Beispiele für Konfigurations-ComplianceBerechnung der Risikopunktzahl

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Beginnend mit v13.0 von Konfigurations-Compliance, Sie können die Kriterien für die Standardrisikoregel anpassen. Verwenden Sie Risikopunktzahlen, die von Drittparteien wie Qualys und Tenable bereitgestellt werden, für Berechnungen der Risikopunktzahl.

    Drittpartei-Lieferanten wie Qualys und Tenable geben ihre eigenen Punktzahlen an. Diese Punktzahlen werden im Feld Relevanz in der Tabelle „sn_vulc_Test“ ausgefüllt. Verwenden Sie dieses Feld für Berechnungen der Risikopunktzahl. Um diese Punktzahl zur Berechnung der Risikopunktzahl zu verwenden, befolgen Sie das Verfahren:

    Fügen Sie Quellenrelevanz als Kriterium für eine Risikoregel hinzu

    Verwenden Sie Punktzahlen basierend auf der Relevanz, die von Drittparteien bereitgestellt wurde, um Risikopunktzahlen zu berechnen.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Drittpartei-Lieferanten wie Qualys und Tenable geben ihre eigenen Risikopunktzahlen an. Diese Punktzahlen werden im Feld Relevanz in der Tabelle „sn_vulc_Test“ ausgefüllt. Verwenden Sie dieses Feld für Berechnungen der Risikopunktzahl und die Berechnung der Risikopunktzahl.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechneran.
    2. Navigieren Sie zum Formular „Risikoregel“.
    3. Löschen Sie Aktiv Kontrollkästchen zum Deaktivieren der Regel.
    4. Klicken Sie Auf Fügen Sie Kriterien Hinzu .
    5. Von Wählen Sie die Referenztabelle aus Liste, wählen Sie aus Testergebnis .
    6. Von Feld Liste, wählen Sie aus Test.Relevanz .
    7. In Gewichtung Feld: Geben Sie die relative Wichtigkeit dieses Felds an.
      Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    8. In Definieren Sie Wertgewichtungen Fügen Sie Feldwerte hinzu, und weisen Sie den Feldern einen Gewichtungsprozentsatz zu.
      Quellenrelevanz für Risikoberechnung
    9. Klicken Sie auf Absenden.

    Fügen Sie Geschäftskritikalität als Kriterium für eine Risikoregel hinzu

    Geben Sie einen Relevanzwert für Business-Services an, und verwenden Sie die Business-Relevanz, um die Risikopunktzahlen zu berechnen.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Vorausgesetzt, Ihre Organisation verfügt über viele Business-Services, und ein Konfigurationselement (CI) wird von den folgenden Services verwendet:
    Tabelle : 1. Relevanz der Business-Services
    Business-Service Relevanz

    Cloud-Management

    1 – Sehr kritisch

    E-Commerce

    2 – Kritisch

    Client-Services

    3 – Weniger kritisch

    Reise und Ausgaben

    4 – Nicht kritisch
    Die Zuordnung zwischen dem CI und den Services wird in der Tabelle „Services“ [cmdb_ci_Services] gespeichert. Wenn ein CI keinen Konfigurationstest besteht, wird ein Testergebnis (TR) erstellt. Sie können den Wert der Geschäftsrelevanz aus den betroffenen Services verwenden, um die Risikopunktzahl für diese TR zu berechnen. Befolgen Sie das Verfahren, um den Relevanzwert dieser Services zur Berechnung der Risikopunktzahl zu verwenden.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechneran.
    2. Navigieren Sie von zum Formular „Risikoregel“ Rechnerregeln Abschnitt.
    3. Löschen Sie Aktiv Kontrollkästchen zum Deaktivieren der Regel.
    4. Klicken Sie Auf Fügen Sie Kriterien Hinzu .
    5. Von Wählen Sie die Referenztabelle aus Liste, wählen Sie aus Konfigurationselement-Referenztabelle .
    6. Von Tabelle Liste, wählen Sie aus Service [cmdb_ci_Service] .
    7. Von Feld Liste, wählen Sie aus Geschäftsrelevanz .
    8. In Zusammenfassung Feld auswählen Minimum Um den kritischsten Service für diesen Anwendungsfall abzurufen (1 – kritischster Wert) oder Maximum Dient zum Abrufen des am wenigsten kritischen Service für diesen Anwendungsfall (4 – nicht kritischer Wert).
    9. In Gewichtung Feld: Geben Sie die relative Wichtigkeit dieses Felds an.
      Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    10. In Definieren Sie Wertgewichtungen Fügen Sie Feldwerte hinzu, und weisen Sie Gewichtungen zu.
      Abbildung : 1. Anwenderdefinierte Gewichtung der Business-Relevanzrisikoregel
      Anwenderdefinierte Gewichtung der Business-Relevanzrisikoregel
    11. Klicken Sie auf Absenden.

    Fügen Sie dem Risikorechner ein bedingtes Kriterium hinzu

    Verwenden Sie anwenderdefinierte Bedingungen für die Risikoregel für die Berechnung der Risikopunktzahl.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Vorausgesetzt, Ihre Organisation verfügt über mehrere Konfigurationselemente (CIs), von denen nur einige von einem externen Anwender aufgerufen werden können. Anwender können Risikopunktzahlgewichtungen für diese nach außen gerichteten CIs hinzufügen.
    Hinweis:
    Sie können diese CIs anhand ihres Namens identifizieren. Die Namen beginnen mit „extern“.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechneran.
    2. Navigieren Sie zum Formular „Risikoregel“.
    3. Löschen Sie Aktiv Kontrollkästchen zum Deaktivieren der Regel.
    4. Klicken Sie Auf Fügen Sie Kriterien Hinzu .
    5. Von Wählen Sie die Referenztabelle aus Liste, wählen Sie aus Anwenderdefinierte Bedingungen .
    6. Von Bedingungstabelle Liste, wählen Sie aus Konfigurationselement .
    7. In Feldname Feld eingeben CI-Risiko .
    8. In Gewichtung Feld: Geben Sie die relative Wichtigkeit dieses Felds an.
      Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    9. In Bedingung Feld auswählen Name > beginnt mit , Geben Sie den Wert als an Extern .
      Abbildung : 2. Anwenderdefinierte Bedingungen für neue Risikoregel
      Anwenderdefinierte Bedingungen für neue Risikoregel
    10. Klicken Sie auf Absenden.

    Beispiel für die Berechnung der Risikopunktzahl Konfigurations-Compliance

    Bestimmen Sie die Risikopunktzahlrechner, um Risikopunktzahlen zu generieren, die die für Ihre Organisation spezifischen Test- und Asset-Daten verwenden.

    Beispiel für die Bestimmung der Punktzahlen von Risikoregel-Rechnern

    Das folgende Beispiel zeigt, wie Punktzahlen für Risikoregelrechner bestimmt werden. Nehmen Sie an, dass ein Risikoregelrechner mit den Feldern in dieser Tabelle konfiguriert ist.
    Tabelle : 2. Bestimmen Sie die Punktzahlen des Risikoregelrechners
    Feld Gewichtung Gewichtungsaufgliederung
    Steuerung.Relevanz 50

    Standard: 0

    Geringfügig: 20

    Niedrig: 30

    Mittel: 50

    Hoch: 70

    Kritisch: 100
    Business_Relevanz 50

    Standard: 0

    Geringfügig: 20

    Niedrig: 30

    Mittel: 50

    Höhe: 70

    Kritisch: 100
    Nehmen Sie an, dass die Testergebnisse, die in dieser Tabelle angezeigt werden, im System vorhanden sind.
    Tabelle : 3. Testergebniszuordnung
    ID Geschäftskritikalität Steuerungsrelevanz
    CTR0000001 1: Am Kritischsten Kleiner
    CTR0000002 1: Am Kritischsten Niedrig
    CTR0000003 2: Etwas Kritisch Kleiner
    CTR0000004 2: Etwas Kritisch Mittel
    CTR0000005 3 – Weniger Kritisch Niedrig
    Die Berechnung der Risikopunktzahl für das Testergebnis wird basierend auf der folgenden Formel berechnet:

    Risikopunktzahl = (W(Control.Relevanz) * FV (Control.Relevanz). + W(Business_Relevanz) * FV(Business_Relevanz)) / 100, wobei W die Gewichtung und FV der Gewichtungsprozentsatz des Feldwerts ist.

    Die resultierende Risikopunktzahl für diese Testergebnisse entspricht der Beschreibung in dieser Tabelle:
    Tabelle : 4. Risikopunktzahl basierend auf Testergebnissen
    ID Geschäftsrelevanz (50 %) Steuerungsrelevanz (50 %) Resultierende Risikopunktzahl
    CTR0000001 1 – am kritischsten (50 % x100) Gering (50 % x 20) 60
    CTR0000002 1 – am kritischsten (50 % x100) Niedrig (50 % x 30) 65
    CTR0000003 2 – etwas kritisch (50 % x 70) Gering (50 % x 30) 45
    CTR0000004 2 – etwas kritisch (50 % x 70) Mittel (50 % x 50) 60
    CTR0000005 3 – weniger kritisch (50 % x 50) Niedrig (50 % x 30) 40
    Wenn der Gewichtungsprozentsatz für einen der Feldwerte geändert wird, finden Sie die Ergebnisse in dieser Tabelle:
    Tabelle : 5. Ergebnisse für geänderten Gewichtungsprozentsatz
    Feld Gewichtung Gewichtungsaufgliederung
    Steuerung.Relevanz 50

    Standard: 0

    Geringfügig: 20

    Niedrig: 30

    Mittel: 60

    Höhe: 70

    Kritisch: 100
    Business_Relevanz 50

    Standard: 50

    1 – Am Kritischsten: 100

    2 – Etwas Kritisch: 70

    3 – Weniger Kritisch: 20

    4 – Nicht Kritisch: 30
    Die Risikopunktzahl für die Testergebnisse nach erneuter Anwendung des Rechners wird in dieser Tabelle angezeigt:
    Tabelle : 6. Risikopunktzahl für TR bei erneuter Anwendung des Rechners
    ID Geschäftsrelevanz (50 %) Steuerungsrelevanz (50 %) Resultierende Risikopunktzahl
    CTR0000001 1 – am kritischsten (50 % x100) Gering (50 % x 20) 60
    CTR0000002 1 – am kritischsten (50 % x100) Niedrig (50 % x 30) 65
    CTR0000003 2 – etwas kritisch (50 % x 70) Gering (50 % x 30) 45
    CTR0000004 2 – etwas kritisch (50 % x 70) Mittel (50 % x 60)

    *Überarbeiteter Wert

    		 65

    *Überarbeiteter Wert
    CTR0000005

    3 – weniger kritisch (50 % x 20)

    *Überarbeiteter Wert

    		 Niedrig (50 % x 30) 25

    *Überarbeiteter Wert

    Beispiel für Risiko-Rollup-Berechnung für Konfigurations-Compliance(Vor v15.0)

    Das folgende Beispiel zeigt, wie Punktzahlen für Risiko-Rollup-Rechner bestimmt werden.

    Für den folgenden Korrekturaufgaben-Rollup-Rechner lautet die Formel für die Berechnung der Risikopunktzahl der Korrekturaufgabe:

    (Maximale Risikopunktzahl/100) * 85 + (Faktor * 15).

    Der Faktor in der vorherigen Gleichung wird durch die Anzahl der Testergebnisse bestimmt, wie in der folgenden Tabelle gezeigt.
    Anzahl Testergebnisse Faktor
    < 10 0.2
    10-99 0,4
    100-1000 0,6
    1001-9999 0,8
    >10000 1
    Für die folgende Korrekturaufgabe TRG0003066 mit drei Testergebnisrisikopunktzahlen beträgt die maximale Punktzahl 90.
    Nummer Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Fehlgeschlagen Offen
    CTR000124 70 TRG0003066 Fehlgeschlagen Offen
    CTR000125 40 TRG0003066 Fehlgeschlagen Offen

    Für die Korrekturaufgabe TRG0003066:

    Die Risikopunktzahl beträgt 79, (90/100) * 85 + 0,2 * 15 = Math.floor (76,5 + 3) =79.

    Die historische Risikopunktzahl ist null, da die Korrekturaufgabe noch „Offen“ ist.

    Nach der Datenerfassung werden die Testergebnisse „bestanden“, und die Korrekturaufgabe wechselt wie in der folgenden Tabelle gezeigt zu „Geschlossen“.

    Nummer Risikopunktzahl (vor v15.0) Nachbesserungsaufgabe Ergebnis Status
    CTR000123 0 TRG0003066 Bestanden Geschlossen
    CTR000124 0 TRG0003066 Bestanden Geschlossen
    CTR000125 0 TRG0003066 Bestanden Geschlossen

    Der Testergebnisverlauf wird in der folgenden Tabelle angezeigt.

    Nummer Risikopunktzahl Neuestes Ergebnis Ergebnis
    CTRH000111 90.0 CTR000123 Fehlgeschlagen
    CTRH000112 70 CTR000124 Fehlgeschlagen
    CTRH000113 40 CTR000125 Fehlgeschlagen

    Die Risikopunktzahl ist null, da die Korrekturaufgabe keine aktiven Testergebnisse enthält.

    Für die Korrekturaufgabe TRG0003066:

    Die historische Risikopunktzahl beträgt 79: (90/100) * 85 + 0,2 * 15 = Math.floor (76,5 + 3) =79.

    Beispiel für Risiko-Rollup-Berechnung für Konfigurations-Compliance(V15.0 und höher)

    Das folgende Beispiel zeigt, wie Punktzahlen für Risiko-Rollup-Rechner bestimmt werden.

    Für den folgenden Korrekturaufgaben-Rollup-Rechner lautet die Formel für die Berechnung der Risikopunktzahl der Korrekturaufgabe:

    (Maximale Risikopunktzahl* 80/100) + (durchschnittliche Risikopunktzahl* 5/100) + (Faktor * 15)

    Wobei die Gewichtungen wie folgt sind:

    • Maximale Risikopunktzahl: 80
    • Durchschnittliche Risikopunktzahl: 5
    • Faktor: 15

    Die Standardgewichtung der durchschnittlichen Risikopunktzahl ist 0. Weitere Informationen zum Festlegen der Gewichtungen finden Sie unter Bearbeiten Sie Risiko-Rollup-Rechner für Konfigurations-Compliance.

    Der Faktor in der vorherigen Gleichung wird durch die Anzahl der Testergebnisse bestimmt, wie in der folgenden Tabelle gezeigt.
    Anzahl Testergebnisse Faktor
    < 10 0.2
    10-99 0,4
    100-1000 0,6
    1001-9999 0,8
    >10000 1
    Für die folgende Korrekturaufgabe TRG0003066 mit drei Testergebnisrisikopunktzahlen beträgt die maximale Risikopunktzahl 90 und die durchschnittliche Risikopunktzahl 66,67.
    Nummer Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Fehlgeschlagen Offen
    CTR000124 70 TRG0003066 Fehlgeschlagen Offen
    CTR000125 40 TRG0003066 Fehlgeschlagen Offen

    Für die Korrekturaufgabe TRG0003066:

    Die Risikopunktzahl beträgt 81, (90* 80/100) + (66,67* 5/100) + (0,2 * 15) = Math.Floor (78,3 +3) = 81.

    Die historische Risikopunktzahl ist null, da die Korrekturaufgabe noch „Offen“ ist.

    Nach der Datenerfassung werden die Testergebnisse „bestanden“, und die Korrekturaufgabe wechselt wie in der folgenden Tabelle gezeigt zu „Geschlossen“. Beginnend mit v15.0 von Konfigurations-Compliance, Die Risikopunktzahl eines bestandenen Testergebnisses wird ausgefüllt, um das geminderte Risiko zu bestimmen.

    Nummer Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Bestanden Geschlossen
    CTR000124 70 TRG0003066 Bestanden Geschlossen
    CTR000125 40 TRG0003066 Bestanden Geschlossen

    Der Testergebnisverlauf wird in der folgenden Tabelle angezeigt.

    Nummer Risikopunktzahl Neuestes Ergebnis Ergebnis
    CTRH000111 90.0 CTR000123 Fehlgeschlagen
    CTRH000112 70 CTR000124 Fehlgeschlagen
    CTRH000113 40 CTR000125 Fehlgeschlagen

    Die Risikopunktzahl der Korrekturaufgabe ist null, da die Korrekturaufgabe keine aktiven Testergebnisse enthält.

    Für die Korrekturaufgabe TRG0003066:

    Die historische Risikopunktzahl beträgt 81: (90* 80/100) + (66,67* 5/100) + (0,2 * 15) = Math.Floor (78,3 +3) = 81.