利用可能なデータ Tenable Vulnerability Management

Tenable Vulnerability Management 資産インポートデータマップ

Tenable Vulnerability Management 資産を ServiceNow 設定項目にマッピングする際のロジックです。

資産インポートの順序

  1. ServiceNow は、Tenable Vulnerability Management にクエリをかけて資産を取得します。
  2. ServiceNow Job Chunk にデータが添付されます。

  3. データは、ServiceNow 識別および調整エンジン (IRE) で使用可能な形式に変換されます。

  4. IRE にデータが送信され、そこで CMDB に CI が作成されます。

ServiceNow のデータ変換

Tenable Vulnerability Management から ServiceNow にインポートされる資産ごとに、複数のレコードが作成されます。

メイン CI

ServiceNow にインポートされるすべての Tenable Vulnerability Management 資産に対して、メイン CI レコード (cmdb_ci_incomplete_ip、cmdb_ci_unclassed_hardware、または cmdb_ci_computer) が作成されます。

ServiceNow フィールド 詳細 (Tenable Vulnerability Management フィールドは太字で表示) CMDB クラス
Class (クラス)
  • 不完全な IP 識別デバイス

    Tenable Vulnerability Management から ipv4s または ipv6s を受信した場合

  • 未分類のハードウェア

    1 であり、かつ hostnamesnetbios_names、または fqdnsTenable Vulnerability Management から受信した場合

  • コンピューター

    2 であり、かつ aws_ec2_instance_idgcp_instance_idazure_resource_id、または operating_systemsTenable Vulnerability Management から受信した場合

すべてのクラス
Name (名前)
  1. netbios_names

  2. hostnames

  3. fqdns

  4. ipv4s

  5. ipv6s

  6. mac_addressses

すべてのクラス
Description (説明) 名前の識別方法に関する情報 すべてのクラス
Discovery Source (検出ソース) 「SG-TenableForAssets」 すべてのクラス
Tenable Asset Attributes (Tenable 資産属性) Tenable Vulnerability Management 固有フィールドがある Tio CMDB 資産属性テーブルへの参照 すべてのクラス
Is Virtual (仮想である) aws_ec2_instance_id, gcp_instance_idazure_resource_idTenable Vulnerability Management から受信した場合 コンピュータークラスのみ
Operating System (オペレーティングシステム) operating_systems コンピュータークラスのみ
IP Address (IP アドレス) ipv4s 不完全な IP クラスのみ
IP Version (IP バージョン) 「4」 不完全な IP クラスのみ
Network Partition Identifier (ネットワークパーティション ID) network_name 不完全な IP クラスのみ
完全修飾ドメイン名 fqdns コンピュータークラス

子ネットワークアダプター CI

関連するネットワークアダプター CI レコード (cmdb_ci_network_adapter) が、メイン CI に関連付けられている MAC アドレスごとに作成されます。

ServiceNow フィールド 詳細 (Tenable Vulnerability Management フィールドは太字で表示)
Class (クラス) 「ネットワークアダプター」
Name (名前) network_interfaces.name
MAC Address (MAC アドレス) network_interfaces.mac_addresses
Fully Qualified Domain Name (完全修飾ドメイン名) network_interfaces.fqdns
Configuration Item (設定項目) メイン CI への参照
Discovery Source (検出ソース) 「SG-TenableForAssets」

子 IP アドレス CI

関連する IP アドレス CI レコード (cmdb_ci_ip_address) が、メイン CI に関連付けられている IP アドレスごとに作成されます。

ServiceNow フィールド 詳細 (Tenable Vulnerability Management フィールドは太字で表示)
Class (クラス) 「ネットワークアダプター」
Name (名前)
  1. network_interfaces.ipv4s または network_interfaces.ipv6s

  2. ipv4s または ipv6s

IP Address (IP アドレス)
  1. network_interfaces.ipv4s または network_interfaces.ipv6s

  2. ipv4s または ipv6s

IP Version (IP バージョン) 「4」または「6」
Network Partition Identifier (ネットワークパーティション ID) network_name
Nic (NIC) ネットワークアダプターへの参照 (存在する場合)
Discovery Source (検出ソース) 「SG-TenableForAssets」

Tenable 資産属性レコード

Tenable 資産属性レコード (x_tsirm_tio_cmdb_asset_attributes) が、すべてのメイン CI に対して作成されます。

ServiceNow フィールド 詳細 (Tenable Vulnerability Management フィールドは太字で表示)
Hostname (ホスト名) メイン CI 名
Connector (コネクタ) コネクタレコードへの参照
Tenable Uniqueness (Tenable の一意性) id
Asset UUID (資産の UUID) id
Raw Data (未加工データ) 未加工の JSON データ
Sources (ソース) 「IO for」+ Tenable アプリ名
Source Native Key (ソースネイティブキー) id
Has Agent (エージェントあり) has_agent
Has Plugin Results (プラグインの結果あり) has_plugin_results
Created At (作成日) created_at
Terminated At (終了時刻) terminated_at
Terminated By (終了者) terminated_by
Updated At (更新時刻) updated_at
Deleted At (削除時刻) deleted_at
Deleted By (削除者) deleted_by
First Seen (初回確認日) first_seen
Last Seen (最終確認日) last_seen
First Scan Time (初回スキャン時間) first_scan_time
Last Scan Time (最終スキャン時間) last_scan_time
Last Authenticated Scan Date (最終認証スキャン日) last_auhenticated_scan_date
Last Licensed Scan Date (最終ライセンススキャン日) last_licensed_scan_date
Last Scan ID (最終スキャン ID) last_scan_id
Last Schedule ID (最終スケジュール ID) last_schedule_id
Azure Instance ID (Azure インスタンス ID) azure_vm_id
GCP Project ID (GCP プロジェクト ID) gcp_project_id
GCP Zone (GCP ゾーン) gcp_zone
GCP Instance ID (GCP インスタンス ID) gcp_instance_id
AWS EC2 Instance ID (AWS EC2 インスタンス ID) aws_ec2_instance_id
Agent UUID (エージェント UUID) agent_uuid
BIOS UUID bios_uuid
Network ID (ネットワーク ID) network_id
AWS Owner ID (AWS 所有者 ID) aws_owner_id
McAfee EPO GUID mcafee_epo_guid
McAfee EPO Agent GUID (McAfee EPO エージェント GUID) mcafee_epo_agent_guid
Bigfix Asset ID (Bigfix 資産 ID) bigfix_asset_id
Agent Names (エージェント名) agent_names
Netbios Name (Netbios 名) netbios_names
Operating Systems (オペレーティングシステム) operating_systems
System Type (システムタイプ) system_types
SSH Fingerprints (SSH フィンガープリント) ssh_fingerprints
Qualys Asset ID (Qualys 資産 ID) qualys_asset_ids
Qualys Host IDs (Qualys ホスト ID) qualys_host_ids
Manufacturer TPM ID (製造者 TPM ID) manufacturer_tpm_ids
Symantec EP Hardware Key (Symantec EP ハードウェアキー) symantec_ep_hardware_keys
Sources (ソース) sources
Tags (タグ) tags
ACR Score (ACR スコア) acr_score
Exposure Score (エクスポージャースコア) exposure_score
Attributes (属性) ServiceNow 形式の未加工 JSON データ
Name (名前) Connector.Name + 「:」 + id
Related CI (関連 CI) メイン CI への参照

CMDB 関係レコード

CMDB 関係レコード (cmdb_rel_ci) が、メイン CI とネットワークアダプター CI または IP アドレス CI の間の親/子関係ごとに作成されます。

ServiceNow フィールド Details
Parent (親) メイン CI への参照
Child (子) ネットワークアダプターまたは IP アドレス CI への参照
Type (種類) 「Owns::Owned by」

検出ソースレコード

検出ソースレコード (sys_object_source) が、ServiceNow で新規作成される CI ごとに、ソースに関する情報と CI の一意の ID とともに作成されます。

ServiceNow フィールド 詳細
ID id
Last Scan (最終スキャン) 前回の Tenable Vulnerability Management インポートの日時
Target Sys ID (ターゲット Sys ID) メイン CI への参照
Target Table (ターゲットテーブル) メイン CI のテーブル
Name (名前) 「SG-TenableForAssets」
Source Feed (ソースフィード) 「Tenable」

Tenable Vulnerability Management への API 呼び出し

Tenable 資産エクスポートの生成

入力: chunk_size、filters

  • 例: {"chunk_size":1500,"filters":{"updated_at":1657660668,"is_deleted":false,"is_licensed":true}}

出力: export_uuid

資産エクスポートステータスのクエリ

入力: export_uuid

出力: status、chunks_available

Tenable 資産エクスポートチャンクのダウンロード

入力: export_uuid、chunk_id

出力: リンクを開き、可能性のある資産すべての値について 200 の応答を選択します。