CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Schwachstellenintegrationen von Drittparteien

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Wenn Daten aus einer Drittanbieterintegration importiert werden, verwendet Vulnerability Response automatisch Hostdaten, um nach Übereinstimmungen in Configuration Management Database (CMDB)zu suchen. Dies geschieht mithilfe von CI-Suchregeln. Diese Regeln werden verwendet, um Configuration Items (CIs) zu identifizieren und dem Datensatz des angreifbaren Elements hinzuzufügen, um die Korrektur zu unterstützen.

    Navigieren Sie ab Version 19.0 zu Security Operations > CMDB > Suchregeln um die Liste in Ihrer Instanz zu finden.

    Beim Importieren von Assets wird zuerst eine Suche in der Liste „ Erkannte Elemente “ anhand von Drittpartei-IDs durchgeführt, um Übereinstimmungen mit Configuration Items (CIs) aus vorherigen Importen zu finden. Wenn eine Übereinstimmung mit der Host-ID gefunden wird, wird diese als Feld Configuration item (Konfigurationselement) im Datensatz des angreifbaren Elements verwendet.

    Sie können sehen, wie importierte Assets mithilfe der Liste Erkannte Elemente CIs zugeordnet werden. Wenn keine Übereinstimmung gefunden wird oder das Feld „Host-ID“ leer ist, verwenden die Regeln die Informationen des anderen Hosts, um zu versuchen, das CI korrekt zu identifizieren. Wenn immer noch keine Übereinstimmung gefunden wird, wird ein Platzhalter-CI erstellt und als nicht abgeglichenes CIgekennzeichnet. Weitere Informationen zum Umgang mit diesen CIs finden Sie unter Nicht abgeglichene CIs.

    CI-Suchregeln können domänengetrennt sein und sind quellenspezifisch. Jede Quelle kann mehrere Bereitstellungen haben.
    Hinweis:
    CI-Suchregeln werden von allen Bereitstellungen der Schwachstellenquellenintegration gemeinsam genutzt. Wenn eine Regel gelöscht oder geändert wird, wirken sich die Löschung oder Änderungen auf alle Bereitstellungen der Schwachstellenintegration aus.
    Wenn versucht wird, eine Übereinstimmung zu finden, besteht der erste Schritt in der Lieferanten-ID-Suche nach einer genauen Übereinstimmung zwischen Quelle, Quellinstanz und Lieferanten-ID. Dann werden Suchregeln der Reihe nach von der niedrigsten zur höchsten ausgeführt und angehalten, wenn eine Regel nur ein einziges CI als Übereinstimmung zurückgibt. Wenn eine Regel so erstellt wird, dass mehr als ein CI zurückgegeben wird, wird nur die erste Übereinstimmung verwendet.
    Hinweis:
    Um einen Abgleich mit Netzwerkelementen auf niedriger Ebene zu vermeiden, wenn es sich bei einem übereinstimmenden CI um eines der folgenden Elemente handelt: dscy_Switchport, cmdb_ci_network_adapter, cmdb_ci_nicoder cmdb_ci_ip_address, wird das übergeordnete CI zurückgegeben.

    Eine Systemeigenschaft zum Ausschließen von CI-Klassen ist verfügbar. Diese Eigenschaft ist mit einem Upgrade nicht verfügbar. Upgrade-Informationen und Anweisungen zum Festlegen der Eigenschaft finden Sie unter CI-Klassen ignorieren.

    Um das Auffinden von Übereinstimmungsproblemen zu erleichtern, wird bei einer Übereinstimmung die CI-Suchregel, mit der sie gefunden wird, dem Datensatz „Erkanntes Element“ im Feld „ CI -Übereinstimmungsregel“ hinzugefügt. Suchregeln werden zuerst anhand des niedrigsten Reihenfolgewerts ausgewertet.

    Diese Qualys CI-Suchregeln sind im Lieferumfang des Basissystems enthalten.
    • QUALYS-HOST-ID
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Diese Rapid7 CI-Suchregeln sind im Lieferumfang des Basissystems enthalten.
    • MAC-Adresse
    • FQDN
    • HostName
    • IP
    Diese Tenable.io-CI-Suchregeln sind im Lieferumfang des Basissystems enthalten.
    • FQDN
    • NETBIOS
    • HOSTNAME
    • MAC-Adresse
    • DNS
    Diese Tenable.sc-CI-Suchregeln sind im Lieferumfang des Basissystems enthalten.
    • MAC-Adresse
    • FQDN
    • NETBIOS
    Hinweis:
    Einmal entfernte Regeln können nicht wiederhergestellt werden. Anstatt vorhandene Regeln zu entfernen, deaktivieren Sie sie beim Erstellen neuer Regeln.

    Das Importieren von Schwachstellendaten kann eine Instanz belasten, und Leistungsprobleme mit Ressourcen können auftreten, wenn Regeln nicht sorgfältig erstellt werden. Die Logik, die zum Iterieren und Abgleichen von CMDB verwendet wird, kann zu langen Verarbeitungszeiten führen. Um eine potenzielle Verschlechterung der Ressourcen oder Leistungskomplikationen zu vermeiden, testen Sie alle anwenderdefinierten CI-Suchregeln oder Änderungen an vordefinierten CI-Suchregeln. Unter Schritte zum Verhindern von doppelten oder verwaisten Datensätzen nach dem Ausführen von Vulnerability Response CI-Suchregeln finden Sie weitere Informationen zum Verhindern des Duplikats von verwaisten Elementen, zum Löschen von Daten und zum Bereinigen von Daten.

    Hinweis:
    Informationen zum CI-Abgleich finden Sie unter KB0998706.

    Aktualisierte CI-Suchregeln werden erneut angewendet

    Wenn Sie eine CI-Suchregel ändern, klicken Sie auf der Listenseite „CI-Suchregeln“ auf Änderungen anwenden, um alle Regeln für die erkannten Elemente erneut auszuführen, die:
    • Wurden mit den aktualisierten Regeln abgeglichen
    • Werden von keiner Regel abgeglichen
    Wenn sich das Configuration Item (CI) nach dem erneuten Anwenden der Suchregeln ändert, werden die erkannten Elemente mit dem neuen CI aktualisiert. Die betroffenen Erkennungen und angreifbaren Elemente werden ebenfalls aktualisiert. Weitere Informationen finden Sie unter CI-Suchregeln erneut auf ausgewählte erkannte Elemente anwenden.