CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Configuration Compliance Schwachstellenintegrationen von Drittparteien

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Wenn Daten aus einer Drittanbieterintegration importiert werden, verwendet Configuration Compliance automatisch Hostdaten, um nach Übereinstimmungen in Configuration Management Database (CMDB)zu suchen. Dies geschieht mithilfe von CI-Suchregeln. Diese Regeln werden verwendet, um Konfigurationselemente (CIs) zu identifizieren und dem Testergebnisdatensatz hinzuzufügen, um die Fehlerkorrektur zu unterstützen.

    Beim Importieren von Assets wird zuerst in der Liste „ Erkannte Elemente “ anhand von Drittpartei-IDs gesucht, um Übereinstimmungen mit Konfigurationselementen (CIs) aus vorherigen Importen zu finden. Wenn eine Übereinstimmung mit der Host-ID gefunden wird, wird sie als Feld Konfigurationselement im Testergebnisdatensatz verwendet.

    Sie können mithilfe der Liste „ Erkannte Elemente“ sehen, wie importierte Assets CIs zugeordnet werden. Wenn keine Übereinstimmung gefunden wird oder das Feld cmdb_ci leer ist, verwenden die Regeln die anderen Hostinformationen, um zu versuchen, das CI korrekt zu identifizieren. Wenn immer noch keine Übereinstimmung gefunden wird, wird ein Platzhalter-CI erstellt und als Nicht abgeglichenes CIgekennzeichnet. Weitere Informationen zum Umgang mit diesen CIs finden Sie unter Nicht abgeglichene CIs.

    Ein neues erkanntes Element wird erstellt und diesem CI zugeordnet.

    Hinweis:
    CI-Suchregeln sind nur für Qualys Integration for Security Operations verfügbar.
    CI-Suchregeln können domänengetrennt sein und sind quellenspezifisch. Jede Quelle kann mehrere Bereitstellungen haben. Qualys kann mehrere Bereitstellungen der Qualys-Integration haben. Jede Bereitstellung verfügt über eigene CI-Suchregeln.
    Hinweis:
    CI-Suchregeln werden von allen Bereitstellungen der Schwachstellenintegration gemeinsam genutzt. Wenn eine Regel gelöscht oder geändert wird, wirkt sich die Löschung oder Änderung auf alle Bereitstellungen der Schwachstellenintegration aus.
    Wenn Sie eine Übereinstimmung versuchen, ist der erste Schritt eine Lieferanten-ID-Suche nach einer genauen Übereinstimmung für Quelle, source_instance und Lieferanten-ID. Dann werden Suchregeln der Reihe nach ausgeführt, von der niedrigsten zur höchsten, und angehalten, wenn eine Regel nur ein einzelnes CI als Übereinstimmung zurückgibt. Wenn eine Regel so erstellt wird, dass sie mehr als ein CI zurückgibt, wird nur die erste Übereinstimmung verwendet.
    Hinweis:
    Um eine Übereinstimmung mit Low-Level-Netzwerkelementen zu vermeiden, wird das übergeordnete CI zurückgegeben, wenn ein übereinstimmendes CI dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nicoder cmdb_ci_ip_addressist.

    Eine Systemeigenschaft zum Ausschließen von CI-Klassen ist verfügbar. Diese Eigenschaft ist beim Upgrade nicht verfügbar. Informationen zum Upgrade und Anweisungen zum Festlegen der Eigenschaft finden Sie unter CI-Klassen ignorieren.

    Um die Suche nach Übereinstimmungsproblemen zu erleichtern, wird die CI-Suchregel, anhand derer eine Übereinstimmung gefunden wird, dem Datensatz „Erkanntes Element“ im Feld „ CI -Übereinstimmungsregel“ hinzugefügt. Suchregeln werden zuerst nach dem niedrigsten Wert für die Reihenfolge ausgewertet.

    Diese Qualys CI-Suchregeln werden mit dem Basissystem geliefert.
    • QUALYS-HOST-ID
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Diese Microsoft Defender CI-Suchregeln werden mit dem Basissystem geliefert.
    • S3-Bucket
    • Name
    • Ressourcen-ID
    Diese Palo Alto Prisma Cloud CI-Suchregeln werden mit dem Basissystem geliefert.
    • S3-Bucket
    • Name
    • Ressourcen-ID

    Das Importieren von Testergebnisdaten kann eine Instanz belasten, und Leistungsprobleme mit Ressourcen können auftreten, wenn Regeln nicht sorgfältig erstellt werden. Die Logik, die zum Iterieren und Abgleichen innerhalb von CMDB verwendet wird, kann zu langen Verarbeitungszeiten führen. Um eine potenzielle Verschlechterung der Ressourcen oder Leistungskomplikationen zu vermeiden, testen Sie benutzerdefinierte CI-Suchregeln oder Änderungen an vordefinierten CI-Suchregeln. Unter Schritte zum Verhindern doppelter oder verwaister Datensätze nach dem Ausführen von Vulnerability Response CI-Suchregeln finden Sie weitere Informationen zum Verhindern doppelter verwaister Datensätze, zum Löschen von Daten und zum Bereinigen von Daten.

    Aktualisierte CI-Suchregeln werden erneut angewendet

    Wenn Sie eine CI-Suchregel ändern, klicken Sie auf der Listenseite „CI-Suchregeln“ auf Änderungen übernehmen, um alle Regeln für die erkannten Elemente erneut auszuführen, die:
    • Wurden mit den aktualisierten Regeln abgeglichen
    • Keine Übereinstimmung mit einer Regel
    Wenn sich das Konfigurationselement (CI) nach der erneuten Anwendung der Suchregeln ändert, werden die erkannten Elemente mit dem neuen CI aktualisiert. Die Testergebnisse werden ebenfalls aktualisiert. Weitere Informationen finden Sie unter CI-Änderungen für erkannte Elemente für Configuration Compliance.