Règles de recherche de CI pour identifier les éléments de configuration à partir d’intégrations de Réponse aux vulnérabilités vulnérabilité tierces

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Lorsque les données sont importées à partir d’une intégration tierce, Réponse aux vulnérabilités utilise automatiquement les données de l’hôte pour rechercher des correspondances dans le Base de données de gestion des configurations (CMDB)fichier . Pour ce faire, il utilise des règles de recherche de CI. Ces règles sont utilisées pour identifier les éléments de configuration (CI) et les ajouter à l’enregistrement d’élément vulnérable pour faciliter la correction.

    À partir de la version 19.0, accédez à Security Operations > CMDB > Règles de recherche pour localiser la liste dans votre instance.

    Au fur et à mesure que les actifs sont importés, une recherche est d’abord effectuée sur la liste des éléments détectés à l’aide d’ID tiers pour trouver des correspondances avec des éléments de configuration (CI) à partir d’importations précédentes. Lorsqu’une correspondance d’ID d’hôte est trouvée, elle est utilisée comme champ d’élément de configuration dans l’enregistrement d’élément vulnérable.

    Vous pouvez voir comment les actifs importés sont mappés aux CI à l’aide de la liste Éléments détectés . Si aucune correspondance n’est trouvée ou si le champ d’ID d’hôte est vide, les règles utilisent les autres informations d’hôte pour tenter d’identifier correctement le CI. Si aucune correspondance n’est toujours trouvée, un CI d’espace réservé est créé et est désigné comme CI sans correspondance. Consultez Ci sans correspondance pour plus d’informations sur la façon dont ces CI sont gérés.

    Les règles de recherche de CI peuvent être séparées par domaine et sont spécifiques à la source. Chaque source peut avoir plusieurs déploiements.
    Remarque :
    Les règles de recherche de CI sont partagées par tous les déploiements de l’intégration de la source de vulnérabilité. Si une règle est supprimée ou modifiée, la suppression ou les changements affectent tous les déploiements de l’intégration de vulnérabilité.
    Lors de la tentative de correspondance, la première étape consiste à rechercher une correspondance exacte entre la source, le source_instance et l’ID du fournisseur. Ensuite, les règles de recherche sont exécutées dans l’ordre, de la plus basse à la plus élevée, et s’arrêtent lorsqu’une règle renvoie un seul CI comme correspondance. Si une règle est créée de telle sorte qu’elle renvoie plusieurs CI, seule la première correspondance est utilisée.
    Remarque :
    Pour éviter toute correspondance sur des éléments de réseau de bas niveau, si un CI correspondant est l’un des dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nic ou cmdb_ci_ip_address, le CI parent est renvoyé.

    Une propriété système permettant d’exclure les classes CI est disponible. Cette propriété n’est pas disponible avec la mise à niveau. Consultez la section Ignorer les classes CI pour obtenir des informations sur la mise à niveau et des instructions sur la définition de la propriété.

    Pour faciliter la recherche de problèmes correspondants, lorsqu’une correspondance est trouvée, la règle de recherche de CI utilisée pour la trouver est ajoutée à l’enregistrement d’élément détecté dans le champ Règle de correspondance de CI . Les règles de recherche sont évaluées en fonction de la valeur d’ordre la plus basse en premier.

    Ces Qualys règles de recherche de CI sont fournies avec le système de base.
    • ID D’HÔTE QUALYS
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Ces Rapid7 règles de recherche de CI sont fournies avec le système de base.
    • MacAddress
    • FQDN
    • Nom d'hôte
    • IP
    Ces règles de recherche de CI Tenable.io sont fournies avec le système de base.
    • FQDN
    • NETBIOS
    • NOM D'HÔTE
    • MacAddress
    • DNS
    Ces règles de recherche de CI Tenable.sc sont fournies avec le système de base.
    • MacAddress
    • FQDN
    • NETBIOS
    Remarque :
    Les règles, une fois supprimées, ne peuvent pas être récupérées. Plutôt que de supprimer les règles existantes, désactivez-les lorsque vous en créez de nouvelles.

    L’importation de données de vulnérabilité peut être éprouvante pour une instance et des problèmes de performances avec les ressources peuvent survenir si les règles ne sont pas soigneusement construites. La logique utilisée pour itérer et effectuer une correspondance au sein de peut CMDB entraîner de longs délais de traitement. Pour éviter toute dégradation potentielle des ressources ou toute complication des performances, testez les règles de recherche de CI écrites sur mesure ou les modifications apportées aux règles de recherche de CI prédéfinies. Pour plus d’informations sur la prévention des enregistrements orphelins en double, la suppression des données et le nettoyage des données, consultez la rubrique Étapes pour empêcher les enregistrements en double ou orphelins après l’exécution de Réponse aux vulnérabilités règles de recherche de CI .

    Remarque :
    Pour plus d’informations sur la correspondance des CI, reportez-vous à la section KB0998706.

    Réapplication des règles de recherche de CI mises à jour

    Lorsque vous modifiez une règle de recherche de CI, cliquez sur Appliquer les changements sur la page de liste Règles de recherche de CI pour réexécuter toutes les règles sur les éléments détectés qui :
    • Ont été appariés par les règles mises à jour
    • Ne sont assortis à aucune règle
    Si l’élément de configuration (CI) change après la réapplication des règles de recherche, les éléments détectés sont mis à jour avec le nouveau CI. Les détections impactées et les éléments vulnérables sont également mis à jour. Pour plus d’informations, reportez-vous à la section Réappliquer des règles de recherche de CI sur les éléments détectés sélectionnés.