Vulnerability Response Übersicht über Zuweisungsregeln

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Definieren Sie die Kriterien, nach denen angreifbare Elemente (VITs) automatisch einer Zuweisungsgruppe zur Korrektur zugewiesen werden.

    Die Standardzuweisungsregel An CI-Supportgruppezuweisen ist im Basissystem enthalten, die der CI-Supportgruppe angreifbare Elemente zuweist. Die Regel „An CI zuweisen-Supportgruppe“ weist eine VIT der Supportgruppe zu, die für das Configuration Item (CI) festgelegt ist, das der VIT zugeordnet ist.
    Hinweis:
    Manuell erstellte Zuweisungen werden durch die Zuweisungsregeln nicht neu bewertet.

    Zuweisungstyp ( Manuell oder Regel ) ist im VIT-Formular und in der Listenansicht verfügbar. Jede VIT, die ursprünglich durch eine Regel zugewiesen wurde, anschließend manuell neu zugewiesen wurde, enthält einen Verweis auf die ursprüngliche Regel.

    Verwenden Sie Zuweisungsregel- und Zuweisungstypinformationen, um Fälle zu identifizieren, in denen die Zuweisungsregeln keine richtige Übereinstimmung für den beabsichtigten Empfänger gefunden haben. Sie können die Informationen auch verwenden, um zu ermitteln, welche Regeln die meisten Neuzuweisungen hatten.

    Die von Zuweisungsregeln festgelegten Zuweisungsgruppen werden von Korrekturaufgabenregeln verwendet, um Besitzer zu Korrekturaufgaben ( VULs ) zuzuweisen.
    Hinweis:
    Um Rapid7 InsightVM Asset-Tags für die Verwendung im Bedingungsfilter für Zuweisungsregeln verfügbar zu machen, müssen Sie die Rapid7 InsightVM Asset List-Integration vor den anderen Rapid7 InsightVM Integrationen ausführen.

    Die Berücksichtigung von Groß-/Kleinschreibung für den Suchtext, den Sie im Bedingungsgenerator eingeben, wird für diesen Datensatz oder dieses Formular nicht unterstützt.

    Angreifbare Elemente werden automatisch zugewiesen

    Es gibt drei verschiedene Möglichkeiten, angreifbare Elemente mit Zuweisen mitzuzuweisen:
    • Anwendergruppe : Mit dieser Option können Sie eine der vorhandenen Anwendergruppen Now Platform® auswählen.
    • Anwendergruppenfeld : Mit dieser Option können Sie ein beliebiges Zuweisungsgruppenfeld auswählen, das in der Tabelle cmdb_ci verfügbar ist. Standardmäßig werden die folgenden drei Gruppenfelder angezeigt:
      • Keine: Gibt an, dass für dieses Pflichtfeld kein Standardwert vorhanden ist
      • Konfigurationselement: Genehmigungsgruppe
      • Konfigurationselement: Zuweisungsgruppe
      • Konfigurationselement: Supportgruppe
    • Skript: Mit dieser Option können Sie die Bedingungen mithilfe eines Skripts definieren. Diese Option erfordert Kenntnisse in der Codierung oder fortgeschrittenen ServiceNow. Weitere Informationen zur Verwendung des Skript-Editors zum Definieren komplexer Bedingungen finden Sie im KB-Artikel KB0965240.

    Führen Sie zuerst Regeln mit hoher Priorität aus (Elemente, die eine besondere Behandlung erfordern, bei denen das Risiko kritisch ist oder bei denen ein VIT von der Compliance-Abteilung behandelt werden sollte). Führen Sie als Nächstes Ihre allgemeinen Regeln aus, für die keine spezielle Behandlung erforderlich ist und Sie wissen, wer dafür verantwortlich sein sollte. Erstellen Sie abschließend eine Standardregel zum Zuweisen von VITs an die Gruppe, die festlegt, zu welcher Zuweisungsgruppe sie gehören sollen. Diese Gruppe könnte eine weitere Regel hinzufügen, um ihre Entscheidungen abzudecken. Diese Standardregel wird zuletzt ausgeführt.

    Bewertungsprozess für Zuweisungsregeln

    Zuweisungsregeln werden verwendet, um eine VIT zu bewerten und zuzuweisen, wenn eine neue VIT geöffnet, also importiert, manuell erstellt oder erneut geöffnet wird. Sofern Sie Zuweisungsregeln nicht manuell erneut anwenden, nachdem sich der VIT oder sein Status geändert hat, wird ein VI einmal ausgewertet.

    Der folgende Prozess wird für jede neue, aktualisierte oder erneut geöffnete VIT verwendet:
    • Für jede Zuweisungsregel für Schwachstellen wird die VIT mit dem Zuweisungsfilter verglichen, wobei die Regel niedrigster Ordnung zuerst ist.
    • Wenn die Bedingung erfüllt ist, wird die VIT einer Zuweisungsgruppe zugewiesen. Die Suche wird beendet.
    • Wenn die Bedingungen keine Übereinstimmung mit allen anderen Regeln finden, wird die VIT der Standardzuweisungsgruppe zugewiesen, sofern eine Standardregel vorhanden ist.
      Sobald das angreifbare Element zugewiesen wurde, verwendet die entsprechende Regel für Korrekturaufgaben die Zuweisung als eines ihrer Kriterien, um die angreifbaren Elemente in eine Korrekturaufgabe zu platzieren. Weitere Informationen finden Sie unter Vulnerability Response Übersicht über Korrekturaufgaben und Regeln für Korrekturaufgaben und Filtern in Vulnerability Response.
      Hinweis:
      Die Standardregel ist die Regel mit dem höchsten Wert für die Ausführungsreihenfolge. Eine abschließende Regel, die ein gutes Ausweichkontakt-Element darstellt, ist active=true. Wenn keine Standardregel vorhanden ist, bleibt die VIT nicht zugewiesen, wenn die Regel für Korrekturaufgaben die Zuweisung vornimmt.

    Zuweisungsregeln werden erneut angewendet

    Wenn Sie eine Zuweisungsregel ändern, verwenden Sie die Schaltfläche Changes übernehmen auf der Listenseite für Zuweisungsregeln, um alle geänderten Regeln für alle aktiven offenen VITs mit Ausnahme der manuell zugewiesenen Regeln erneut auszuführen.
    Hinweis:

    Wenn die geplante Aufgabe Reapply all vulnerability assignment rules vor der ersten Verwendung von Änderungen anwendennicht ausgeführt wurde, werden alle Zuweisungsregeln für alle offenen VITs mit Ausnahme der manuell zugewiesenen VIs ausgeführt. Danach werden bei allen nachfolgenden Verwendungen von Changes übernehmen nur die geänderten Regeln und alle abhängigen Regeln erneut ausgeführt. Änderungen an einer Regel können dazu führen, dass eine VIT einer anderen unveränderten Regel entspricht. Durch das erneute Anwenden von Zuweisungsregeln werden die angreifbaren Elemente nicht neu gruppiert.

    Die geplante Aufgabe [Reapply all vulnerability assignment rules] ist standardmäßig inaktiv. Wenn diese Option aktiviert ist, werden alle Regeln auf alle offenen VITs mit Ausnahme der manuell zugewiesenen angewendet. Sie kann Täglich, Wöchentlich, Monatlich, Regelmäßig, Einmaloder Bei Bedarfausgeführt werden. Je nachdem, wie viele aktive VIs Sie in Ihrer Umgebung haben, denken Sie daran, das Feld Ausführen nach der ersten Ausführung entsprechend zu setzen, um Auswirkungen auf die Leistung zu vermeiden.

    Upgrade-Kunden sollten in den Versionshinweisen Vulnerability Response Informationen zu den Auswirkungen dieser Funktion auf vorhandene VITs lesen.

    Wichtig:
    Als Schwachstellenadministrator und -analyst können Sie die aktuellen Zuweisungen für ausgewählte angreifbare Elemente unter Vulnerability Manager Workspaceabrufen. Diese Methode ist effizienter als das Ausführen der Zuweisungsregeln für alle angreifbaren Elemente in der klassischen Anwenderoberfläche, was ein zeitaufwändiger Prozess ist. Weitere Informationen finden Sie unter Bewerten Sie die Korrektureigenschaften der Datensätze in neu Vulnerability Manager Workspace.

    Wenn sich die Zuweisungsgruppe in einer Zuweisungsregel ändert, können die angreifbaren Elemente automatisch neu bewertet und neu gruppiert werden, indem die Systemeigenschaft sn_vul.rerun_task_rules und die Business-Regel Mit Korrekturaufgaben verknüpfen aktiviert werden.

    So aktivieren Sie die Systemeigenschaft:
    1. Navigieren zu Alle > Systemeigenschaften > Alle Eigenschaftenan.
    2. Öffnen Sie die Systemeigenschaft sn_vul.rerun_task_rules.
    3. Setzen Sie den Wert im Feld Wert auf true.
    Wenn die Systemeigenschaft auf „true“ festgelegt ist und die Zuweisungsregeln erneut angewendet werden, wird die Verknüpfung der angreifbaren Elemente mit den Korrekturaufgaben aufgehoben, bei denen die Bedingung nicht mehr übereinstimmt.
    Hinweis:
    Standardmäßig ist die Systemeigenschaft sn_vul.rerun_task_rules auf „false“ festgelegt.

    Um die Neugruppierung angreifbarer Elemente zu automatisieren, müssen Sie die Geschäftsregel „Korrekturaufgaben verknüpfen“ aktivieren.

    So aktivieren Sie die Geschäftsregel:
    1. Navigieren zu Alle > Systemdefinition > Business-Regelnan.
    2. Geschäftsregel Link zu Korrekturaufgaben öffnen.
    3. Aktivieren Sie das Kontrollkästchen Aktiv, um die Geschäftsregel zu aktivieren.
    Beim Aktivieren gruppiert die Business Rule die angreifbaren Elemente neu, indem sie in die entsprechende Gruppe verschoben oder eine Gruppe erstellt wird, wenn sie nicht unter einer vorhandenen Gruppe gruppiert werden können.
    Hinweis:
    • Die angreifbaren Elemente werden aus den Gruppen entfernt, ohne die Gruppen zu löschen.
    • Es werden nur die Elemente entfernt, die mithilfe von Regeln für Korrekturaufgaben oder Korrekturmaßnahmen erstellt wurden.
    • Die Neugruppierung erfolgt nur dann automatisch, wenn sich die Zuweisungsgruppe im Rahmen einer Zuweisungsregel ändert, und nicht, wenn sie manuell geändert wird.
    Die Umgruppierung in Arbeitsbereichen wird für Korrekturaufgaben durchgeführt, die aus einer Korrekturmaßnahme erstellt werden.