利用可能なデータ Tenable Security Center
Tenable Security Center 資産インポートデータマップ
Tenable Security Center 資産を ServiceNow 設定項目にマッピングする際のロジックです。
資産インポートの順序
- ServiceNow は、Tenable Security Center にクエリをかけて資産を取得します。
-
ServiceNow Job Chunk にデータが添付されます。
-
データは、ServiceNow 識別および調整エンジン (IRE) で使用可能な形式に変換されます。
- IRE にデータが送信され、そこで CMDB に CI が作成されます。
ServiceNow のデータ変換
Tenable Security Center から ServiceNow にインポートされる資産ごとに、複数のレコードが作成されます。
メイン CI
ServiceNow にインポートされるすべての Tenable Security Center 資産に対して、メイン CI レコード (cmdb_ci_incomplete_ip、cmdb_ci_unclassed_hardware、または cmdb_ci_computer) が作成されます。
| ServiceNow フィールド | 詳細 (Tenable Security Center フィールドは太字で表示) | CMDB クラス |
|---|---|---|
| Class (クラス) |
|
すべてのクラス |
| Name (名前) |
|
すべてのクラス |
| Description (説明) | 名前の識別方法に関する情報 | すべてのクラス |
| Discovery Source (検出ソース) | 「SG-TenableForAssets」 | すべてのクラス |
| Tenable Asset Attributes (Tenable 資産属性) | Tenable Security Center 固有フィールドがある Tio CMDB 資産属性テーブルへの参照 | コンピューターおよび未分類のハードウェアクラスのみ |
| Mac Address (MAC アドレス) | macAddress | コンピューターおよび未分類のハードウェアクラスのみ |
| Operating System (オペレーティングシステム) | osCPE | コンピュータークラスのみ |
| Name (名前) | ip | 不完全な IP クラスのみ |
| Network Partition Identifier (ネットワークパーティション ID) | repository_name | 不完全な IP クラスのみ |
| 完全修飾ドメイン名 | dnsName | コンピュータークラス |
子ネットワークアダプター CI
Tenable からプルされたネットワークインターフェース情報がないため、関連するネットワークアダプター CI レコード (cmdb_ci_network_adapter) が Tenable Security Center 資産に対して作成されません。
子 IP アドレス CI
関連する IP アドレス CI レコード (cmdb_ci_ip_address) が、メイン CI に関連付けられている IP アドレスごとに作成されます。
| ServiceNow フィールド | 詳細 (Tenable Security Center フィールドは太字で表示) |
|---|---|
| Class (クラス) | 「IP アドレス」 |
| Name (名前) |
ip |
| IP Address (IP アドレス) |
ip |
| IP Version (IP バージョン) | 「4」 |
| Network Partition Identifier (ネットワークパーティション ID) | repository.name |
| Discovery Source (検出ソース) | 「SG-TenableForAssets」 |
Tenable 資産属性レコード
Tenable 資産属性レコード (x_tsirm_tio_cmdb_asset_attributes) が、すべてのメイン CI に対して作成されます。
| ServiceNow フィールド | 詳細 (Tenable Security Center フィールドは太字で表示) |
|---|---|
| Hostname (ホスト名) | メイン CI 名 |
| Connector (コネクタ) | コネクタレコードへの参照 |
| SC Uniqueness (SC 一意性) |
|
| OS CPE | osCPE |
| Repository Data Format (リポジトリデータフォーマット) | repository.dataFormat |
| Sources (ソース) | 「SC for」+ Tenable アプリ名 |
| Source Native Key (ソースネイティブキー) |
|
| Attributes (属性) | ServiceNow 形式の未加工 JSON データ |
| Name (名前) | Connector.Name「:」+ SC 一意性 |
| Related CI (関連 CI) | メイン CI への参照 |
CMDB 関係レコード
CMDB 関係レコード (cmdb_rel_ci) が、メイン CI とネットワークアダプター CI または IP アドレス CI の間の親/子関係ごとに作成されます。
| ServiceNow フィールド | Details |
|---|---|
| Parent (親) | メイン CI への参照 |
| Child (子) | ネットワークアダプターまたは IP アドレス CI への参照 |
| Type (種類) | 「Owns::Owned by」 |
検出ソースレコード
検出ソースレコード (sys_object_source) が、ServiceNow で新規作成される CI ごとに、ソースに関する情報と CI の一意の ID とともに作成されます。
| ServiceNow フィールド | 詳細 |
|---|---|
| ID | id |
| Last Scan (最終スキャン) | 前回の Tenable Security Center インポートの日時 |
| Target Sys ID (ターゲット Sys ID) | メイン CI への参照 |
| Target Table (ターゲットテーブル) | メイン CI のテーブル |
| Name (名前) | 「SG-TenableForAssets」 |
| Source Feed (ソースフィード) | 「Tenable」 |
Tenable Security Center への API 呼び出し
入力: type、query、sortDir、sortField、sourceType、startOffset、endOffset
-
例: {"type":"vuln","query":{"name":"","type":"vuln","tool":"sumip","description":"","context":"","groups":[],"startOffset":0,"endOffset":1500,"filters":[{"filterName":"repository","operator":"=","value":[{"id":"3","name":"Staged-Small","description":"","type":"Local","uuid":"5AEA0478-0F1A-4B02-87D6-1F6131443F9C"},{"id":"1","name":"Live","description":"","type":"Local","uuid":"504D0D4E-7A95-4AA8-BFC2-98009FE702E1"},{"id":"4","name":"Staged-Agents","description":"","type":"Local","uuid":"9F68370D-1EC9-4005-8555-23B1DF2FCF5B"}]},{"filterName":"lastSeen","operator":"=","id":"lastSeen","value":"1670364343-1670450742"}]},"sortField":"score","sortDir":"asc","sourceType":"cumulative"}
出力: リンクを開き、考えられる資産の値のサンプル応答を確認します。