Transformação de dados para o Microsoft Threat and Vulnerability Management Vulnerability Integration

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 9 min. de leitura

    • Depois de identificar os dados que deseja importar, os dados são recuperados da aplicação ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM), processados por meio de um conjunto de fontes de dados e transformados em sua instância.

    Durante a instalação, os mapas de severidade normalizados são instalados no módulo Mapeamento de severidade normalizado. Esses mapas transformam níveis de severidade de vulnerabilidade de terceiros importados Microsoft em níveis de severidade padrão para processamento em sua instância. Para obter informações sobre como criar mapas de severidade, consulte Criar um mapa de severidade Vulnerability Response.

    Importação de máquinas MS TVM

    Os dados das máquinas importadas são carregados primeiro na tabela Importação de máquinas MS TVM [sn_vul_msft_tvm_machines_import].

    A Transformação de máquinas do MS TVM é usada para transformar as informações das máquinas importadas.
    Nota:
    As mudanças neste mapa de transformação alteram como os dados da importação de máquinas MS TVM são processados.
    Para acessar este mapa de transformação, navegue até Conjuntos de importação do sistema > Mapas de transformação e pesquise por Microsoft TVM Machines Transform.

    A tabela a seguir lista os campos do mapa de transformação por integração.

    Tabela 1. Campos do mapa de transformação das máquinas MS TVM
    Campo de origem Campo de destino Descrição
    u_id source_id ID exclusivo para ativos. Este ID é mapeado para o source_id do registro do item descoberto.
    u_ipaddresses.macAddress mac_address Endereço MAC que é mapeado da API para o campo de endereço MAC do host do registro cmdb_ci.
    u_ipaddresses.ipAddress ip_address Campo de endereço IP que é mapeado para o campo de endereço IP do registro cmdb_ci.
    u_lastseen data_última_verificação Campo que é mapeado para o campo last_scan_date no registro do item descoberto.
    u_machinetags Marcadores que são salvos em sn_sec_cmn_host_tag. O mapeamento de marcadores para ativos é salvo em sn_sec_cmn_m2m_src_ci_tag.
    u_osplatform os Campo que é mapeado para o campo os no registro cmdb_ci.
    u_computerdnsname fqdn Campo que mapeia o campo dnsname da API para o campo fqdn no registro cmdb_ci.

    Os scripts de transformação a seguir são executados durante o processo de transformação.

    As máquinas MS TVM transformam o tempo e a finalidade do script de mapa

    Quando o script é executado Finalidade
    onStart (quando um conjunto de importação iniciou a transformação). Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) para o processo de integração. Este script é para uso interno e não deve ser modificado ou excluído.
    onBefore (antes de um conjunto de importação concluir a transformação). Script usado para atualizar valores no host e verificar se o host existe. Com base nos resultados, este script modifica os valores na variável de escopo (sn_vul_msft_tvm). Este script é para uso interno e não deve ser modificado ou excluído.
    onComplete (quando um conjunto de importação concluiu a transformação). Script usado para definir o número de ICs criados, atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído.

    O script include MicrosoftTVMMachinesProcessor é chamado a partir do script de transformação onBefore. Ele obtém a saída da integração das máquinas Microsoft TVM e a transforma em um IC. Quaisquer mudanças nesta inclusão de script podem alterar a transformação dos dados das máquinas do Microsoft TVM na tabela de IC e item descoberto.

    Integração de vulnerabilidades do MS TVM

    Os dados de vulnerabilidades importados são carregados primeiro na tabela de importação do Microsoft TVM CVE (Vulnerabilidades) [sn_vul_msft_tvm_vulnerabilities_import].
    Nota:
    As mudanças neste mapa de transformação alteram como os dados da importação de vulnerabilidades do MS TVM são processados.
    Para acessar este mapa de transformação, navegue até Conjuntos de importação do sistema > Mapas de transformação e pesquise por Transformação de vulnerabilidades do Microsoft TVM.

    A tabela a seguir lista os campos do mapa de transformação por integração.

    Tabela 2. Campos do mapa de transformação de vulnerabilidades do Microsoft TVM
    Campo de origem Campo de destino Descrição
    u_id id Mapeia para a coluna ID do registro sn_vul_entry.
    u_severidade source_severity Mapeia o campo Gravidade para a severidade. O valor padrão é 5.
    u_publishedon date_published Mapeia o campo u_publishedon para a data de publicação.
    u_publicexploit public_exploit Mapeia o u_publicexploit fornecido pelo scanner para a coluna de exploração pública na tabela de entrada de vulnerabilidade.
    u_cvssv3 v3_base_score Mapeia a pontuação do cvssv3 para a pontuação base do v3 no registro de entrada da vulnerabilidade.
    u_description resumo Mapeia a descrição para o campo de resumo no registro de entrada da vulnerabilidade.
    u_exploitink malware_kit Mapeia o campo u_exploitinkit para o kit de malware na tabela de exploração.
    u_exploittypes tipo Mapeia o tipo de exploração para o tipo na tabela de exploração.
    u_exploitverified is_exploit_verified Mapeia o campo u_exploitverified para a exploração verificada na tabela Explorar.
    u_exploituris explore_links Mapeia o campo u_exploituris para os links de exploração na tabela de exploração.

    Os scripts de transformação a seguir são executados durante o processo de transformação.

    Quando o script é executado Finalidade
    onStart (quando um conjunto de importação iniciou a transformação). Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) para o processo de integração. Este script é para uso interno e não deve ser modificado ou excluído.
    onBefore (antes de um conjunto de importação concluir a transformação). Script usado para criar ou atualizar os valores no NVD ou na tabela de entrada de terceiros. Este script é para uso interno e não deve ser modificado ou excluído.
    onComplete (quando um conjunto de importação concluiu a transformação). Script usado para definir os valores dos novos itens que foram criados e os itens que foram atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído.

    Importação de recomendações do MS TVM

    Os dados de recomendação importados são carregados primeiro na tabela Importação de recomendações do MS TVM [sn_vul_msft_tvm_recom_import].
    Nota:
    As mudanças neste mapa de transformação alteram como os dados da importação do MS TVM Recommendations são processados.
    Para acessar este mapa de transformação, navegue até Conjuntos de importação do sistema > Mapas de transformação e pesquise por Transformação de recomendação do MS TVM.

    A tabela a seguir lista os campos do mapa de transformação por integração.

    Tabela 3. Campos do mapa de transformação da recomendação do MS TVM
    Campo de origem Campo de destino Descrição
    u_recommendedvendor recomendado_vendor Mapeia o campo u_recommendedvendor para a coluna Fornecedor.
    u_weaknesses pontos fracos Mapeia o campo u_weaknesses para a coluna Pontos fracos.
    u_exponentmachinescount src_expos_máquinas_cnt Mapeia o campo u_ex openedmachinescount para a coluna Contagem de máquinas expostas.
    u_status status Mapeia o status para o campo Status no registro de recomendação.
    u_productname product_name Mapeia o campo u_productname para o nome do produto no registro de recomendação.
    u_nonproductiv_impactedassets não_prod_impacted_assets Mapeia o campo u_nonproductiv_impactedassets para a coluna Ativos afetados no registro de recomendação.
    u_activealert active_alert Mapeia o campo u_activealert para a coluna Alerta ativo no registro de recomendação.
    u_recommendedversion recomendado_versão Mapeia o campo u_recommendedversion para a coluna Versão recomendada no registro de recomendação.
    u_totalmachinecount total_machine_count Mapeia o campo u_totalmachinecount para a coluna Contagem total de máquinas no registro de recomendação.
    u_exposureimpact exposition_impact Mapeia o campo u_exposureimpact para a coluna Impacto da exposição no registro de recomendação.
    u_recommendationname recomendação_name Mapeia o campo u_recommendationname para a coluna Nome da recomendação no registro de recomendação.
    u_subcategoria subcategoria Mapeia o campo u_subcategory para a coluna Subcategoria no registro de recomendação.
    u_id source_id Mapeia o ID de recomendação do MS TVM para a coluna ID de origem.
    u_remediationtype correção_tipo Mapeia o campo u_remediationtype para a coluna Tipo de correção no registro de recomendação.
    u_relatedcomponent related_component Mapeia o campo u_relatedcomponent para a coluna Componente relacionado no registro de recomendação.
    u_recommendedprogram recomendado_programa Mapeia o campo u_recommendedprogram para a coluna Programa recomendado no registro de recomendação.
    u_recommendationcategory recomendação_categoria Mapeia o campo u_recommendationcategory para a coluna Categoria de recomendação no registro de recomendação.
    u_publicexploit public_exploit Mapeia o campo u_publicexploit para a coluna Exploração pública no registro de recomendação.
    u_vendor fornecedor Mapeia o campo u_vendor para a coluna Fornecedor no registro de recomendação.
    [Script] integration_instance Nome da instância da qual a recomendação é importada.
    [Script] sys_domain Domínio no qual este registro é importado.

    Os scripts de transformação a seguir são executados durante o processo de transformação.

    Tabela 4. Script de mapa de transformação de recomendação do MS TVM
    Quando o script é executado Finalidade
    onStart (quando um conjunto de importação iniciou a transformação). Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) para o processo de integração. Este script é para uso interno e não deve ser modificado ou excluído.
    onBefore (antes de um conjunto de importação concluir a transformação). Script usado para atualizar valores nas recomendações e verificar se as recomendações existem. Este script é para uso interno e não deve ser modificado ou excluído.
    onComplete (quando um conjunto de importação concluiu a transformação). Script usado para definir os valores de itens criados, atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído.

    Importação de vulnerabilidades da máquina com MS TVM

    O mapa de transformação de vulnerabilidades de máquina do MS TVM é usado para transformar informações de vulnerabilidades abertas e fixas que são importadas do MS TVM.
    Nota:
    As mudanças neste mapa de transformação alteram como os dados da importação de vulnerabilidades da máquina MS TVM são processados.
    Para acessar os mapas de transformação de vulnerabilidades em aberto e corrigidas do MS TVM, navegue até Conjuntos de importação do sistema > Mapas de transformação e pesquise por Transformação de vulnerabilidades da máquina MS TVM.

    A tabela a seguir lista os campos do mapa de transformação por integração.

    Tabela 5. Campos do mapa de transformação de vulnerabilidades da máquina MS TVM
    Campo de origem Campo de destino Descrição
    u_id detecção_chave Mapeia o campo u_id para a coluna Chave de detecção na tabela de detecção.
    u_diskpaths prova Mapeia o campo u_diskpaths para a coluna Prova na tabela de detecção.
    u_registrypaths prova Mapeia o campo u_registrypaths para a coluna Prova na tabela de detecção.
    u_recommendedsecurityupdateid solução_preferencial Mapeia o campo u_recommendedsecurityupdateid para a coluna Solução preferencial na tabela de itens vulneráveis, se a solução existir com o mesmo ID na tabela sn_vul_solution.
    u_recommendationreference recomendação Mapeia o campo u_recommendationreference para a coluna Recomendação na tabela de itens vulneráveis.
    u_cveid vulnerabilidade Mapeia o campo u_cveid para a coluna Vulnerabilidade na tabela de itens vulneráveis.
    u_status source_status Mapeia o campo u_status para a coluna Status de origem na tabela de detecção.
    u_eventtimestamp temporal_score Mapeia o campo u_eventtimestamp para a última coluna encontrada na tabela de itens vulneráveis.
    u_lastseentimestamp last_seen Mapeia o campo u_lastseentimestamp para a coluna Visto pela última vez na tabela de itens vulneráveis.
    u_firstseentimestamp first_seen Mapeia o campo u_firstseentimestamp para a coluna Visto pela primeira vez na tabela de itens vulneráveis.
    u_recommendedsecurityupdate solution_summary Mapeia o campo u_recommendedsecurityupdate para a coluna Resumo da solução na tabela de itens vulneráveis.
    u_recommendedsecurityupdateurl solution_summary Mapeia o campo u_recommendedsecurityupdateurl para a coluna Resumo da solução na tabela de itens vulneráveis.

    Os scripts de transformação a seguir são executados durante o processo de transformação.

    Quando o script é executado Finalidade
    onStart (quando um conjunto de importação iniciou a transformação). Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) para o processo de integração. Este script é para uso interno e não deve ser modificado ou excluído.
    onBefore (antes de um conjunto de importação concluir a transformação). Script usado para verificar se a entrada de vulnerabilidade e as detecções existem. Caso contrário, esses registros serão criados em suas respectivas tabelas. Este script é para uso interno e não deve ser modificado ou excluído.
    onComplete (quando um conjunto de importação concluiu a transformação). Script usado para atualizar a contagem de IVs e detecções conforme importados do MS TVM. Este script é para uso interno e não deve ser modificado ou excluído.