Exemplos para Conformidade de configurações cálculo da pontuação de risco

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 10 min. de leitura

    • A partir da v13.0 de Conformidade de configurações, você pode personalizar os critérios da regra de risco padrão. Use pontuações de risco fornecidas por fornecedores terceirizados, como Qualys e Tenable, para cálculos de pontuação de risco.

    Fornecedores terceirizados, como Qualys e Tenable, fornecem suas próprias pontuações. Essas pontuações são preenchidas no campo Criticalidade na tabela sn_vulc_test. Use este campo para cálculos de pontuação de risco. Para usar esta pontuação para calcular a pontuação de risco, siga o procedimento:

    Adicione criticidade de origem como um critério para uma regra de risco

    Use pontuações com base na criticidade fornecida por fornecedores terceirizados para calcular pontuações de risco.

    Antes de Iniciar

    Função necessária: sn_vulc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Fornecedores terceirizados, como Qualys e Tenable, fornecem suas próprias pontuações de risco. Essas pontuações são preenchidas no campo Criticalidade na tabela sn_vulc_test. Use este campo para cálculos de pontuação de risco e calcular a pontuação de risco.

    Procedimento

    1. Navegar até Tudo > Conformidade de configurações > Administração > Calculadoras de risco.
    2. Navegue até o formulário Regra de risco.
    3. Limpe Ativo caixa de seleção para desativar a regra.
    4. Clique em Adicionar critérios .
    5. Em Escolha a tabela de referência , selecione Resultado do teste .
    6. Em Campo , selecione Teste.Criticalidade .
    7. Em Peso especifique a importância relativa deste campo.
      O valor deve ser um número inteiro de 0 a 100.
    8. Em Defina pesos de valor , adicione valores de campo e atribua uma porcentagem de ponderação aos campos.
      Criticalidade da origem para cálculo de risco
    9. Clique em Enviar.

    Adicione criticidade de negócios como um critério para uma regra de risco

    Especifique um valor de criticidade para os serviços de negócio e use a criticidade de negócios para calcular as pontuações de risco.

    Antes de Iniciar

    Função necessária: sn_vulc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Supondo que sua organização tenha muitos serviços de negócios e um item de configuração (IC) esteja sendo usado pelos seguintes serviços:
    Tabela 1. Criticidade dos serviços de negócio
    Serviço de negócios Criticidade

    Gestão de nuvem

    1 - Mais crítico

    E-commerce

    2 - Um pouco crítico

    Serviços ao cliente

    3 - Menos crítico

    Viagem e despesa

    4 - Não crítico
    O mapeamento entre o IC e os serviços é armazenado na tabela Serviços [cmdb_ci_services]. Quando um IC não passa em um Teste de Configuração, um Resultado de Teste (TR) é criado. Você pode usar o valor da criticidade comercial dos serviços afetados para calcular a pontuação de risco para este TR. Siga o procedimento para usar o valor de criticidade desses serviços para calcular a pontuação de risco.

    Procedimento

    1. Navegar até Tudo > Conformidade de configurações > Administração > Calculadoras de risco.
    2. Navegue até o formulário Regra de risco no Regras da calculadora seção.
    3. Limpe Ativo caixa de seleção para desativar a regra.
    4. Clique em Adicionar critérios .
    5. Em Escolha a tabela de referência , selecione Tabela de referência do item de configuração .
    6. Em Tabela , selecione Serviço [cmdb_ci_service] .
    7. Em Campo , selecione Criticidade dos negócios .
    8. Em Agregação campo, selecione Mínimo Para recuperar o serviço mais crítico para este caso de uso (1- valor mais crítico) ou Máximo Recuperar o serviço menos crítico para este caso de uso (4 – valor não crítico).
    9. Em Peso especifique a importância relativa deste campo.
      O valor deve ser um número inteiro de 0 a 100.
    10. Em Defina pesos de valor adicione valores de campo e atribua ponderações.
      Figura 1. Ponderação da regra de risco de criticalidade comercial personalizada
      Ponderação da regra de risco de criticalidade comercial personalizada
    11. Clique em Enviar.

    Adicione critério condicional à calculadora de risco

    Use condições personalizadas para a regra de risco para cálculo de pontuação de risco.

    Antes de Iniciar

    Função necessária: sn_vulc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Supondo que sua organização tenha vários itens de configuração (ICs), dos quais apenas alguns podem ser acessados por um usuário externo. Os usuários podem adicionar pesos de pontuação de risco para esses ICs externos.
    Nota:
    Você pode identificar esses ICs pelo nome deles. Os nomes começam com "external".

    Procedimento

    1. Navegar até Tudo > Conformidade de configurações > Administração > Calculadoras de risco.
    2. Navegue até o formulário Regra de risco.
    3. Limpe Ativo caixa de seleção para desativar a regra.
    4. Clique em Adicionar critérios .
    5. Em Escolha a tabela de referência , selecione Condições personalizadas .
    6. Em Tabela de condições , selecione Item de configuração .
    7. Em Nome do campo campo, insira Exposição de IC .
    8. Em Peso especifique a importância relativa deste campo.
      O valor deve ser um número inteiro de 0 a 100.
    9. Em Condição campo, selecione Nome > Começa com especifique o valor como externo .
      Figura 2. Condições personalizadas para a nova regra de risco
      Condições personalizadas para a nova regra de risco
    10. Clique em Enviar.

    Exemplo de cálculo de pontuação de risco para Conformidade de configurações

    Determine as calculadoras de pontuação de risco para gerar pontuações de risco que usam os dados de teste e ativos específicos da sua organização.

    Exemplo de determinação de pontuações de calculadoras de regra de risco

    O exemplo a seguir demonstra como as pontuações das calculadoras de regra de risco são determinadas. Suponha que uma calculadora de regra de risco esteja configurada com os campos nesta tabela.
    Tabela 2. Determine as pontuações da calculadora de regra de risco
    Campo Ponderação Detalhamento de peso
    Criticalidade 50

    Padrão: 0

    Secundário: 20

    Baixo: 30

    Moderado: 50

    Alto: 70

    Crítico: 100
    Business_Criticality 50

    Padrão: 0

    Secundário: 20

    Baixo: 30

    Moderado: 50

    Altura: 70

    Crítico: 100
    Suponha que os Resultados de teste mostrados nesta tabela estejam presentes no sistema.
    Tabela 3. Mapeamento de resultados de teste
    ID Criticalidade dos negócios Criticidade do controle
    CTR0000001 1 – Mais crítico Secundário
    CTR0000002 1 – Mais crítico Baixo(a)
    CTR0000003 2 – Um pouco crítico Secundário
    CTR0000004 2 – Um pouco crítico Moderado
    CTR0000005 3 – Menos crítico Baixo(a)
    O cálculo da pontuação de risco para o resultado do teste é calculado com base na fórmula:

    Pontuação de risco: (W(control.criticality) * FV (control.criticality). W(business_criticality) * FV(business_criticality)) / 100, em que W é o peso e FV é a porcentagem de peso do valor do campo.

    A pontuação de risco resultante para esses resultados de teste é conforme descrito nesta tabela:
    Tabela 4. Pontuação de risco baseada nos resultados do teste
    ID Criticidade dos negócios (50%) Criticalidade do controle (50%) Pontuação de risco resultante
    CTR0000001 1 – Mais crítico (50% x100) Secundário (50% x 20) 60
    CTR0000002 1 – Mais crítico (50% x100) Baixo (50% x 30) 65
    CTR0000003 2 – Um pouco crítico (50% x 70) Secundário (50% x 30) 45
    CTR0000004 2 – Um pouco crítico (50% x 70) Moderado (50% x 50) 60
    CTR0000005 3 – menos crítico (50% x 50) Baixo (50% x 30) 40
    Se a porcentagem de ponderação for alterada para um dos valores de campo, consulte esta tabela para obter os resultados:
    Tabela 5. Resultados da porcentagem de ponderação alterada
    Campo Ponderação Detalhamento de peso
    Criticalidade 50

    Padrão: 0

    Secundário: 20

    Baixo: 30

    Moderado: 60

    Altura: 70

    Crítico: 100
    Business_Criticality 50

    Padrão: 50

    1 – Mais crítico: 100

    2 – Um pouco crítico: 70

    3 – Menos crítico: 20

    4 – Não Crítico: 30
    A pontuação de risco dos resultados do teste após a reaplicação da calculadora é mostrada nesta tabela:
    Tabela 6. Pontuação de risco para TR ao reaplicar a calculadora
    ID Criticidade dos negócios (50%) Criticalidade do controle (50%) Pontuação de risco resultante
    CTR0000001 1 – Mais crítico (50% x100) Secundário (50% x 20) 60
    CTR0000002 1 – Mais crítico (50% x100) Baixo (50% x 30) 65
    CTR0000003 2 – Um pouco crítico (50% x 70) Secundário (50% x 30) 45
    CTR0000004 2 – Um pouco crítico (50% x 70) Moderado (50% x 60)

    Valor revisado

    		 65

    Valor revisado
    CTR0000005

    3 – menos crítico (50% x 20)

    Valor revisado

    		 Baixo (50% x 30) 25

    Valor revisado

    Exemplo de cálculo de acúmulo de risco para Conformidade de configurações(anterior à v15.0)

    O exemplo a seguir demonstra como as pontuações das calculadoras de acúmulo de risco são determinadas.

    Para a seguinte calculadora de acúmulo de tarefa de correção, a fórmula para calcular a Pontuação de risco da tarefa de correção é:

    (Pontuação de risco máximo/100) * 85 ou mais (fator * 15).

    O fator na equação anterior é determinado pelo número de resultados de teste, conforme mostrado na tabela a seguir.
    Contagem de Resultado de testes Fator
    Menos de 10 0,2
    10-99 0,4
    100-1000 0,6
    1001-9999 0,8
    > 10000 1
    Para a tarefa de correção a seguir, TRG0003066, com três pontuações de risco de resultados de teste, a pontuação máxima é 90.
    Número Pontuação de risco Tarefa de correção Resultado Status
    CTR000123 90 TRG0003066 Reprovado Aberto
    CTR000124 70 TRG0003066 Reprovado Aberto
    CTR000125 40 TRG0003066 Reprovado Aberto

    Para a tarefa de correção, TRG0003066:

    A pontuação de risco é 79, (90/100) * 85 * 0,2 * 15: Math.floor (76,5 -3) 79.

    A pontuação de risco histórica é nula, porque a Tarefa de Correção ainda está "Aberto".

    Após a ingestão de dados, os resultados do teste são "Passados" e a tarefa de correção muda para "Encerrado", conforme mostrado na tabela a seguir.

    Número Pontuação de risco (anterior a v15.0) Tarefa de correção Resultado Status
    CTR000123 0 TRG0003066 Aprovado Encerrado
    CTR000124 0 TRG0003066 Aprovado Encerrado
    CTR000125 0 TRG0003066 Aprovado Encerrado

    O Histórico de resultados do teste é exibido na tabela a seguir.

    Número Pontuação de risco Último resultado Resultado
    CTRH000111 90 CTR000123 Reprovado
    CTRH000112 70 CTR000124 Reprovado
    CTRH000113 40 CTR000125 Reprovado

    A Pontuação de risco é zero, porque não há resultados de teste ativos na Tarefa de correção.

    Para a tarefa de correção, TRG0003066:

    A pontuação de risco histórico é 79: (90/100) * 85 * 0,2 * 15: Math.floor (76,5 -3) 79.

    Exemplo de cálculo de acúmulo de risco para Conformidade de configurações(v15.0 e posterior)

    O exemplo a seguir demonstra como as pontuações das calculadoras de acúmulo de risco são determinadas.

    Para a seguinte calculadora de acúmulo de tarefa de correção, a fórmula para calcular a Pontuação de risco da tarefa de correção é:

    (Pontuação de risco máxima* 80/100) Mais (Pontuação de risco média* 5/100) Mais (fator * 15)

    Em que, os pesos são os seguintes:

    • Pontuação máxima de risco: 80
    • Pontuação média de risco: 5
    • Fator: 15

    O peso padrão da pontuação de risco média é 0. Para obter mais informações sobre como definir os pesos, consulte Editar calculadoras de acúmulo de risco para Conformidade de configurações.

    O fator na equação anterior é determinado pelo número de resultados de teste, conforme mostrado na tabela a seguir.
    Contagem de Resultado de testes Fator
    Menos de 10 0,2
    10-99 0,4
    100-1000 0,6
    1001-9999 0,8
    > 10000 1
    Para a tarefa de correção a seguir, TRG0003066, com três pontuações de risco de resultados de teste, a pontuação de risco máxima é 90 e a pontuação de risco média é 66,67.
    Número Pontuação de risco Tarefa de correção Resultado Status
    CTR000123 90 TRG0003066 Reprovado Aberto
    CTR000124 70 TRG0003066 Reprovado Aberto
    CTR000125 40 TRG0003066 Reprovado Aberto

    Para a tarefa de correção, TRG0003066:

    A pontuação de risco é 81, (90* 80/100) (66,67* 5/100) (0,2 * 15) Math.floor (78,3 3) é 81.

    A pontuação de risco histórica é nula, porque a tarefa de correção ainda está "aberta".

    Após a ingestão de dados, os resultados do teste são "Passados" e a tarefa de correção muda para "Encerrado", conforme mostrado na tabela a seguir. A partir da v15.0 de Conformidade de configurações, A Pontuação de risco de um resultado de teste aprovado é preenchida para determinar o risco mitigado.

    Número Pontuação de risco Tarefa de correção Resultado Status
    CTR000123 90 TRG0003066 Aprovado Encerrado
    CTR000124 70 TRG0003066 Aprovado Encerrado
    CTR000125 40 TRG0003066 Aprovado Encerrado

    O Histórico de resultados do teste é exibido na tabela a seguir.

    Número Pontuação de risco Último resultado Resultado
    CTRH000111 90 CTR000123 Reprovado
    CTRH000112 70 CTR000124 Reprovado
    CTRH000113 40 CTR000125 Reprovado

    A pontuação de risco da tarefa de correção é zero, porque não há resultados de teste ativos na tarefa de correção.

    Para a tarefa de correção, TRG0003066:

    A Pontuação de Risco Histórico é 81: (90* 80/100) (66,67* 5/100) (0,2 * 15) Math.floor (78,3 3) 81.