Suporte para a integração Resposta a vulnerabilidades com Microsoft Defender for IoT (Azure)

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Você pode consultar esta seção para perguntas sobre mapeamento de dados e manipulação de erros.

    Mapeamento de dados

    As tabelas a seguir descrevem os campos de mapeamento de dados usados para detecção de vulnerabilidades e entradas do Banco de dados nacional de vulnerabilidades (NVD) na aplicação Microsoft Defender para IoT (Azure) e se há uma entrada equivalente usada depois que os dados são importados para o ServiceNow CMDB.
    Tabela 1. Detecção de vulnerabilidade
    Campo do Microsoft Defender para IoT (Azure) Campo ServiceNow
    N/D Fonte
    Nota:
    Sempre defina este campo como Microsoft Azure Defender para IoT.
    nome detecção_chave
    N/D status
    Nota:
    Este campo é definido como 0, ou seja, aberto, por padrão.
    Tabela 2. Entradas do NVD
    Campo do Microsoft Defender para IoT (Azure) Campo ServiceNow
    propriedades/vulnerabilityid id
    Fonte
    Nota:
    Este campo é definido como NVD por padrão.
    propriedades/descrição resumo
    propriedades/pontuação pontuação
    propriedades/exploittype Explorar itens existentes

    Se os dados da API indicarem que existe uma exploração, a integração definirá este campo como Sim.
    propriedades/exploittype exploração_publica

    Se os dados da API indicarem que existe uma exploração, a integração definirá este campo como Sim.
    Pesquisa de item de configuração (IC)
    A Pesquisa de IC é realizada usando o deviceid de Microsoft Defender for IoT (Azure). A tabela sys_object_source, preenchida pelo Conector do Service Graph, pesquisa o deviceid correspondente. Se uma correspondência for encontrada, a detecção e o item vulnerável serão vinculados a esse IC.
    Nota:
    Por padrão, uma correspondência de IC é necessária para inserir detecções de vulnerabilidade. Isso ajuda a minimizar ICs de hardware não classificados em seu CMDB. Para mudar esse comportamento, você pode definir a propriedade sn_msftd4iotazvr.require_ci_matchsystem como falsa. Definir a propriedade como falsa permite a criação de ICs de hardware sem classe se uma correspondência de IC não for encontrada.

    Tratamento de erros

    A integração foi projetada para ser pré-configurada, portanto, você só precisa inserir sua ID de locatário do Azure, ID de cliente e segredo do cliente. As mensagens de log da aplicação podem ser visualizadas nos Logs do sistema da origem sn_msftd4iotazvr. Mensagem de log relevante adicional também pode aparecer da origem sn_vul.

    Se a execução da integração falhar, o erro será mostrado no campo Anotações na execução da integração. O estado é definido como Concluído com um subestado de Falha.

    A tabela Fila de importação (sn_vul_ds_import_q_entry) contém todas as solicitações de transformação pendentes. Você pode filtrar esta tabela para mostrar somente os itens que têm um status de Processamento para exibir o que está em transformação.

    As tabelas a seguir descrevem as mensagens de erro e as possíveis causas durante a recuperação e o processamento de dados.

    Tabela 3. Integração de detecção de vulnerabilidade (recuperação de dados)
    Mensagem de erro Possível causa

    Não é possível executar a integração sem uma mensagem REST e um método REST especificados

    		 No registro do trabalho de integração de detecção, os campos de mensagem REST ou método REST não são preenchidos.

    Não é possível executar a integração sem o oauth_client_id do Microsoft Defender for IoT (Azure) especificado

    		 Na instância de integração, o ID do cliente OAuth não é preenchido.

    Não é possível executar a integração sem o oauth_client_secret do Microsoft Defender for IoT (Azure) especificado

    		 Na instância de integração, o segredo do cliente OAuth não é preenchido.

    Não é possível executar a integração sem o caminho do recurso da API de detecção especificado

    Na Instância de integração, o caminho do recurso da API de detecção não é preenchido.

    O padrão é https://management.azure.com/providers/Microsoft.ResourceGraph/resources

    Não é possível executar a integração com a versão da API especificada

    Na Instância de integração, a versão da API não é preenchida.

    O padrão é 2021-03-01.

    Código de resposta inválido {response code} recebido do Microsoft Defender para IoT (Azure)

    A resposta da API da Microsoft é inválida.

    Por exemplo, o código de resposta inválido 401 recebido do Microsoft Defender para IoT (Azure) significa Não autorizado. As credenciais ou o token OAuth provavelmente são inválidos.
    Falha ao analisar o corpo da resposta JSON A resposta JSON recebida será inválida se não puder ser analisada. Isso significa que nenhum dado foi recebido. Certifique-se de que as credenciais estejam corretas e que não ocorram outros erros.

    Erro ao gravar anexo

    		 O sistema não pôde anexar os dados de resposta à fonte de dados. Você provavelmente precisará entrar em contato com o administrador do sistema para obter mais soluções de problemas. Uma causa comum para esse erro é que o MID Server ou Executar como usuário não tem a função sn_vul.vr_import_admin.

    O conteúdo do anexo é nulo: sys_id do anexo = {sys_id}

    		 O conteúdo do anexo da fonte de dados é nulo. Isso pode indicar um problema com a própria API da Microsoft ou um problema em ServiceNow. Entre em contato com o administrador do sistema para obter mais soluções de problemas.

    Não foi possível encontrar o anexo com o sys_id {sys_id}

    		 O anexo da fonte de dados não foi encontrado. Isso pode indicar um problema com a própria API da Microsoft ou um problema em ServiceNow. Entre em contato com o administrador do sistema para obter mais soluções de problemas.
    Tabela 4. Integração de detecção de vulnerabilidade (processamento de dados)
    Mensagem de erro Possível causa

    Não é possível criar uma detecção sem um ID de vulnerabilidade

    		 Um ID de vulnerabilidade não estava presente para o registro. Isso provavelmente é causado por um problema com a API da Microsoft.