Tenable 脆弱性統合のデータ変換
インポートするデータを特定すると、Tenable 製品からデータが取得され、インスタンス内の一連のデータソースと変換によって処理されます。
インストール時に、正規化された重大度マップが [正規化された重大度マッピング (Normalized Severity Mapping)] モジュールにインストールされます。これらのマップ変換では、Tenable 重大度レベルを標準の重大度レベルにインポートし、インスタンス処理します。重大度マップの作成については、脆弱性対応 ドキュメントの Vulnerability Response 重大度マップの作成についてを参照してください。
Tenable.io 資産インポート
インポートされた資産データは、最初に Tenable.io 資産インポート [sn_vul_tenable_io_asset_import] テーブルにロードされます。
Tenable.io 資産統合変換マップは、インポートされた資産情報の変換に使用されます。この変換を変更すると、Tenable 資産インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します . 「Tenable.io Asset Transform」を検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | source_id | Tenable は資産の一意の ID を提供して、検出されたアイテムレコードにマッピングし、CI ルックアップに使用されます。 |
| u_ipv4s | ip_address | 最初の ip 値を検出されたアイテムレコードの ip_address フィールドにマッピングします。 |
| u_mac_addresses | mac_address | 最初の mac_address 値を検出されたアイテムレコードの mac_address フィールドにマッピングします。 |
| u_fqdns | fqdn | 最初の fqdn 値を検出されたアイテムレコードの fqdn フィールドにマッピングします。 |
| u_netbios_names | netbios | 最初の netbios 値を検出されたアイテムレコードの netbios フィールドにマッピングします。 |
| u_plugin.cvss4_base_score | v4_base_score | CVSS v4 ベーススコアは、サードパーティのエントリーレコードの v4 ベーススコアにマッピングされます。 |
|
u_plugin.cvss4_threat_score |
v4_threat_score | CVSS v4 脅威スコアは、サードパーティエントリーレコードの v4 脅威スコアにマッピングされます。 |
| u_operating_systems | os | 最初の OS 値を検出されたアイテムレコードの os フィールドにマッピングします。 |
| (v14.0 脆弱性対応 および v2.2 より前の Tenable 脆弱性統合)u_last_scan_time | last_scan_date | 検出されたアイテムレコードの last_scan_date フィールドにマッピングします。 |
| u_last_authenticated_scan_date | last_auth_scan_date | 検出されたアイテムレコードの last_auth_scan_date フィールドにマッピングします。 |
| [script] | name | スクリプトのロジックを使用してホスト名をマッピングします。 |
| u_tags | タグは sn_sec_cmn_host_tag に保存されます。タグから資産へのマッピングは sn_sec_cmn_m2m_src_ci_tag に保存されます。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
Tenable.io 資産変換マップスクリプトのタイミングと目的
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのimport_setの値を初期化します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | ホストの値を更新し、ホストが存在するかどうかを確認します。結果に基づいて、import_set の値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | 作成された新しい CI と、更新されて無視された CI の値を設定します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.io プラグイン統合
Tenable.io プラグイン変換マップは、Tenable.io からインポートされたプラグインを変換するために使用されます。
注:
この変換マップを変更すると、Tenable プラグインから取得するデータの処理方法が変更されます。
この変換マップにアクセスするには、次に移動します . Tenable.io プラグイン変換を検索します。
Tenable.io プラグインのペイロードには、sn_vul_tenable_io_plugin_import テーブルの u_attributes 列のすべてのフィールドが含まれます。次の表に示すように、属性フィールドが解析され、サードパーティのエントリーテーブルレコードにマッピングされます。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| id | ID | ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、ターゲットテーブルの ID は TEN-12345 です。 |
| 説明 | summary | プラグインの説明を summary 列にマッピングします。 |
| [script] | ソース | インポートされたサードパーティエントリー (TPE) のソースは Tenable.io です。 |
| [script] | source_instance | このレコードをインポートする Tenable 展開への参照 |
| family | category | プラグインのファミリを category 列にマッピングします。 |
| plugin_modification_date | last_modified | plugin_modification_date を最後に変更されたフィールドにマッピングします。 |
| plugin_publication_date | date_published | plugin_publication_date を公開日にマッピングします。 |
| has_patch | remediation_type | has_patch 値から修復タイプをマッピングします。 |
| synopsis | threat | この脆弱性に関する脅威情報をマッピングします。 |
| cvss_base__score | score | Common Vulnerability Scoring System (CVSS) ベーススコアをサードパーティのエントリーテーブルのスコア列にマッピングします。 |
| solution | solution | スキャナーによって提供されたソリューションをサードパーティのエントリーテーブルの solution 列にマッピングします。 |
| exploit_available | exploit | スキャナーによって提供されたexploit_availableをサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| vpr.score | source_risk_score | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| vpr.drivers.age_of_vuln | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln 列にマッピングします。 |
| vpr.drivers.exploit_code_maturity | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| vpr.drivers.product_coverage | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| vpr.drivers.threat_sources_last28 | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| vpr.drivers.threat_intensity_last28 | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| vpr.drivers.threat_recency | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| vpr.drivers.cvss3_impact_score | v3_impact_subscore | cvss3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore 列にマッピングします。 |
| cvss_temporal_score | cvss_temporal_score | CVSS v2 の一時スコアをマッピングします。 |
| cvss_v3_temporal_score | v3_temporal_score | CVSS v3 の一時スコアをマッピングします。 |
| risk_factor | source_severity | サードパーティのエントリーテーブルのソース重大度にマッピングします。 |
| name | name | プラグインの名前をサードパーティのエントリーテーブルの名前にマッピングします。 |
| stig_severity | stig_severity | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| plugin_type | check_type | プラグインタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| unsupported_by_vendor | unsupported_by_vendor | unsupported_by_vendor フィールドを unsupported_by_vendor 列にマッピングします。 |
| [script] | exploit_attack_vector | サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ共通脆弱性識別子 (CVE) が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| bid | バグトラックのリストが参照として追加されます。 |
| see_also | URL のリストが参照として追加されます。 |
| xref | X-REF のリストが参照として追加されます。 |
| [script] | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのimport_setの値を初期化します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティエントリーの値を更新し、サードパーティエントリーが存在するかどうかを確認します。結果に基づいて、サードパーティエントリーの値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | 作成された新しい CI と、更新されて無視された CI の値を設定します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
TenableIOPluginsImportProcessor スクリプトインクルードは onBefore 変換スクリプトから呼び出されます。Tenable.io プラグイン統合からの出力を取得し、ServiceNow AI Platform サードパーティの脆弱性エントリーに変換します。このスクリプトインクルードを変更すると、サードパーティのエントリーテーブルの Tenable.io プラグインデータの変換が変更される可能性があります。
Tenable.io 脆弱性インポート
Tenable.io 脆弱性一致アイテム変換マップは、Tenable.io からインポートされたオープンおよび修正された脆弱性情報を変換するために使用されます。
注:
この変換マップを変更すると、Tenable 脆弱性インポートからのデータの処理方法が変更されます。
Tenable.io の修正された脆弱性統合と Tenable.io のオープンな脆弱性統合の両方に同じ変換マップが使用されます。この変換マップにアクセスするには、次に移動します . 「Tenable.io Vulnerable Item transform map」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_asset.uuid | id | uuid は cmdb_ci レコードの id フィールドにマッピングされます。 |
| u_asset.ipv4 | ip_address | ipv4 フィールドは cmdb_ci レコードの ip_address フィールドにマッピングされます。 |
| u_asset.last_authenticated_results | last_auth_scan_date | 前回の認証済みスキャン日は、cmdb_ci レコードの前回の認証済みスキャン日にマッピングされます。 |
| u_asset.mac_addess | mac_address | MAC アドレスは cmdb_ci レコードの host mac address フィールドにマッピングされます。 |
| u_asset.netbios_name | netbios | netbios は、cmdb_ci レコードの netbios フィールドにマッピングされます。 |
| u._plugin.cvss3_base_score | v3_base_score | CVSS v3 ベーススコアは、サードパーティのエントリーレコードの v3 ベーススコアにマッピングされます。これらの変更は、Tenable 5.2.1 バージョンの一部として実装されます。 |
| u._plugin.cvss3_temporal_score | v3_temporal_score | CVSS v3 一時スコアは、サードパーティのエントリーレコードの v3 一時スコアにマッピングされます。これらの変更は、Tenable 5.2.1 バージョンの一部として実装されます。 |
| u._plugin.cvss_base_score | score | CVSS ベーススコアは、サードパーティのエントリーレコードの score フィールドにマッピングされます。 |
| u._plugin.cvss_temporal_score | temporal_score |
一時スコアは、サードパーティのエントリーレコードの一時スコアにマッピングされます。 |
| u_plugin.description | summary | 説明は、サードパーティのエントリーレコードの summary フィールドにマッピングされます。 |
| u_plugin.family | category | プラグインのファミリをサードパーティのエントリーレコードの category 列にマッピングします。 |
| u_plugin.modification_date | last_modified | 最終変更日は、サードパーティのエントリーレコードのプラグインの最終変更日にマッピングされます。 |
| u_plugin.publication_date | date_published | 公開日は、サードパーティのエントリーレコードの date_published フィールドにマッピングされます。 |
| u_plugin.risk_factor | source_severity | リスク要因は、サードパーティのエントリーレコードの source_severity フィールドにマッピングされます。 |
| u_plugin.solution | solution | ソリューションは、サードパーティのエントリーレコードの solution フィールドにマッピングされます。 |
| u_plugin.synopsis | threat | 概要は、サードパーティのエントリーレコードの threat フィールドにマッピングされます。 |
| u_severity_id | priority | 優先度は、ペイロードの重大度 ID にマッピングされます。デフォルト値は 5 です。 |
| u_plugin.exploit_available | exploit | スキャナーによって提供された exploit_available をサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| vpr.score | source_risk_score | スキャナーによって提供された vpr スコアをサードパーティのエントリーテーブルの source_risk_score にマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_plugin.vpr.drivers.age_of_vuln | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_plugin.vpr.drivers.exploit_code_maturity | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_plugin.vpr.drivers.product_coverage | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_plugin.vpr.drivers.threat_sources_last28 | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティのエントリーテーブルの threat_sources にマッピングします。 |
| u_plugin.vpr.drivers.threat_intensity_last28 | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_plugin.vpr.drivers.threat_recency | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_plugin.vpr.drivers.cvss3_impact_score | v3_impact_subscore | CVSS3 v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore 列にマッピングします。 |
| u_plugin.type | check_type | プラグインタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_plugin.unsupported_by_vendor | unsupported_by_vendor | プラグインの unsupported_by_vendor フィールドを unsupported_by_vendor 列にマッピングします。 |
| [script] | exploit_attack_vector | サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
| U_plugin.on_cisa_kev | cisa_exists | on_cisa_kevフィールドをサードパーティのエントリーテーブルのcisa_existsとマッピングします。 |
| u_plugin.family_id | family_id | プラグインのファミリ ID をサードパーティのエントリーテーブルの family_id 列にマッピングします。 |
| port | port | ポートは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| protocol | protocol | プロトコルは、脆弱性一致アイテムレコードの protocol フィールドにマッピングされます。 |
| u_first_found | first_found | 初回検出は、脆弱性一致アイテムレコードの first_found フィールドにマッピングされます。 |
| u_last_found | last_found | 前回検出は、脆弱性一致アイテムレコードの last_found フィールドにマッピングされます。 |
| u_state | state | ステータスは、脆弱性一致アイテムレコードの [ステータス (State)] フィールドにマッピングされます。 |
| [script] | source | 統合のソースが入力されます。この統合から作成された脆弱性一致アイテムには、Tenable.io がソースとして含まれています。 |
| [script] | integration_instance | integration_instance は、脆弱性一致アイテムのインポート元のインスタンスの名前です。 |
| u_plugin.name | name | プラグインの名前をサードパーティのエントリーテーブルの名前にマッピングします。 |
| u_plugin.stig_severity | stig_severity | プラグインの stig 重大度をサードパーティのエントリーテーブルの stig severity 列にマッピングします |
| u_plugin.vpr_v2.malware_observations_intensity_last30 | vprv2_malware_observations_intensity | VPRv2 malware_observations_intensity_last30値を Tenable TPE 追加属性テーブルの vprv2_malware_observations_intensity フィールドにマッピングします。 |
| u_plugin.vpr_v2.targeted_industries | vprv2_targeted_industries |
VPRv2 targeted_industries値を Tenable TPE 追加属性テーブルの vprv2_targeted_industries フィールドにマッピングします。 |
| u_plugin.vpr_v2.targeted_regions | vprv2_targeted_regions | VPRv2 targeted_regions値を Tenable TPE 追加属性テーブルの vprv2_targeted_regions フィールドにマッピングします。 |
| u_plugin.vpr_v2.threat_summary | vprv2_threat_summary | VPRv2 threat_summary値を Tenable TPE 追加属性テーブルの vprv2_threat_summary フィールドにマッピングします。 |
| u_plugin.vpr_v2.remediation | vprv2_remediation | VPRv2 修復値を Tenable TPE 追加属性テーブルの vprv2_remediation フィールドにマッピングします。 |
| u_plugin.d2_elliot_name | d2_elliot_name | d2_elliot_name値を Tenable TPE 追加属性テーブルの d2_elliot_name フィールドにマッピングします。 |
| u_plugin.canvas_package | canvas_package | canvas_package値を Tenable TPE 追加属性テーブルの canvas_package フィールドにマッピングします。 |
| u_plugin。checks_for_default_account | checks_for_default_account | checks_for_default_account値を Tenable TPE 追加属性テーブルの checks_for_default_account フィールドにマッピングします。 |
| u_plugin.checks_for_malware | checks_for_malware | checks_for_malware値を Tenable TPE 追加属性テーブルの checks_for_malware フィールドにマッピングします。 |
| u_plugin.exploitability_ease | exploitability_ease | exploitability_ease値を Tenable TPE 追加属性テーブルの exploitability_ease フィールドにマッピングします。 |
| u_plugin.exploithub_sku | exploithub_sku | exploithub_sku値を Tenable TPE 追加属性テーブルの exploithub_sku フィールドにマッピングします。 |
| u_plugin.in_the_news | in_the_news | in_the_news値を Tenable TPE 追加属性テーブルの in_the_news フィールドにマッピングします。 |
| u_plugin.metasploit_name | metasploit_name | metasploit_name値を Tenable TPE 追加属性テーブルの metasploit_name フィールドにマッピングします。 |
| u_plugin.ms_bulletin | ms_bulletin | ms_bulletin値を Tenable TPE 追加属性テーブルの ms_bulletin フィールドにマッピングします。 |
| u_plugin.usn | 米国海軍 | usn 値を Tenable TPE 追加属性テーブルの usn フィールドにマッピングします。 |
| u_plugin.version | version | バージョン値を Tenable TPE 追加属性テーブルの version フィールドにマッピングします。 |
| u_plugin.vuln_publication_date | vuln_publication_date | vuln_publication_date値を Tenable TPE 追加属性テーブルの vuln_publication_date フィールドにマッピングします。 |
| u_plugin.workaround | ワークアラウンド | ワークアラウンド値を Tenable TPE 追加属性テーブルのワークアラウンドフィールドにマッピングします。 |
| u_plugin.workaround_type | workaround_type | workaround_type値を Tenable TPE 追加属性テーブルの workaround_type フィールドにマッピングします。 |
| u_plugin.workaround_published | workaround_published | workaround_published値を Tenable TPE 追加属性テーブルの workaround_published フィールドにマッピングします。 |
| u_plugin.vendor_unpatched | vendor_unpatched | vendor_unpatched値を Tenable TPE 追加属性テーブルの vendor_unpatched フィールドにマッピングします。 |
| u_plugin.has_workaround | has_workaround | has_workaround値を Tenable TPE 追加属性テーブルの has_workaround フィールドにマッピングします。 |
| u_plugin.vendor_severity | vendor_severity | vendor_severity値を Tenable TPE 追加属性テーブルの vendor_severity フィールドにマッピングします。 |
| u_plugin.vpr_v2.cve_id | vprv2_cve_id | VPRv2 cve_id値を Tenable TPE 追加属性テーブルの vprv2_cve_id フィールドにマッピングします。 |
| u_plugin.epss_score | epss_score | epss_score値を Tenable TPE 追加属性テーブルの epss_score フィールドにマッピングします。 |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ CVE が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| bid | バグトラックのリストが参照として追加されます。 |
| see_also | URL のリストが参照として追加されます。 |
| xref | X-REF のリストが参照として追加されます。 |
| [script] | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | Triggers Tenable IO 脆弱性プロセッサは、インポートセットを使用して Tenable.io からデータをインポートし、各レコードを CMDB CI テーブル、脆弱性一致アイテムテーブル、およびサードパーティ脆弱性テーブルにロードします。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティのエントリーと検出が存在するかどうかを確認します。存在しない場合、これらのレコードはそれぞれのテーブルに作成されます。ではないこのスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | Tenable.io からインポートされた CI、VIT および検出の数を更新します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.io コンプライアンス結果統合
Tenable.io コンプライアンス結果変換マップを使用すると、安全な構成アセスメントの結果を Tenable.io から ServiceNow にインポートできます。この統合では、Tenable のコンプライアンスエクスポート API を活用して資産のテスト結果を取得し、データを最新の状態に保つための定期的な差分インポートをサポートします。
インポートされたデータは、最初に Tenable.io テスト結果インポート [sn_vul_tenable_io_tr_import] テーブルにロードされます。
変換マップにアクセスするには、 .コンプライアンス結果変換 Tenable.io 検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | テーブル | ターゲットフィールド | 説明 |
|---|---|---|---|
| asset_uuid | sn_vulc_result | sn_sec_cmn_src_ci -> source_id | Tenable.io 内の資産の一意の識別子。変換後に ServiceNow の対応する CMDB CI にマッピングされます。 |
| first_seen | sn_vulc_result | first_seen | 資産でコンプライアンスチェックが最初に観察された日時。 |
| last_seen | sn_vulc_result | last_seen | 資産でコンプライアンスチェックが最後に観察された日時。 |
| audit_file | sn_vulc_policy | short_description | コンプライアンスチェックに使用される監査ファイルの名前または識別子。 |
| check_id | sn_vulc_test | source_id | Tenable.io内のコンプライアンスチェックの一意の識別子。 |
| check_name | sn_vulc_test | short_description | コンプライアンスチェックの分かりやすい名前。 |
| check_info | sn_vulc_test | 説明 | 目的やコンテキストなど、コンプライアンスチェックに関する詳細情報。 |
| expected_value | sn_vulc_result | expected_values | コンプライアンスポリシーに従った構成設定に必要な値。 |
| actual_value | sn_vulc_result | actual_values | コンプライアンスチェック中に資産で見つかった実際の値。 |
| status | sn_vulc_result | result | コンプライアンス評価の結果。可能な値 (Tenable から):合格、失敗。 |
| see_also | sn_vulc_result | 是正処置 | 修正ガイダンスの追加の参照またはリンク。 |
| reference.framework | sn_vulc_auth_src | short_description | チェックに関連付けられたコンプライアンスフレームワーク (CIS、NIST など)。 |
| reference.control | sn_vulc_citation | section | コンプライアンスフレームワーク内の特定のコントロールまたはセクション。 |
| solution | sn_vulc_test | 是正処置 | コンプライアンス違反を修復するための推奨手順。 |
| profile_name | sn_vulc_citation | section_name | 適用されたコンプライアンスプロファイルまたはベンチマークの名前。 |
| db_type | sn_vulc_technology | name | コンプライアンスチェックに関連付けられたデータベースタイプまたはテクノロジー。 |
注:
Tenable はコンプライアンステスト結果のリスクスコアを提供しません。 ServiceNow は、コンフィグレーションコンプライアンス算出を使用してリスクスコアを計算し、リスクスコアがない場合はデフォルトの中リスク値の 20 を適用します。正確な優先順位付けを行うには、リスク算出ルールを確認してカスタマイズし、組織の優先順位を反映させます。
詳細については、「コンフィグレーションコンプライアンス の算出と算出ルール」を参照してください。
Tenable.sc 資産インポート
Tenable.sc からインポートされた資産データは、最初に Tenable.sc 資産インポートテーブル (sn_vul_tenable_sc_asset_import) にロードされます。Tenable.sc 資産統合変換マップは、インポートされた資産情報の変換に使用されます。この変換を変更すると、Tenable 資産インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します . 「Tenable.sc Asset Transform」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_uuid | ID | uuid は Tenable API から入力されないため、「u_uniqueness」属性を使用して資産の一意の uuid フィールドを作成し、それを cmdb_ci レコードにマッピングします。 |
| u_ip | ip_address | API からの ip フィールドを cmdb_ci レコードの ip_address フィールドにマッピングします。 |
| u_macaddress | mac_address | API からの mac アドレスフィールドを cmdb_ci レコードのアドレスフィールドにマッピングします。 |
| u_dnsname | fqdn | API からの dnsname フィールドを cmdb_ci レコードの fqdn フィールドにマッピングします。 |
| u_netbiosname | netbios | API からの netbios フィールドを cmdb_ci レコードの netbios フィールドにマッピングします。 |
| u_oscpe | os | OS 情報はペイロードの oscpe 属性から抽出され、cmdb_ci レコードの os フィールドにマッピングされます。 |
| u_lastauthrun | last_auth_scan_date | API からの lastauthrun フィールドを、検出されたアイテムレコードの last_auth_scan_date フィールドにマッピングします。 |
| u_lastauthrun および u_lastunauthrun | last_scan_date | lastauthrun は、Tenable API または lastunauthrun から抽出されます。検出されたアイテムレコードのlast_scan_dateフィールドは、ペイロードに表示される値に基づいて入力されます。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | 統合プロセスのimport_setの値を初期化します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | ホストの値を更新し、ホストが存在するかどうかを確認します。結果に基づいて、import_set の値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | 作成された新しい CI と、更新されて無視された CI の値を設定します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.sc プラグインのインポート
Tenable.sc からインポートされたプラグインデータは、最初に Tenable.sc プラグインインポートテーブル (sn_vul_tenable_sc_plugin_import) にロードされます。Tenable.sc プラグイン変換マップは、インポートされたプラグイン情報の変換に使用されます。この変換を変更すると、Tenable プラグインインポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します . 「Tenable.sc Plugin Transform Map」を検索します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_id | ID | ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、ターゲットテーブルの ID は TEN-12345 です。 |
| u_description | summary | プラグインの説明を summary 列にマッピングします。 |
| [script] | source | この統合からインポートされた TPE には、Tenable.sc がソースとして含まれています。 |
| [script] | source_instance | このレコードをインポートする Tenable 展開への参照 |
| u_family | category | プラグインのファミリオブジェクトの name フィールドを category 列にマッピングします。 |
| u_plugin_modification_date | last_modified | plugin_modification_date を最後に変更されたフィールドにマッピングします。 |
| u_plugin_publication_date | date_published | plugin_publication_date を公開日にマッピングします。 |
| u_has_patch | remediation_type | has_patch 値から修復タイプをマッピングします。 |
| u_synopsis | threat | この脆弱性に関する脅威情報をマッピングします。 |
| u_cvss_base_score | score | CVSS ベーススコアをサードパーティのエントリーテーブルの score 列にマッピングします。 |
| u_solution | solution | スキャナーによって提供されたソリューションをサードパーティのエントリーテーブルの solution 列にマッピングします。 |
| u_cvss_temporal_score | cvss_temporal_score | CVSS v2 の一時スコアをマッピングします。 |
| u_cvss_v3_temporal_score | v3_temporal_score | CVSS v3 の一時スコアをマッピングします。 |
| u_risk_factor | source severity | サードパーティのエントリーテーブルのソース重大度にマッピングします。 |
| u_cvss_v3_base_score | v3_base_score | サードパーティのエントリーテーブルの CVSS ベーススコアをマッピングします。 |
| u_exploit_available | exploit | スキャナーによって提供された exploitAvailable をサードパーティのエントリーテーブルの exploit 列にマッピングします。 |
| u_vpr_score | source_risk_score | スキャナーからの VPR スコアをサードパーティのエントリーテーブルのソースリスクスコアにマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_vpr_context[id=product_coverage] | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_vpr_context[id=”threat_sources_last_28] | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| u_vpr_context[id=”threat_intensity_last_28] | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_vpr_context[id=”threat_recency”] | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | スキャナーからの CVSS v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore にマッピングします。 |
| u_name | name | プラグインの名前をサードパーティのエントリーテーブルの name 列にマッピングします。 |
| u_stig_severity | stig_severity | プラグインの stig_severity フィールドをサードパーティのエントリーテーブルの stig_severity にマッピングします。 |
| u_check_type | check_type | チェックタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_family.id | family_id | プラグインの family_id をサードパーティのエントリーテーブルの family_id にマッピングします。 |
|
[script] |
exploit_attack_vector |
サードパーティのエントリーテーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
direct フィールドに加えて、その他の情報が関連リストとしてサードパーティのエントリーに追加されます。
| ソースフィールド | 説明 |
|---|---|
| u_cpe | CPE のリストが参照として追加されます。 |
| u_see_also | URL のリストが参照として追加されます。 |
| u_exploit_frameworks | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティエントリーの値を更新し、サードパーティエントリーが存在するかどうかを確認するために使用される機能。結果に基づいて、サードパーティエントリーの値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成されて無視されたプラグインの値を設定するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
TenableSCPluginsImportProcessor スクリプトインクルードは onBefore 変換スクリプトから呼び出されます。Tenable.sc プラグイン統合からの出力を取得し、 ServiceNow サードパーティ脆弱性エントリーに変換します。このスクリプトインクルードを変更すると、サードパーティのエントリーテーブルの Tenable.sc プラグインデータの変換が変更される可能性があります。
Tenable.sc 脆弱性インポート
Tenable.sc のオープンな脆弱性変換マップは、Tenable.sc のオープンな脆弱性統合からインポートされたデータを変換するために使用され、Tenable.sc および修正された脆弱性変換マップは、Tenable.sc の修正された脆弱性統合からインポートされたデータを変換するために使用されます。
注:
Tenable.sc オープンおよび修正された脆弱性変換マップにアクセスするには、 .これらの変換マップを変更すると、[修正済み]/[オープン] の Tenable 脆弱性インポートからのデータの処理方法が変更されます。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_pluginID | Id | プラグインの識別子として使用されます。このフィールドは、サードパーティのエントリーレコードの plugin Id にマッピングされます。 |
| u_riskfactor | source_severity | このフィールドは、サードパーティのエントリーレコードの source_severity にマッピングされます。 |
| u_severity | priority | priority フィールドは重大度にマッピングされます。デフォルト値は 5 です。 |
| u_hasbeenmitigated | state | [緩和済み] は、脆弱性レコードの [ステータス] フィールドにマッピングされます。修正された脆弱性統合では、すべての VI が [クローズ済み] ステータスになっています。 |
| u_ip | ip_address | IP アドレスは、cmdb_ci テーブルの host ip フィールドにマッピングされます。 |
| u_port | port | ポートは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| u_protocol | protocol | プロトコルは、脆弱性一致アイテムレコードの port フィールドにマッピングされます。 |
| u_firstSeen | first_found | 初回検出値は、VI レコードの first_found フィールドにマッピングされます。 |
| u_lastSeen | last_found | 前回検出値は、VI レコードの last_found フィールドにマッピングされます。 |
| u_exploitAvailable | exploit | exploitAvailable は、サードパーティのエントリーレコードの exploit フィールドにマッピングされます。 |
| u_synopsis | threat | 概要は、サードパーティのエントリーレコードの threat フィールドにマッピングされます。 |
| u_description | summary | 説明は、サードパーティのエントリーレコードの summary フィールドにマッピングされます。 |
| u_solution | solution | ソリューションは、サードパーティのエントリーレコードの solution フィールドにマッピングされます。 |
| u_basescore | score | baseScore は、サードパーティのエントリーレコードの score フィールドにマッピングされます。 |
| u_temporalScore | temporal_score | 一時スコアは、サードパーティのエントリーレコードの一時スコアにマッピングされます。 |
| u_cvssv3basescore | v3_base_score | cvssv3basescore は、サードパーティのエントリーレコードの v3_base_score にマッピングされます。 |
| u_cvsstemporalscore | v3_temporal_score | cvssv3temporal スコアは、サードパーティのエントリーレコードの v3_temporal_score にマッピングされます。 |
| u_pluginpubdate | date_published | プラグイン公開日は、サードパーティのエントリーレコードのプラグイン公開日にマッピングされます。 |
| u_pluginmoddate | last_modified | 最終変更日は、サードパーティのエントリーレコードのプラグインの最終変更日にマッピングされます。 |
| u_dnsname | fqdn | dnsName は cmdb_ci レコードの FQDN フィールドにマッピングされます。 |
| u_macaddress | mac_address | macAddress は cmdb_ci レコードの mac_address フィールドにマッピングされます。 |
| u_netbiosName | netbios | netbiosName は、cmdb_ci レコードの NETBIOS フィールドにマッピングされます。 |
| u_ip | ip | IP は cmdb_ci レコードの IP フィールドにマッピングされます。 |
| hostUniqueness | uuid | ホストの一意性はどのフィールドにもマッピングされませんが、ホストの uuid を決定するために使用されます。 |
| u_family | category | プラグインのファミリオブジェクトの name フィールドをサードパーティのエントリーレコードの category 列にマッピングします。 |
| u_plugintext | proof | プラグインテキストは tpe レコードの proof にマッピングされます。 |
| [script] | source | 統合のソースが入力されます。この統合から作成された脆弱性一致アイテムには、Tenable.sc がソースとして含まれています。 |
| [script} | integration_instance | integration_instance は、脆弱性一致アイテムのインポート元のインスタンスの名前です。 |
| u_vpr_score | source_risk_score | スキャナーからの VPR スコアをサードパーティのエントリーテーブルのソースリスクスコアにマッピングします。 |
| [script] | source_risk_rating | スコア範囲に基づいて、vpr スコアを標準リスク評価にマッピングします。
|
| u_vpr_context[id=age_of_vuln] | age_of_vuln | スキャナーからの脆弱性の経過時間をサードパーティのエントリーテーブルの age_of_vuln にマッピングします。 |
| u_vpr_context[id=exploit_code_maturity] | exploit_code_maturity | スキャナーからのエクスプロイトコードの成熟度をサードパーティのエントリーテーブルの exploit_code_maturity にマッピングします。 |
| u_vpr_context[id=product_coverage] | product_coverage | スキャナーからの製品範囲をサードパーティのエントリーテーブルの product_coverage にマッピングします。 |
| u_vpr_context[id=”threat_sources_last_28] | threat_sources | スキャナーからの過去 28 日間の脅威ソースをサードパーティテーブルの threat_sources にマッピングします。 |
| u_vpr_context[id=”threat_intensity_last_28] | threat_intensity | スキャナーからの過去 28 日間の脅威の強さをサードパーティのエントリーテーブルの threat_intensity にマッピングします。 |
| u_vpr_context[id=”threat_recency”] | threat_recency | スキャナーからの脅威の最新性情報をサードパーティのエントリーテーブルの threat_recency にマッピングします。 |
| u_vpr_context[id=cvssV3_impactScore] | v3_impact_subscore | スキャナーからの CVSS v3 影響スコアをサードパーティのエントリーテーブルの v3_impact_subscore にマッピングします。 |
| u_pluginname | name | プラグインの名前をサードパーティのエントリーテーブルの name 列にマッピングします。 |
| u_stigseverity | stig_severity | プラグインの stig_severity フィールドをサードパーティのエントリーテーブルの stig_severity にマッピングします。 |
| u_checktype | check_type | チェックタイプをサードパーティのエントリーテーブルの check_type にマッピングします。 |
| u_family.id | family_id | プラグインの family.id をサードパーティのエントリーテーブルの family_id にマッピングします。 |
| [script] | exploit_attack_vector | third_party_entry テーブルの exploit_attack_vector 列は、列の exploit_available と v3_attack_vector に基づいて入力されます。 |
| ソースフィールド | 説明 |
|---|---|
| u_cve | CVE 関連データを参照テーブル (sn_vul_nvd_entry) に挿入します。NVD エントリーテーブル (sn_vul_nvd_entry) で同じ CVE が見つかった場合、現在の脆弱性が NVD エントリーに関連付けられます。マッピングは sn_vul_m2m_entry_cve にあります。 |
| u_bid | バグトラックのリストが参照として追加されます。 |
| u_cpe | CPE のリストが参照として追加されます。 |
| u_seealso | URL のリストが参照として追加されます。 |
| u_xrefs | X-REF のリストが参照として追加されます。 |
| u_exploitframeworks | そのプラグインのエクスプロイトのリスト。該当するエクスプロイトフレームワークとプラグインの sn_vul_m2m_framework_vul へのマッピングを挿入します。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | 脆弱性の値を更新し、脆弱性が存在するかどうかを確認するために使用される機能。結果に基づいて、脆弱性一致アイテムテーブルの値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成された新しい VI と更新されて無視された VI の値を設定するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.cs コンテナ資産インポート
インポートされた資産データは、最初に Tenable.cs コンテナ資産インポート [sn_vul_tenable_cs_container_asset_import] テーブルにロードされます。
Tenable.csコンテナ資産変換マップは、インポートされた資産情報の変換に使用されます。この変換を変更すると、 Tenable.cs コンテナ資産インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、[システムインポートセット] > [変換マップ] に移動します。Tenable.csコンテナ資産変換を検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_digest | Image_id | Tenable は、コンテナ資産の一意のダイジェストを提供し、検出されたコンテナイメージと Docker イメージレコードにマッピングされ、CI ルックアップに使用されます。 |
| u_digest | Image_digest | Tenable は、コンテナ資産の一意のダイジェストを提供し、検出されたコンテナイメージと Docker イメージレコードにマッピングされ、CI ルックアップに使用されます。 |
| u_name | name | Docker イメージレコードの名前フィールドにマップします。 |
| u_repositoryuri | name | コンテナーリポジトリレコードにマップします |
| u_repositoryuri | repo | 検出されたコンテナイメージレコードにマップします。 |
| u_virtualmachines | host_list | 検出されたコンテナイメージレコードにマップします |
| u_labels | Image_labels | 最初の OS 値を検出されたアイテムレコードの os フィールドにマッピングします。 |
| u_clusters | image_cluster | 検出されたコンテナイメージレコードにマップします |
| u_imagetags | タグ | 検出されたコンテナイメージレコードにマップします |
| u_cloudprovider | cloud_providers | 検出されたコンテナイメージレコードにマップします |
| u_accountid | cloud_account_ids | 検出されたコンテナイメージレコードにマップします |
| u_region | cloud_regions | 検出されたコンテナイメージレコードにマップします |
| u_operatingsystem | os | 検出されたコンテナイメージレコードにマップします |
| u_scantime | last_scan_date | 検出されたコンテナイメージレコードにマップします |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | この変換は、統合プロセスの import_set の値を初期化するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 |
ホストの値を更新し、ホストが存在するかどうかを確認するために使用される機能。結果に基づいて、import_set の値を変更します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | この変換は、作成された新しい CI と更新されて無視された CI の値を設定するために使用されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.cs コンテナ脆弱性インポート
インポートされたコンテナ脆弱性データは、最初に Tenable.cs コンテナ脆弱性インポート [sn_vul_tenable_cs_container_vuln_import] テーブルにロードされます。
Tenable.csコンテナ脆弱性変換マップは、インポートされたコンテナ脆弱性情報を変換するために使用されます。この変換を変更すると、 Tenable.cs コンテナ脆弱性インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します . コンテナ脆弱性変換 Tenable.cs 検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| [script] | Image_id | ダイジェストは API の Resource.Id フィールドから抽出され、検出されたコンテナイメージと Docker イメージレコードのimage_idフィールドにマッピングされます。 |
| [script] | Image_digest | ダイジェストは API の Resource.Id フィールドから抽出され、検出されたコンテナイメージと Docker イメージレコードのimage_digestフィールドにマッピングされます。 |
| [script] | name | リポジトリ情報は名前フィールドから抽出され、Docker イメージとコンテナーリポジトリレコードにマッピングされます。 |
| [script] | repo | リポジトリ情報は名前フィールドから抽出され、コンテナイメージレコードを検出するためにマッピングされます。 |
| u_resource。ラベル | Image_labels | 検出されたコンテナイメージレコードにマップします |
| u_resource。CloudProvider | cloud_providers | 検出されたコンテナイメージレコードにマップします |
| u_resource。AccountId | cloud_account_ids | 検出されたコンテナイメージレコードにマップします |
| u_resource。リージョン | cloud_regions | 検出されたコンテナイメージレコードにマップします |
| u_vulnerability。ID | ID | ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、サードパーティのエントリーテーブルの ID は TEN-12345 です。 |
| u_vulnerability。説明 ID | サマリー ID | サードパーティのエントリーレコードにマッピングします。または CVE レコード。 |
| u_vulnerability。重大度 | v4_base_severity | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。Vpr スコア | source_risk_score | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。Vpr重大度 | source_severity | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。攻撃ベクトル | v4_attack_vector | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。ExploitMaturity | v4_exploit_maturity | サードパーティのエントリーレコードにマッピングします。 |
| [script] | ソース | インポートされたTPEのソースは Tenable.csです。 |
| u_vulnerability。ID | name | 脆弱性参照レコードにマップします |
| u_vulnerability。リンク | url | 脆弱性参照レコードにマップします |
| vulnerability | 脆弱性参照レコード内の TPE または CVE の参照 | |
| u_software。名前 | name | コンテナイメージパッケージレコードにマップします |
| u_software。バージョン | version | コンテナイメージパッケージレコードにマップします |
| u_software。タイプ | package_type | コンテナイメージパッケージレコードにマップします |
| u_softwarepaths | path | コンテナイメージパッケージレコードにマップします |
| u_resolved | status | コンテナイメージ検索レコードにマップします |
| u_firstscantime | first_found | コンテナイメージ検索レコードにマップします |
| u_resource。スキャン時間 | last_found | コンテナイメージ検索レコードにマップします |
| u_vulnerability。説明 | proof | コンテナイメージ検索レコードにマップします |
| u_resolved | state | コンテナ脆弱性一致アイテムレコードにマップします |
| u_firstscantime | first_found | コンテナ脆弱性一致アイテムレコードにマップします |
| u_resource。スキャン時間 | last_found | コンテナ脆弱性一致アイテムレコードにマップします |
| [script] | ソース | コンテナ脆弱性一致アイテムレコードのソースは Tenable.cs です。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | TenableCS コンテナ脆弱性プロセッサをトリガーし、インポートセットを使用して Tenable.cs からデータをインポートし、各レコードを CMDB CI テーブル、脆弱性一致アイテムテーブル、サードパーティ脆弱性エントリーテーブル、脆弱性参照テーブル、コンテナイメージパッケージ、コンテナイメージ結果、およびコンテナ脆弱性一致アイテムにロードします。変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティのエントリーとイメージの検出結果が存在するかどうかを確認します。そうでない場合、これらのレコードはそれぞれのテーブルに作成されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | Tenable.cs からインポートされた CI、VIT および検索結果の数を更新します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
Tenable.cs コンピューティング脆弱性インポート
インポートされたホスト脆弱性データは、最初に Tenable.cs コンピューティング脆弱性インポート [sn_vul_tenable_cs_compute_vuln_import] テーブルにロードされます。
Tenable.cs Compute Vuln 変換マップは、インポートされたホスト脆弱性情報を変換するために使用されます。この変換を変更すると、 Tenable.cs コンピューティング脆弱性インポートからのデータの処理方法が変更されます。この変換マップにアクセスするには、次に移動します .Tenable.cs Compute Vuln Transform を検索します。
次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_resource。ID | object_id | CMDB CI レコードにマップします。 |
| u_resource。名前 | name | CMDB CI レコードにマップします。 |
| asset_category | クラウドは、検出されたアイテムレコードの資産カテゴリとしてマッピングされます。 | |
| U_resource。CloudProvider | cloud_service_provider | 検出されたアイテムレコードにマップします |
| u_resource。リージョン | cloud_region | 検出されたアイテムレコードにマップします |
| u_resource。アカウント ID | cloud_account | 検出されたアイテムレコードにマップします |
| u_resource。CloudProvider | cloud_resource_type | 検出されたアイテムレコードにマップします |
| u_resource。ID | resource_id | 検出されたアイテムレコードにマップします |
| u_resource。名前 | resource_name | 検出されたアイテムレコードにマップします |
| u_vulnerability。ID | ID |
ソースから ID をマッピングし、TEN プリフィックスを追加します。たとえば、受信した ID が 12345 の場合、サードパーティのエントリーテーブルの ID は TEN-12345 です。 ID を CVE にもマッピングします。 |
| u_vulnerability。説明 | サマリー | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。重大度 | v4_base_severity | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。Vpr スコア | source_risk_score | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。Vpr重大度 | source_severity | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。攻撃ベクトル | v4_attack_vector | サードパーティのエントリーレコードにマッピングします。 |
| u_vulnerability。ExploitMaturity | v4_exploit_maturity | サードパーティのエントリーレコードにマッピングします。 |
| [script] | ソース | インポートされた TPE のソースは Tenable.cs です。 |
| u_vulnerability。ID | name | 脆弱性参照レコードにマップします |
| u_vulnerability。リンク | url | 脆弱性参照レコードにマップします |
| vulnerability | 脆弱性参照レコード内の TPE または CVE の参照 | |
| u_resolved | status | 脆弱性一致アイテム検出レコードにマッピングします |
| u_firstscantime | first_found | 脆弱性一致アイテム検出レコードにマッピングします |
| u_resource。スキャン時間 | last_found | 脆弱性一致アイテム検出レコードにマッピングします |
| u_softwarepaths | proof | 脆弱性一致アイテム検出レコードにマッピングします |
| u_softwareresolutionversions | solution_summary | 脆弱性一致アイテム検出レコードにマッピングします |
| u_resolved | state | 脆弱性一致アイテムレコードにマップ |
| u_firstscantime | first_found | 脆弱性一致アイテムレコードにマップ |
| u_resource。スキャン時間 | last_found | 脆弱性一致アイテムレコードにマップ |
| [script] | ソース | 脆弱性一致アイテムレコードのソースは Tenable.cs です。 |
変換プロセスでは、3 つの変換スクリプトが実行されます。次の表に、各スクリプトが実行されるタイミングとその目的を示します。
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を開始したとき) | Tenable CS コンピューティング脆弱性プロセッサーをトリガーし、インポートセットを使用して Tenable.cs からデータをインポートし、各レコードを CMDB CI テーブル、脆弱性一致アイテムテーブル、およびサードパーティ脆弱性テーブルにロードします。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onBefore (インポートセットの変換が完了する前)。 | サードパーティのエントリーと検出が存在するかどうかを確認します。そうでない場合、これらのレコードはそれぞれのテーブルに作成されます。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| onComplete (インポートセットが変換を完了したとき) | Tenable.cs からインポートされた CI、VIT および検出の数を更新します。このスクリプトは内部使用のためのものであり、変更または削除することはお勧めしません。 |
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| u_digest | Image_id | コンテナ資産に対して Tenable によって提供される一意のダイジェスト。検出されたコンテナイメージと Docker イメージレコードにマップされ、CI ルックアップに使用されます。 |
| u_name | name | Docker イメージレコードの名前フィールドにマップします。 |
source_risk_scoreとsource_risk_ratingを計算するための標準化されたロジック
標準化されたデータ変換の一環として、Tenable 統合では、一元化されたビジネスルールを使用して source_risk_score と source_risk_ratingの両方を入力します。
統合の実行中に、vprv1_risk_scoreまたはvprv2_risk_scoreのいずれかが更新されると、サードパーティエントリーテーブルの [vprv2_risk_score] フィールドと [vprv1_risk_score] フィールドの値を使用して、source_risk_scoreとsource_risk_ratingが自動的に再計算され、入力されます。
- vprv2_risk_scoreが存在する場合は、vprv1_risk_scoreよりも優先されます。
- vprv1_risk_scoreとvprv2_risk_scoreが空の場合、source_risk_scoreは変更されません。
- source_risk_rating は、標準化されたしきい値を使用して最終的な source_risk_score から導出されます。
- 9-10 → 重大
- 7 〜 9 → 高
- 4-7 → ミ ディアム
- 0 〜 4 → 低
- NaN →なし
注:
上記の変更は、Tenable 5.2.1 バージョンの一部として実装されます。