Suchregeln werden konfiguriert

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 5 Minuten Lesedauer

    • Durch Konfigurieren von Suchregeln können Sie Sicherheitsrisikodaten den richtigen Konfigurationselementen (CIs) in zuordnen CMDB. Diese Zuordnung ist eine kritische Funktion, da die Zuordnung von Risikoergebnissen zu den richtigen Assets für richtige Workflows für Risikobewertung, Zuweisung und Korrektur von Bedeutung ist.

    Suche erstellen Regel

    Erstellen Sie Suchregeln, um eingehende Risikoergebnisdaten automatisch und genau den richtigen Konfigurationselementen (CIs) in zuzuordnen Configuration Management Database (CMDB) Dies ist wichtig, damit der Rest des Schwachstellenverwaltungsprozesses ordnungsgemäß funktioniert.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.Vulnerability_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das Erstellen von Suchregeln erfordert erweiterte Anforderungen ServiceNow Und Vereinheitlichtes Sicherheitsrisiko-Management (USEM) Fachwissen. Anstatt eines der vorhandenen zu ändern Suchen Regeln, erwägen Sie, sie zu kopieren und die Kopie zu ändern. Wenn Sie zufrieden sind, dass die neue Regel das gewünschte erfüllt, deaktivieren Sie die ursprüngliche.
    Hinweis:
    Regeln können nach dem Entfernen nicht wiederhergestellt werden. Anstatt vorhandene Regeln zu entfernen, deaktivieren Sie sie beim Erstellen neuer Regeln.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich Für Sicherheitsrisikomanagementan.
    2. Wählen Sie Aus Verwaltung Im Navigationsbereich.
    3. Wählen Sie Aus Überprüfen Auf Suchregeln Kachel.
    4. Wählen Sie auf der Seite Regeln die Option aus Suchen Im Navigationsbereich.
    5. Wählen Sie Neu.
    6. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Suchregelformular
      Feld Beschreibung
      Details
      Name Name der Regel.
      Suchmethode Für den Abgleich verwendete Methode. Die Auswahlmöglichkeiten lauten wie folgt:
      • Skript : Vorgefertigtes Skript (IP-Adresse, DNS-Name usw.) oder anwenderdefiniertes Skript.
      • Feldübereinstimmung : Suche nach Tabelle oder Feld in der CMDB.
      Typ Typ, der mit dem Skript verwendet wird Suchmethode .
      Reihenfolge Rangfolge für die Regel. Regeln Mit der niedrigsten Reihenfolge werden zuerst ausgewertet.
      Aktiv Kontrollkästchen, um anzugeben, ob die Regel aktiv oder deaktiviert ist.
      Quelle Quelle, die als Eingabe für diese Regel verwendet wird.
      Quellenfeld Quellfeld, das als Eingabe für diese Regel verwendet wird. Wählen Sie ein beliebiges Feld aus, es wird jedoch als behandelt Zeichenfolgenwert.
      Beschreibung Beschreibung der neuen Suchregel.
      Suchziel Suchansatz, dem Sie folgen möchten. Auswählen aus:
      • Konfigurationselement
      • Produktmodell
      Wenn die Bedingung erfüllt ist
      Bedingung Bedingung, auf der die Suchregel angewendet wird. Diese Bedingung hängt vom Attribut des Drittanbieterscanners ab.
      Hinweis:
      Das Asset-Attribut ist Teil der Nutzlast. Sie wird vom Scanner der Drittpartei empfangen. Nutzlastbeispiele finden Sie in der Tabelle „erkannte Elemente“.
      Dann legen Sie diesen Wert fest
      Suchmethode Für den Abgleich verwendete Methode. Die Auswahlmöglichkeiten lauten wie folgt:
      • Skript: Vorgefertigtes Skript (IP-Adresse, DNS-Name usw.) oder anwenderdefiniertes Skript.
      • Feldübereinstimmung: Suche nach Tabelle oder Feld in der CMDB.
      CI-Tabelle durchsuchen Tabelle, die in der CMDB gesucht werden soll. Wird mit Feldübereinstimmung verwendet Suchmethode .
      Suchen Sie in der Produkttabelle Wenn Sie das Suchziel „Produktmodell“ auswählen, ist der Standardwert „Anwendungsmodell“.
      CI-Feld durchsuchen Feld, das Informationen enthält, die zum Suchen eines CI verwendet werden können. Wird mit der Feldübereinstimmung verwendet Suchmethode . Dieses Feld kann sich im CI-Datensatz oder in einem zugehörigen Datensatz wie einem Netzwerkadapter befinden.
      Produktmodell-Feld durchsuchen Wenn Sie das Suchziel „Produktmodell“ auswählen, ist der Standardwert Name.
      Typ Typ, der mit der Skriptsuchmethode verwendet wird.
      Skript Bearbeitbares Beispielskript, basierend auf Typ , Wird angezeigt. Implementieren Sie das anwenderdefinierte Skript gemäß den Kommentaren, die in der Vorlage der Standardfunktion enthalten sind.
      Hinweis:

      Die Prozessfunktion hat drei Parameter: rule, sourceValue, Und sourcePayload
    7. Wählen Sie Speichern.

      Weitere Implementierungsinformationen für Suchregeln finden Sie unter Schritte zur Verhinderung doppelter oder verwaister Datensätze nach der Ausführung Vulnerability Response CI-Suchregeln.

      Abbildung : 1. Beispiel für eine CI-Suchregel mit einem Bedingungsgenerator für V12.0
      CI-Suchregel mit einem Bedingungsgenerator für Version 12.0.
      Abbildung : 2. Beispiel für eine CI-Suchregel mit einem Skript Vor V12.0
      CI-Suchregel mithilfe eines Skripts

    CI-Klassen ignorieren

    Um einige Konfigurationselementklassen (CI) zu ignorieren, z. B. Lastenausgleichsmodul [cmdb_ci_lb], legen Sie beim Ausführen von Suchregeln fest IgnorierCIClass [ sn_sec_cmn.ignoreCIClass] Systemeigenschaft.

    Vorbereitungen

    Erforderliche Rolle: Administrator
    Hinweis:

    Die IgnorierCIClass Systemeigenschaft Ist ab verfügbar Vulnerability Response V9.0. Die Eigenschaftsfunktionalität ist jedoch nach einem Upgrade von einer vorherigen Version nicht verfügbar.

    Wenn Sie von einem aktualisiert haben Security Operations Anwendung, vor Version 9,0, siehe KB0788209 Für Anweisungen zum Aktivieren dieser Funktionalität.

    Prozedur

    1. Eingabetaste sys_properties.list In der linken Navigationsleiste.
    2. Klicken Sie Auf Eingabetaste .
    3. In Suchen Menü, unter Name Eingabetaste sn_sec_cmn.ignoreCIKlasse .
    4. In Wert Textfeld: Geben Sie die auszuschließenden CI-Klassen in einer kommagetrennten Liste ein.
      Beispiel für Systemeigenschaft „ignoreCI-Klasse“.
    5. Klicken Sie auf Aktualisieren.
      Diese Liste wird während des nächsten Imports von CI-Suchregeln verwendet. Angreifbare Elemente, die während des Imports erstellt wurden, sind keinem CI eines Typs zugeordnet, der in aufgeführt ist Wert Feld von sn_sec_cmn.ignoreCIKlasse Systemeigenschaft.

    Wenden Sie Suchregeln erneut an

    Wenden Sie Suchregeln erneut an, um sicherzustellen, dass aktualisierte oder vorhandene Regeln auf relevante Elemente angewendet werden. Dies trägt dazu bei, eine genaue Datenzuordnung und Konsistenz nach Regeländerungen oder -Hinzufügungen zu gewährleisten.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.Vulnerability_admin, sn_vul_cmn.usem_admin, sn_vul.app_sec_manager, sn_vul_Container.admin, sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das erneute Anwenden von Suchregeln ist nützlich, wenn:
    • Suchregeln werden aktualisiert oder neu erstellt.
    • Ergebnisse wurden zuvor nicht zugewiesen oder falsch zugewiesen.
    • Sie müssen das Eigentum basierend auf der aktualisierten Geschäftslogik oder CI-Besitzänderungen neu zuweisen.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Arbeitsbereich Für Sicherheitsrisikomanagementan.
    2. Wählen Sie Aus Verwaltung Im Navigationsbereich.
    3. Wählen Sie Aus Überprüfen Auf Suchregeln Kachel.
    4. Wählen Sie auf der Seite Regeln die Option aus Suchregeln In der Navigation.
    5. Wählen Sie Aus Erneut Anwenden .
      Hinweis:
      Alle Regeln werden unabhängig von Filtern erneut angewendet.

    Wenden Sie Suchregeln erneut auf ausgewählte erkannte Elemente an

    Wenden Sie die Suchregeln erneut auf ausgewählte erkannte Elemente aus den Auswahlaktionen der erkannten Elementlistenansicht an. Wenn sich das Konfigurationselement (CI) ändert, nachdem Sie die Regeln erneut anwenden, werden die erkannten Elemente mit dem neuen CI und den betroffenen Erkennungen aktualisiert. Angreifbare Elemente werden ebenfalls aktualisiert.

    Vorbereitungen

    Erforderliche Rollen: administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Weitere Informationen finden Sie unter CI-Changes für erkannte Elemente.

    Für weitere Informationen zu den Konzepten des CI-Abgleichs und zu CMDB, Erkannte Elementsuche, regelbasierte Identifizierung, siehe CI-Übereinstimmung im artikel „Schwachstellenantwort“ [KB0998706] In der HI-Knowledge Base.

    Prozedur

    1. Navigieren zu Alle > Sicherheitsvorgänge > CMDB > Erkannte Elementean.
    2. Wählen Sie die erforderlichen erkannten Elemente aus, und wählen Sie aus Aktion für ausgewählte Zeilen .
      Wenden Sie CI-Suchregeln erneut auf erkannte Elemente an.
    3. Wählen Sie in der Liste aus Wenden Sie die CI-Suchregeln erneut an .
      Hinweis:
      Sie können die erneute Anwendung von Suchregeln auf erkannte Elemente mit dem Substatus „CI außer Betrieb genommen“ überspringen, indem Sie die Systemeigenschaft aktivieren sn_sec_cmn.skipItemsWithCIDecommissioned.

      Die Regeln werden erneut auf diese erkannten Elemente angewendet.

    4. Wählen Sie Aus Status anzeigen In der Nachricht.

      Der Status wird im Hintergrundauftragsformular angezeigt.

      Hinweis:
      In Notizen Feld, die Erkannte Elemente konnten aufgrund einer Ausnahme nicht verarbeitet werden Attribut mit einem Wert ungleich Null gibt an, dass beim erneuten Anwenden einer Suchregel ein Fehler oder eine Ausnahme aufgetreten ist. Weitere Details finden Sie in den Systemprotokollen.
    5. „Erneut anwenden“ gilt nur für Elemente, die innerhalb der letzten 90 Tage gescannt wurden, basierend auf Last_Scan_date, Last_comp_Scan_date, non_infra_Last_Scan_date, non_infra_Last_comp_Scan_date Spalte.

      Systemeigenschaft „ci_lifecycle_status_source“ (Umfang = sn_sec_cmn) zum Konfigurieren von CI-Lebenszyklusstatusspalten hinzugefügt (z. B. Installationsstatus, Betriebsstatus). Sie können zusätzliche Spalten für die Stilllegung von CIs konfigurieren.

      Spalten werden der Listenansicht des Hintergrundauftrags hinzugefügt:
      • Verstrichene Zeit (ms): Die Zeit, die für die Verarbeitung des Hintergrundauftrags erforderlich ist.
      • Verarbeitete Elemente: Die Anzahl der bis jetzt verarbeiteten Elemente.
      • Gesamtzahl der zu verarbeitenden Elemente: Die Gesamtzahl der noch zu verarbeitenden Elemente.
      • Zeit bis Abschluss (ms): Die verbleibende Zeit bis zur Verarbeitung des Hintergrundauftrags. Diese Spalten bieten Einblick in den Auftragsfortschritt. Diese Spalten sind für jede Formularansicht verfügbar, die Sie je nach Anforderung hinzufügen können.