利用可能なデータ Tenable Security Center

Tenable Security Center 資産インポートデータマップ

Tenable Security Center 資産を ServiceNow 設定項目にマッピングする際のロジックです。

資産インポートの順序

  1. ServiceNow は、Tenable Security Center にクエリをかけて資産を取得します。
  2. ServiceNow Job Chunk にデータが添付されます。

  3. データは、ServiceNow 識別および調整エンジン (IRE) で使用可能な形式に変換されます。

  4. IRE にデータが送信され、そこで CMDB に CI が作成されます。

ServiceNow のデータ変換

Tenable Security Center から ServiceNow にインポートされる資産ごとに、複数のレコードが作成されます。

メイン CI

ServiceNow にインポートされるすべての Tenable Security Center 資産に対して、メイン CI レコード (cmdb_ci_incomplete_ip、cmdb_ci_unclassed_hardware、または cmdb_ci_computer) が作成されます。

ServiceNow フィールド 詳細 (Tenable Security Center フィールドは太字で表示) CMDB クラス
Class (クラス)
  • 不完全な IP 識別デバイス

    Tenable Security Center から ip を受信した場合

  • 未分類のハードウェア

    1 であり、かつ dnsName または netbiosNamesTenable Security Center から受信した場合

  • コンピューター

    2 であり、かつ osCPETenable Security Center から受信した場合

すべてのクラス
Name (名前)
  1. netbiosName

  2. fqdn

  3. dnsName

  4. ip

  5. macAddress

すべてのクラス
Description (説明) 名前の識別方法に関する情報 すべてのクラス
Discovery Source (検出ソース) 「SG-TenableForAssets」 すべてのクラス
Tenable Asset Attributes (Tenable 資産属性) Tenable Security Center 固有フィールドがある Tio CMDB 資産属性テーブルへの参照 コンピューターおよび未分類のハードウェアクラスのみ
Mac Address (MAC アドレス) macAddress コンピューターおよび未分類のハードウェアクラスのみ
Operating System (オペレーティングシステム) osCPE コンピュータークラスのみ
Name (名前) ip 不完全な IP クラスのみ
Network Partition Identifier (ネットワークパーティション ID) repository_name 不完全な IP クラスのみ
完全修飾ドメイン名 dnsName コンピュータークラス

子ネットワークアダプター CI

Tenable からプルされたネットワークインターフェース情報がないため、関連するネットワークアダプター CI レコード (cmdb_ci_network_adapter) が Tenable Security Center 資産に対して作成されません。

子 IP アドレス CI

関連する IP アドレス CI レコード (cmdb_ci_ip_address) が、メイン CI に関連付けられている IP アドレスごとに作成されます。

ServiceNow フィールド 詳細 (Tenable Security Center フィールドは太字で表示)
Class (クラス) 「IP アドレス」
Name (名前)

ip

IP Address (IP アドレス)

ip

IP Version (IP バージョン) 「4」
Network Partition Identifier (ネットワークパーティション ID) repository.name
Discovery Source (検出ソース) 「SG-TenableForAssets」

Tenable 資産属性レコード

Tenable 資産属性レコード (x_tsirm_tio_cmdb_asset_attributes) が、すべてのメイン CI に対して作成されます。

ServiceNow フィールド 詳細 (Tenable Security Center フィールドは太字で表示)
Hostname (ホスト名) メイン CI 名
Connector (コネクタ) コネクタレコードへの参照
SC Uniqueness (SC 一意性)
  1. uniqueness

  2. hostUniqueness

OS CPE osCPE
Repository Data Format (リポジトリデータフォーマット) repository.dataFormat
Sources (ソース) 「SC for」+ Tenable アプリ名
Source Native Key (ソースネイティブキー)
  1. uniqueness

  2. hostUniqueness

Attributes (属性) ServiceNow 形式の未加工 JSON データ
Name (名前) Connector.Name「:」+ SC 一意性
Related CI (関連 CI) メイン CI への参照

CMDB 関係レコード

CMDB 関係レコード (cmdb_rel_ci) が、メイン CI とネットワークアダプター CI または IP アドレス CI の間の親/子関係ごとに作成されます。

ServiceNow フィールド Details
Parent (親) メイン CI への参照
Child (子) ネットワークアダプターまたは IP アドレス CI への参照
Type (種類) 「Owns::Owned by」

検出ソースレコード

検出ソースレコード (sys_object_source) が、ServiceNow で新規作成される CI ごとに、ソースに関する情報と CI の一意の ID とともに作成されます。

ServiceNow フィールド 詳細
ID id
Last Scan (最終スキャン) 前回の Tenable Security Center インポートの日時
Target Sys ID (ターゲット Sys ID) メイン CI への参照
Target Table (ターゲットテーブル) メイン CI のテーブル
Name (名前) 「SG-TenableForAssets」
Source Feed (ソースフィード) 「Tenable」

Tenable Security Center への API 呼び出し

アナリスト結果のリクエスト

入力: type、query、sortDir、sortField、sourceType、startOffset、endOffset

  • 例: {"type":"vuln","query":{"name":"","type":"vuln","tool":"sumip","description":"","context":"","groups":[],"startOffset":0,"endOffset":1500,"filters":[{"filterName":"repository","operator":"=","value":[{"id":"3","name":"Staged-Small","description":"","type":"Local","uuid":"5AEA0478-0F1A-4B02-87D6-1F6131443F9C"},{"id":"1","name":"Live","description":"","type":"Local","uuid":"504D0D4E-7A95-4AA8-BFC2-98009FE702E1"},{"id":"4","name":"Staged-Agents","description":"","type":"Local","uuid":"9F68370D-1EC9-4005-8555-23B1DF2FCF5B"}]},{"filterName":"lastSeen","operator":"=","id":"lastSeen","value":"1670364343-1670450742"}]},"sortField":"score","sortDir":"asc","sourceType":"cumulative"}

出力: リンクを開き、考えられる資産の値のサンプル応答を確認します。