stig_severity | Ordnet das Feld „stig_severity“ im Plugin „stig_severity“ in der Drittpartei-Eintragstabelle zu. |
| u_checktype | check_type | Ordnet den Prüfungstyp check_type in der Drittpartei-Eintragstabelle zu. |
| u_familie.id | familie_id | Ordnet das Plugin „family.id“ „family_id“ in der Drittpartei-Eintragstabelle zu. |
| [Skript] | Exploit_Attack_Vector | Die Spalte „plot_attack_vector“ in der Tabelle „dritter_party_entry“ wird basierend auf „ploit_available“ und „v3_attack_vector“ der Spalten ausgefüllt. |
| Quellenfeld | Beschreibung |
|---|---|
| u_cve | Fügt CVE-bezogene Daten in die Referenztabelle (sn_vul_nvd_entry) ein. Wenn dasselbe CVE in der NVD-Eintragstabelle (sn_vul_nvd_entry) gefunden wird, wird die aktuelle Schwachstelle dem NVD-Eintrag zugeordnet. Die Zuordnung befindet sich in sn_vul_m2m_entry_cve. |
| u_BID | Die Liste der Fehlerverfolgungen wird als Referenz hinzugefügt. |
| u_cpe | Die Liste der CPEs wird als Referenz hinzugefügt. |
| u_seealso | Die Liste der URLs wird als Referenz hinzugefügt. |
| u_xrefs | Die Liste der X-REFs wird als Referenz hinzugefügt. |
| u_exploitframeworks | Die Liste der Exploits für dieses Plugin und fügt die Zuordnung für das entsprechende Exploit-Framework und Plugin zu sn_vul_m2m_framework_vul ein. |
Während des Transformationsprozesses werden drei Transformationsskripts ausgeführt. In der folgenden Tabelle werden die Ausführungszeiten und der Zweck der einzelnen Skripts aufgelistet.
| Wann das Skript ausgeführt wird | Zweck |
|---|---|
| onStart (wenn die Transformation eines Importsatzes gestartet wurde) | Diese Transformation wird verwendet, um die Werte in import_set für den Integrationsprozess zu initialisieren. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onBefore (bevor die Transformation eines Importsatzes abgeschlossen ist). | Funktion, die verwendet wird, um die Werte in der Schwachstelle zu aktualisieren und zu überprüfen, ob die Schwachstelle bereits vorhanden ist. Basierend auf den Ergebnissen ändert die Werte in einer Tabelle mit angreifbaren Elementen. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |
| onComplete (wenn die Transformation eines Importsatzes abgeschlossen ist). | Diese Transformation wird verwendet, um die Werte von neu erstellten AEs und AEs festzulegen, die aktualisiert und ignoriert wurden. Für den internen Gebrauch. Das Ändern oder Löschen wird nicht empfohlen. |