Configurando regras de pesquisa

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 6 min. de leitura

    • Ao configurar regras de pesquisa, você pode mapear dados de exposição de segurança para os itens de configuração (ICs) corretos no CMDB. Este mapeamento é uma função crítica porque associar descobertas de exposição aos ativos certos é essencial para fluxos de trabalho adequados de avaliação de risco, atribuição e correção.

    Criar pesquisa regra

    Crie regras de pesquisa para associar de forma automática e precisa os dados de descobertas de exposição recebidos aos itens de configuração (ICs) corretos no Configuration Management Database (CMDB) Isso é essencial para permitir que o restante do processo de gestão de vulnerabilidades funcione corretamente.

    Antes de Iniciar

    Função necessária: sn_vul.vulnerability_admin

    Por Que e Quando Desempenhar Esta Tarefa

    A criação de regras de pesquisa requer avançado ServiceNow e. Gestão unificada de exposição de segurança (USEM) experiência. Em vez de modificar um dos existentes pesquisa considere copiá-lo e modificar a cópia. Quando você estiver certo de que a nova regra faz o que você deseja, desative a original.
    Nota:
    As regras, depois de removidas, não podem ser recuperadas. Em vez de remover regras existentes, desative-as ao criar novas regras.

    Procedimento

    1. Navegar até Espaços > Espaço de Gestão de exposições de segurança.
    2. Selecione Administração no painel de navegação.
    3. Selecione Revisão em Regras de pesquisa lado a lado.
    4. Na página Regras, selecione Pesquisa no painel de navegação.
    5. Selecione Novo.
    6. No formulário, preencha os campos.
      Tabela 1. Formulário de regra de pesquisa
      Campo Descrição
      Detalhes
      Nome Nome da regra.
      Método de pesquisa Método usado para correspondência. As opções são:
      • Script : Script pré-criado (endereço IP, nome DNS e assim por diante) ou personalizado.
      • Correspondência de campo : Pesquisa na tabela ou campo no CMDB.
      Tipo Tipo usado com o script Método de pesquisa .
      Ordem Ordem de precedência da regra. Regras com a ordem mais baixa são avaliados primeiro.
      Ativo Caixa de seleção para saber se a regra está ativa ou desabilitada.
      Origem Origem usada como entrada para esta regra.
      Campo de origem Campo de origem usado como entrada para esta regra. Selecione qualquer campo, mas ele será tratado como um valor da cadeia de caracteres.
      Descrição Descrição da nova regra de pesquisa.
      Destino da pesquisa Abordagem de pesquisa que você deseja seguir. Selecione entre:
      • Item de configuração
      • Modelo do produto
      Se a condição for atendida
      Condição Condição baseada na qual a regra de pesquisa é aplicada. Esta condição depende do atributo do scanner de terceiros.
      Nota:
      O atributo do ativo faz parte da carga. Ele é recebido do scanner de terceiros. Consulte a tabela Itens descobertos para obter exemplos de carga.
      Em seguida, defina este valor
      Método de pesquisa Método usado para correspondência. As opções são:
      • Script: Pré-criado (endereço IP, nome DNS e assim por diante) ou script personalizado.
      • Correspondência de campo: Pesquisa na tabela ou campo no CMDB.
      Pesquisar na tabela de IC Tabela para pesquisar no CMDB. Usado com correspondência de campo Método de pesquisa .
      Pesquisa na tabela de produtos Se você escolher o destino Pesquisa de modelo de produto, o valor padrão será Modelo de aplicação.
      Pesquisar no campo de IC Campo que contém informações que podem ser usadas para localizar um IC. Usado com a correspondência de campo Método de pesquisa . Este campo pode estar no registro de IC ou em um registro relacionado, como um adaptador de rede.
      Pesquisa no campo do modelo de produto Se você escolher a meta de Pesquisa de modelo de produto, o valor padrão será Nome.
      Tipo Tipo usado com o método Pesquisa de script.
      Script Script de amostra editável, com base em Tipo , é mostrado. Implemente o script personalizado seguindo os comentários incluídos no modelo da função padrão.
      Nota:

      A função de processo tem três parâmetros: rule, sourceValuee. sourcePayload
    7. Selecione Save (Salvar).

      Para obter mais informações de implementação para regras de pesquisa, consulte, Etapas para ajudar a evitar registros duplicados ou órfãos após a execução Resposta a vulnerabilidades Regras de pesquisa de IC.

      Figura 1. Exemplo de uma regra de pesquisa de IC usando um construtor de condições para V12.0
      Regra de pesquisa de IC usando um construtor de condições para a versão 12,0.
      Figura 2. Exemplo de uma regra de pesquisa de IC usando um script Anterior à V12.0
      Regra de pesquisa de IC usando um script

    Ignorar classes de IC

    Para ignorar algumas classes de item de configuração (IC), por exemplo Balanceador de carga [cmdb_ci_lb], ao executar regras de pesquisa, defina IgnoreCIClass [ sn_sec_cmn.ignoreCIClass] propriedade do sistema.

    Antes de Iniciar

    Função necessária: administrador
    Nota:

    . IgnoreCIClass propriedade do sistema está disponível a partir de Resposta a vulnerabilidades v9.0. No entanto, a funcionalidade de propriedade não está disponível após o upgrade de qualquer versão anterior.

    Se você fez upgrade de qualquer Operações de segurança aplicação, anterior à versão 9,0, consulte KB0788209 para obter instruções sobre como habilitar esta funcionalidade.

    Procedimento

    1. Insira sys_properties.list na barra de navegação esquerda.
    2. Clique em Insira .
    3. Em Pesquisa menu, em Nome insira sn_sec_cmn.ignoreCIClass .
    4. Em Valor Insira as classes de IC a serem excluídas em uma lista separada por vírgulas.
      Exemplo de propriedade do sistema de classe ignoreCI.
    5. Clique em Atualizar.
      Esta lista é usada pelas regras de pesquisa de IC durante a próxima importação. Os itens vulneráveis criados durante a importação não estão associados a um IC de nenhum tipo listado em Valor campo do sn_sec_cmn.ignoreCIClass propriedade do sistema.

    Reaplique regras de pesquisa

    Reaplique as regras de pesquisa para garantir que as regras atualizadas ou existentes sejam aplicadas aos itens relevantes. Isso ajuda a manter o mapeamento de dados precisos e a consistência após mudanças ou adições de regra.

    Antes de Iniciar

    Função necessária: sn_vul.vulnerability_admin, sn_vul_cmn.usem_admin, sn_vul.app_sec_manager, sn_vul_container.admin, sn_vulc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Reaplicar regras de pesquisa é útil quando:
    • As regras de pesquisa foram atualizadas ou recém-criadas.
    • As descobertas não foram atribuídas anteriormente ou atribuídas incorretamente.
    • Você deve reatribuir a propriedade com base na lógica de negócios atualizada ou mudanças de propriedade de IC.

    Procedimento

    1. Navegar até Espaços > Espaço de Gestão de exposições de segurança.
    2. Selecione Administração no painel de navegação.
    3. Selecione Revisão em Regras de pesquisa lado a lado.
    4. Na página Regras, selecione Regras de pesquisa na navegação.
    5. Selecione Reaplicar .
      Nota:
      Todas as regras são reaplicadas, independentemente de quaisquer filtros.

    Reaplique regras de pesquisa nos itens descobertos selecionados

    Reaplique as regras de pesquisa nos itens descobertos selecionados nas ações de seleção da exibição da lista de itens descobertos. Se o item de configuração (IC) mudar após você reaplicar as regras, os itens descobertos serão atualizados com o novo IC e as detecções afetadas. Itens vulneráveis também são atualizados.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Para obter mais informações, consulte Mudanças de IC para itens descobertos.

    Para obter mais informações sobre os conceitos de correspondência de IC e CMDB, pesquisa de item descoberto, identificação baseada em regra, consulte Correspondência de IC no artigo Resposta a vulnerabilidades [KB0998706] Na Base de conhecimento de HI.

    Procedimento

    1. Navegar até Tudo > Operações de segurança > CMDB > Itens descobertos.
    2. Selecione os itens descobertos necessários e selecione Ação nas linhas selecionadas .
      Reaplique regras de pesquisa de IC em itens descobertos.
    3. Na lista, selecione Reaplique regras de pesquisa de IC .
      Nota:
      Você pode ignorar a reaplicação de regras de pesquisa em itens descobertos com o subestado "IC desativado" habilitando a propriedade do sistema sn_sec_cmn.skipItemsWithCIDecommissioned.

      As regras são reaplicadas nesses itens descobertos.

    4. Selecione Exibir status na mensagem.

      O status é exibido no formulário de trabalho em segundo plano.

      Nota:
      Em Anotações . Os itens descobertos não puderam ser processados devido à exceção o atributo com um valor diferente de zero indica que há um erro ou exceção ao reaplicar uma regra de pesquisa. Verifique os logs do sistema para obter mais detalhes.
    5. Reaplicar se aplica somente a itens verificados nos últimos 90 dias com base em last_scan_date, last_comp_scan_date, non_infra_last_scan_date, non_infra_last_comp_scan_date coluna.

      Propriedade do sistema ci_lifecycle_status_source adicionada para configurar colunas de status do ciclo de vida de IC (por exemplo, Status de instalação, Status operacional). Você pode configurar colunas adicionais para desativar ICs.

      As colunas são adicionadas à exibição da lista de trabalhos em segundo plano:
      • Tempo decorrido (ms): O tempo necessário para processar o trabalho em segundo plano.
      • Itens processados: O número de itens processados até o momento.
      • Total de itens a serem processados: O número total de itens restantes a serem processados.
      • Tempo até a conclusão (ms): O tempo restante até que o trabalho em segundo plano seja processado. Essas colunas fornecem visibilidade do andamento do trabalho. Essas colunas estão disponíveis para cada exibição de formulário para você adicionar de acordo com o requisito.