Transformação de dados para o Microsoft Threat and Vulnerability Management Vulnerability Integration

  • Versão de lançamento: Zurich
  • Atualizado 5 de set. de 2025
  • 9 min. de leitura

    • Depois de identificar os dados que você deseja importar, os dados serão recuperados do ServiceNow® Aplicação Microsoft Threat and Vulnerability Management (MS TVM), processada por meio de um conjunto de fontes de dados e transformada em sua instância.

    Durante a instalação, os mapas de gravidade normalizados são instalados no módulo Mapeamento de gravidade normalizado. Esses mapas são transformados importados Microsoft níveis de gravidade de vulnerabilidade de terceiros para níveis de severidade padrão para processamento em sua instância. Para obter informações sobre como criar mapas de gravidade, consulte Crie um Resposta a vulnerabilidades mapa de severidade.

    Importação de máquinas MS TVM

    Os dados das máquinas importadas são carregados primeiro na tabela Importação de máquinas MS TVM [sn_vul_msft_tvm_machines_import].

    A transformação de máquinas MS TVM é usada para transformar as informações das máquinas importadas.
    Nota:
    As mudanças neste mapa de transformação alteram como os dados da importação de máquinas MS TVM são processados.
    Para acessar este mapa de transformação, navegue até Conjuntos para importação do sistema > Mapas de transformação e pesquise Transformação de máquinas do Microsoft TVM .

    A tabela a seguir lista os campos do mapa de transformação por integração.

    Tabela 1. Campos do mapa de transformação de máquinas MS TVM
    Campo de origem Campo de destino Descrição
    u_id source_id ID exclusivo dos ativos. Este ID é mapeado para o source_id do registro do item descoberto.
    u_ipaddresses.macAddress mac_address Endereço MAC mapeado da API para o campo de endereço mac do host do registro cmdb_ci.
    u_ipaddresses.ipaddress ip_address Campo Endereço IP mapeado para o campo Endereço IP do registro cmdb_ci.
    u_lastseen last_scan_date Campo mapeado para o campo last_scan_date no registro do item descoberto.
    u_machinetags Marcadores salvos em sn_sec_cmn_host_tag. O mapeamento de marcadores para ativos é salvo em sn_sec_cmn_m2m_src_ci_tag.
    u_osplatform os Campo que mapeia para o campo SO no registro cmdb_ci.
    u_computerdnsname fqdn Campo que mapeia o campo dnsname da API para o campo fqdn no registro cmdb_ci.

    Os scripts de transformação a seguir são executados durante o processo de transformação.

    Tempo e finalidade do script de mapa de transformação das máquinas MS TVM

    Quando o script é executado Finalidade
    OnStart (quando um conjunto de importação inicia a transformação). Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) do processo de integração. Este script é para uso interno e não deve ser modificado ou excluído.
    Antes de um conjunto de importação concluir a transformação. Script usado para atualizar valores no host e verificar se o host existe. Com base nos resultados, este script modifica os valores na variável de escopo (sn_vul_msft_tvm). Este script é para uso interno e não deve ser modificado ou excluído.
    OnComplete (quando um conjunto de importação conclui a transformação). Script usado para definir o número de ICs criados, atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído.

    A inclusão de script MicrosoftTVMMachinesProcessor é chamada a partir do script de transformação onBefore. Ele pega a saída da integração das máquinas Microsoft TVM e a transforma em um IC. Qualquer mudança nesta inclusão de script pode alterar a transformação dos dados das máquinas Microsoft TVM na tabela de IC e itens descobertos.

    Integração de vulnerabilidades do MS TVM

    Os dados de vulnerabilidades importados são carregados primeiro na tabela Microsoft TVM CVE (Vulnerabilidades) Import [sn_vul_msft_tvm_vulnerability_import].
    Nota:
    As mudanças neste mapa de transformação alteram como os dados da importação de vulnerabilidades do MS TVM são processados.
    Para acessar este mapa de transformação, navegue até Conjuntos para importação do sistema > Mapas de transformação e pesquise Transformação de vulnerabilidades do Microsoft TVM .

    A tabela a seguir lista os campos do mapa de transformação por integração.

    Tabela 2. Campos do mapa de transformação de vulnerabilidades do Microsoft TVM
    Campo de origem Campo de destino Descrição
    u_id id Mapeia para a coluna ID do registro sn_vul_entry.
    u_severity source_severity Mapeia o campo Severidade para a Severidade. O valor padrão é 5.
    u_publishedon date_published Mapeia o campo u_publishedon para a data de publicação.
    u_publicexploit public_exploit Mapeia o u_publicexploit fornecido pelo verificador para a coluna exploit público na tabela de entrada de vulnerabilidade.
    u_cvssv3 v3_base_score Mapeia a pontuação cvssv3 para a pontuação de base v3 no registro de entrada de vulnerabilidade.
    u_description resumo Mapeia a descrição para o campo de resumo no registro de entrada de vulnerabilidade.
    u_exploitinkit malware_kit Mapeia o campo u_exploitinkit para o kit de malware na tabela de exploração.
    u_exploittypes tipo Mapeia o tipo de exploração para o tipo na tabela de exploração.
    u_exploitverificado _exploit_verified Mapeia o campo u_exploitverified para o exploit verificado na tabela de exploração.
    u_exploituris exploit_links Mapeia o campo u_exploituris para os links de exploração na tabela de exploração.

    Os scripts de transformação a seguir são executados durante o processo de transformação.

    Quando o script é executado Finalidade
    OnStart (quando um conjunto de importação inicia a transformação). Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) do processo de integração. Este script é para uso interno e não deve ser modificado ou excluído.
    Antes de um conjunto de importação concluir a transformação. Script usado para criar ou atualizar os valores na tabela de entrada de terceiros ou NVD. Este script é para uso interno e não deve ser modificado ou excluído.
    OnComplete (quando um conjunto de importação conclui a transformação). Script usado para definir os valores dos novos itens que foram criados e os itens que foram atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído.

    Importação de recomendações do MS TVM

    Os dados de recomendação importados são carregados primeiro na tabela Importação de recomendações do MS TVM [sn_vul_msft_tvm_recom_import].
    Nota:
    As mudanças neste mapa de transformação alteram como os dados da importação de recomendações do MS TVM são processados.
    Para acessar este mapa de transformação, navegue até Conjuntos para importação do sistema > Mapas de transformação e pesquise Transformação de recomendação do MS TVM .

    A tabela a seguir lista os campos do mapa de transformação por integração.

    Tabela 3. Campos do mapa de transformação de recomendação do MS TVM
    Campo de origem Campo de destino Descrição
    u_recommendedvendor recommended_vendor Mapeia o campo u_recommendedvendor para a coluna Fornecedor.
    u_weaknesses pontos fracos Mapeia o campo u_weakks para a coluna Weakks.
    u_exposedmachinescount src_exposed_machines_cnt Mapeia o campo u_exposedmachinescount para a coluna Contagem de máquinas expostas.
    u_status status Mapeia o status para o campo Status no registro de recomendação.
    u_productname product_name Mapeia o campo u_productname para o Nome do produto no registro de recomendação.
    u_nonprodutiv_impactessets non_prod_impacted_assets Mapeia o campo u_nonproducti_impactedassets para a coluna Ativos afetados no registro de recomendação.
    u_activealert active_alert Mapeia o campo u_activealert para a coluna Alerta ativo no registro de recomendação.
    u_recommendedversion recommended_version Mapeia o campo u_recommendedversion para a coluna Versão recomendada no registro de recomendação.
    u_totalmachinecount total_machine_count Mapeia o campo u_totalmachinecount para a coluna Contagem total de máquinas no registro de recomendação.
    u_exposureimpacto exposure_impact Mapeia o campo u_exposureimpact para a coluna Impacto da exposição no registro de recomendação.
    u_recommendationname recommendation_name Mapeia o campo u_recommendationname para a coluna Nome da recomendação no registro de recomendação.
    subcategory subcategoria Mapeia o campo u_subcategoria para a coluna Subcategoria no registro de recomendação.
    u_id source_id Mapeia o ID de recomendação do MS TVM para a coluna ID de origem.
    u_remediationtype remediation_type Mapeia o campo u_remediationtype para a coluna Tipo de correção no registro de recomendação.
    componente u_related related_component Mapeia o campo u_relatedcomponent para a coluna Componente relacionado no registro de recomendação.
    u_recommendedprogram recommended_program Mapeia o campo u_recommendedprogram para a coluna Programa recomendado no registro de recomendação.
    u_recommendationcategory recommendation_category Mapeia o campo u_recommendationcategory para a coluna Categoria de recomendação no registro de recomendação.
    u_publicexploit public_exploit Mapeia o campo u_publicexploit para a coluna Exploração pública no registro de recomendação.
    u_vendor fornecedor Mapeia o campo u_vendor para a coluna Fornecedor no registro de recomendação.
    [Script] integration_instance Nome da instância da qual a recomendação é importada.
    [Script] sys_domain Domínio no qual este registro é importado.

    Os scripts de transformação a seguir são executados durante o processo de transformação.

    Tabela 4. Script do mapa de transformação de recomendação do MS TVM
    Quando o script é executado Finalidade
    OnStart (quando um conjunto de importação inicia a transformação). Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) do processo de integração. Este script é para uso interno e não deve ser modificado ou excluído.
    Antes de um conjunto de importação concluir a transformação. Script usado para atualizar valores nas recomendações e verificar se as recomendações existem. Este script é para uso interno e não deve ser modificado ou excluído.
    OnComplete (quando um conjunto de importação conclui a transformação). Script usado para definir os valores de itens criados, atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído.

    Importação de vulnerabilidades de máquina MS TVM

    O mapa de transformação de vulnerabilidades da máquina MS TVM é usado para transformar informações de vulnerabilidades abertas e corrigidas importadas do MS TVM.
    Nota:
    As mudanças neste mapa de transformação alteram como os dados da importação de vulnerabilidades de máquina MS TVM são processados.
    Para acessar os mapas de transformação de vulnerabilidades abertas e corrigidas do MS TVM, navegue até Conjuntos para importação do sistema > Mapas de transformação e pesquise Transformação de vulnerabilidades da máquina MS TVM .

    A tabela a seguir lista os campos do mapa de transformação por integração.

    Tabela 5. Campos do mapa de transformação de vulnerabilidades da máquina MS TVM
    Campo de origem Campo de destino Descrição
    u_id detection_key Mapeia o campo u_id para a coluna Chave de detecção na tabela de detecção.
    u_diskpaths prova Mapeia o campo u_diskpaths para a coluna de prova na tabela de detecção.
    u_registrycaminhos prova Mapeia o campo u_registrypaths para a coluna de prova na tabela de detecção.
    u_recommendedsecurityupdateid preferred_solution Mapeia o campo u_recommendedsecurityupdateid para a coluna de solução preferencial na tabela de item vulnerável, se a solução existir com o mesmo ID na tabela sn_vul_solution.
    referência u_recommendation recomendação Mapeia o campo u_recommendationreference para a coluna Recomendação na tabela de item vulnerável.
    u_cveid vulnerabilidade Mapeia o campo u_cveid para a coluna Vulnerabilidade na tabela de itens vulneráveis.
    u_status source_status Mapeia o campo u_status para a coluna Status de origem na tabela de detecção.
    u_eventtimestamp temporal_score Mapeia o campo u_eventtimestamp para a coluna Mais recente encontrado na tabela de item vulnerável.
    u_lastseentimemcarimbo last_seen Mapeia o campo u_lastseentimestamp para a coluna Visto pela última vez na tabela de item vulnerável.
    u_firstseentimentimcarimbo first_seen Mapeia o campo u_firstseentimestamp para a coluna Visto pela primeira vez na tabela de itens vulneráveis.
    u_recommendedseguridadualização solution_summary Mapeia o campo u_recommendedsecurityupdate para a coluna Resumo da solução na tabela de itens vulneráveis.
    u_recommendedsecurityupdateurl solution_summary Mapeia o campo u_recommendedsecurityupdateurl para a coluna Resumo da solução na tabela de itens vulneráveis.

    Os scripts de transformação a seguir são executados durante o processo de transformação.

    Quando o script é executado Finalidade
    OnStart (quando um conjunto de importação inicia a transformação). Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) do processo de integração. Este script é para uso interno e não deve ser modificado ou excluído.
    Antes de um conjunto de importação concluir a transformação. Script usado para verificar se a entrada de vulnerabilidade e as detecções existem. Caso contrário, esses registros serão criados em suas respectivas tabelas. Este script é para uso interno e não deve ser modificado ou excluído.
    OnComplete (quando um conjunto de importação conclui a transformação). Script usado para atualizar a contagem de VIS e detecções conforme importado do MS TVM. Este script é para uso interno e não deve ser modificado ou excluído.