Definieren Sie Felder und Gewichtungen für die Risikoregel für Risikorechner für Schwachstellenantwort

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer

    • Passen Sie die Parameter und Gewichtungen für die Risikoregel an, damit Sie Risikopunktzahlen generieren können, die die Schwachstellen- und Asset-Daten verwenden, die für Ihre Organisation eindeutig sind. Indem Sie die Felder auswählen, die in der Risikoregel enthalten sind, können Sie ein effektives Risikobewertungs-Framework definieren.

    Vorbereitungen

    Darüber hinaus können Sie Attribute in Configuration_item [cmdb_ci] in der Konfigurationsverwaltungsdatenbank (CMDB) verwenden, um Logik für Ihre Rechner für das Risiko der Schwachstellenantwort zu erstellen. Wenn Sie beispielsweise feststellen, dass CIs, die in Ihrer Organisation nach außen gerichtet sind, angreifbarer sind und möglicherweise sofortige Korrektur erfordern, können Sie Attribute wie zuweisen Internet FacingFür diese CIs. Dieses Attribut und andere sind in den Release-Hinweisen des allgemeinen Servicedatenmodells für das Orlando-Familienrelease aufgeführt. Für aktuelle Informationen und Anleitungen zu CMDB, Siehe die folgenden Themen:

    Erforderliche Rolle: sn_vul.manage_risk_score_configuration

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Administration > Schwachstellen-Rechneran.
    2. Wählen Sie auf der Seite Schwachstellenrechner die Option aus Standardrisikorechner .
    3. Navigieren zu Schwachstellenrechner-Seite > Registerkarte „Regeln für Schwachstellenrechner“ > Standardrisikoregelan.
    4. Wahlweise: Legen Sie im Abschnitt „Risikorechnerkriterien“ der Seite „Schwachstellen-Risikoregel“ die Gewichtung für jedes Kriterium entsprechend seiner Bedeutung bei der Berechnung der Gesamtrisikopunktzahl fest.
    5. Zum Deaktivieren der Regel müssen Sie löschen Aktiv Kontrollkästchen.
    6. Wählen Sie aus, um Risikoregelfelder zu den Risikorechnerkriterien hinzuzufügen Fügen Sie Kriterien hinzu .
    7. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular für Risikoregelfeld
      Feld Beschreibung
      Referenztabelle auswählen Tabelle, die Sie zum Definieren der Gewichtung der Risikopunktzahl verwenden. Sie können eine der folgenden Optionen auswählen:
      • Angreifbares Element : Fügen Sie Felder hinzu, die direkt vom angreifbaren Element (VI) aus DOT-Walking-fähig sind. ​
      • Angreifbares Element: Konfigurationselement : Fügen Sie Dot-Walking-Felder hinzu, die Teil der Basistabellenerweiterungen sind, z. B. die Hardwaretabelle. Diese Felder sind nicht Teil der Basistabelle (cmdb_ci).
      • Angreifbares Element: Schwachstelle : Fügen Sie Dot-Walking-Felder hinzu, die Teil der Tabellen sind, die die Basistabelle erweitern, z. B. „Drittpartei-Eintrag“. Diese Felder sind nicht Teil der Basistabelle des Schwachstelleneintrags.
      • Referenztabelle Für Angreifbares Element : Fügen Sie Felder hinzu, die Teil der zugehörigen Tabellen (m2m) sind, oder Tabellen, die einen Verweis auf das angreifbare Element haben. Diese Felder sind nicht direkt Dot-Walking-fähig vom VI
      • Konfigurationselement-Referenztabelle : Fügen Sie Felder hinzu, die Teil der zugehörigen Tabellen (m2m) von cmdb_ci sind, oder Tabellen, die einen Verweis auf cmdb_ci haben. Diese Felder sind nicht direkt Dot-Walking-fähig vom VI
      • Referenztabelle Für Schwachstelle : Fügen Sie Felder hinzu, die Teil der zugehörigen Tabellen (m2m) von sn_vul_entry sind, oder Tabellen, die einen Verweis auf sn_vul_entry haben. Diese Felder sind nicht direkt Dot-Walking-fähig vom VI
      • Anwenderdefinierte Bedingungen : Verwenden Sie diese Option, um der Regel Gewichtungen zuzuweisen, indem Sie die Bedingung auswerten. Der Filter mit Internetzugriff bestimmt beispielsweise, ob ein Konfigurationselement (CI) extern oder intern ist.
      Tabelle Feld, das nur angezeigt wird, wenn eine der folgenden Optionen aus der Referenztabelle auswählen ausgewählt ist:
      • Angreifbares Element -> Konfigurationselement
      • Angreifbares Element -> Schwachstelle
      • Referenztabelle für angreifbare Elemente
      • Referenztabelle für Konfigurationselemente
      • Referenztabelle für Schwachstellen
      Feld Feld, das für die Berechnung der Risikopunktzahl für diese Regel verwendet werden soll.
      Aggregation Feld, das nur angezeigt wird, wenn eine Referenztabelle aus der Referenztabelle auswählen ausgewählt wird. Wählen Sie den Mindest- oder Höchstwert aus, der für Berechnungen berücksichtigt werden soll, wenn das Feld aus den zugehörigen Tabellen (m2m) ausgewählt wird.
      Gewichtung Gewichtung dieses Felds innerhalb der Risikoregel. Der Wert muss eine Ganzzahl von 0 bis 100 sein.
      Definieren Sie Die Wertgewichtung Komponente zum Zuweisen von Gewichtungen zu jedem Feldwert. Für numerische Felder können Feldwerte als Bereich definiert werden (z. B. 1–5). Die Gewichtungen müssen eine Ganzzahl zwischen 0 und 100 sein.
      Hinweis:
      Dieses Feld wird nicht angezeigt, wenn die Option „Anwenderdefinierte Bedingungen“ in der Tabelle „Referenz auswählen“ ausgewählt ist.
      Bedingungstabelle Feld, das nur angezeigt wird, wenn anwenderdefinierte Bedingungen aus der Referenztabelle auswählen ausgewählt sind. Wählen Sie eine Bedingung aus der Liste aus.
      Feldname Feld, das nur angezeigt wird, wenn anwenderdefinierte Bedingungen aus der Referenztabelle auswählen ausgewählt sind. Geben Sie einen Namen für die Risikokriterien ein.
      Bedingung Feld, das nur angezeigt wird, wenn anwenderdefinierte Bedingungen aus der Referenztabelle auswählen ausgewählt sind. Zeigen Sie eine Vorschau der Elemente in dieser Tabelle an, die den definierten Bedingungen entsprechen.
    8. Wählen Sie Absenden.
    9. Aktivieren Sie auf der Seite „Regel“ die Regel, und wenden Sie sie erneut an, um die Risikopunktzahl für die aktiven angreifbaren Elemente neu zu bewerten.
      Hinweis:
      Ab Version 23,0 von Vulnerability Response, Im Fall von:
      • Standardrisikorechner Regel: Wenn sich die Risikopunktzahl für ein angreifbares Element (VIT) ändert, werden die folgenden Details im Abschnitt „Notizen“ des VIT dokumentiert:
        • Rechnergruppenname
        • Rechnername
        • Feldwerte mit einer Gewichtung größer als 1 und ihrem Beitrag zur Risikopunktzahl.
        • Endgültige Risikopunktzahl
      • Schwachstellenschweregrad Risikoregel: Wenn die Risikopunktzahl für ein VIT aktualisiert wird, wird Notizen Abschnitt wird mit den folgenden Details aktualisiert:
        • Rechnergruppenname
        • Rechnername: Je nachdem, ob die Rechnerregel auf einer Vorlage oder einem Skript basiert, wird der Name mit den Details in Klammern angehängt. Um die Basis der Rechnerregel zu ändern oder anzuzeigen, wählen Sie eine beliebige Regel aus, und wählen Sie aus Erweiterte Ansicht Kontrollkästchen. Von Werttyp Wählen Sie die erforderliche Option aus. Wenn Vorlage Ist ausgewählt, wird die Risikopunktzahl gemäß der in der Regel angegebenen Bedingung aktualisiert. Wenn Skript Ist ausgewählt, können Sie das vorhandene Skript entweder hinzufügen oder aktualisieren.

    Beispiel

    Beispiel 1: Fügen Sie einen Quellschweregrad als Kriterium für eine Risikoregel hinzu.

    Anwendungsfall: Drittpartei-Lieferanten wie Qualys und Tenable geben ihre eigenen Punktzahlen an. Diese Punktzahlen werden in ausgefüllt Quellenschweregrad Feld in der Tabelle „sn_vul_entry“. Verwenden Sie dieses Feld für Berechnungen der Risikopunktzahl. Gehen Sie folgendermaßen vor, um diese Punktzahl zur Berechnung der Risikopunktzahl zu verwenden:

    1. Navigieren Sie zur Seite „Risikoregel“.
    2. Um die Regel zu deaktivieren, löschen Sie Aktiv Kontrollkästchen.
    3. Wählen Sie aus, um Risikoregelfelder zu den Risikorechnerkriterien hinzuzufügen Fügen Sie Kriterien hinzu .
    4. Wählen Sie in der Liste Referenztabelle auswählen die Option aus Angreifbares Element .
    5. Wählen Sie in der Feldliste aus Schwachstelle.Quellenschweregrad .
    6. In Gewichtung Feld: Geben Sie die relative Wichtigkeit dieses Felds innerhalb der Risikoregel ein. Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    7. Fügen Sie im Abschnitt „Wertgewichtung definieren“ Feldwerte hinzu, und weisen Sie ihnen eine Gewichtung zu.
      Abbildung : 1. Tabelle der angreifbaren Elemente
      Beispiel für Risikoregel-VI.
    8. Wählen Sie Absenden.

    Beispiel 2: Fügen Sie eine Geschäftskritikalität als Kriterium für eine Risikoregel hinzu.

    Anwendungsfall: Nehmen wir an, dass Ihre Organisation über viele Business-Services verfügt. Das Konfigurationselement (CI) LINUX-SF-6381 wird von den folgenden Services verwendet:

    Tabelle : 2. Relevanz der Business-Services
    Business Service Relevanz
    Cloud-Management 1 – Sehr kritisch
    E-Commerce 2 – Kritisch
    Client-Services 3 – Weniger kritisch
    Reise und Ausgaben 4 – Nicht kritisch
    Die Zuordnung zwischen dem CI und den Services wird in der Tabelle „zugehörige Services“ [sn_vul_m2m_ci_services] gespeichert. Wenn eine Schwachstelle im Asset LINUX-SF-6381 gefunden wird, wird ein angreifbares Element (VI) erstellt. Sie können den Wert der Geschäftsrelevanz aus den betroffenen Services verwenden, um die Risikopunktzahl für dieses VI zu berechnen Gehen Sie folgendermaßen vor, um den Relevanzwert dieser Services zur Berechnung der Risikopunktzahl zu verwenden:
    1. Navigieren Sie zur Seite „Risikoregel“.
    2. Um die Regel zu deaktivieren, löschen Sie Aktiv Kontrollkästchen.
    3. Wählen Sie aus, um Risikoregelfelder zu den Risikorechnerkriterien hinzuzufügen Fügen Sie Kriterien hinzu .
    4. Wählen Sie in der Liste Referenztabelle auswählen die Option aus Konfigurationselement-Referenztabelle .
    5. Wählen Sie in der Liste Tabelle die Option aus Zugehörige Services [sn_vul_m2m_ci_services] .
    6. Wählen Sie in der Feldliste aus Service.Geschäftskritikalität .
    7. In Zusammenfassung Feld auswählen Minimum Dient zum Abrufen des kritischsten Service für diesen Anwendungsfall ( 1: Am kritischsten Wert) oder Maximum, um den am wenigsten kritischen Service für diesen Anwendungsfall abzurufen ( 4: Nicht kritisch Wert) für diesen Anwendungsfall.
    8. In Gewichtung Feld: Geben Sie die relative Wichtigkeit dieses Felds innerhalb der Risikoregel ein. Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    9. Fügen Sie im Abschnitt „Wertgewichtungen definieren“ Feldwerte hinzu, und weisen Sie ihnen eine Gewichtung zu.
      Abbildung : 2. Referenztabelle des Konfigurationselements
      CI-Referenztabelle für Risikoregel.
    10. Wählen Sie Absenden.

    Beispiel 3: Fügen Sie dem Risikorechner ein bedingtes Kriterium hinzu.

    Nehmen wir an, dass eine Organisation mehrere Konfigurationselemente (CIs) hat, von denen nur einige von einem externen Anwender aufgerufen werden können. Anwender können Risikopunktzahlgewichtungen für diese nach außen gerichteten CIs hinzufügen.
    Hinweis:
    Sie können diese CIs anhand ihres Namens identifizieren. Die Namen beginnen mit „extern“.

    Gehen Sie folgendermaßen vor, um der Risikoregel ein bedingtes Kriterium hinzuzufügen:

    1. Navigieren Sie zur Seite „Risikoregel“.
    2. Um die Regel zu deaktivieren, löschen Sie Aktiv Kontrollkästchen.
    3. Wählen Sie aus, um Risikoregelfelder zu den Risikorechnerkriterien hinzuzufügen Fügen Sie Kriterien hinzu .
    4. Wählen Sie in der Liste Referenztabelle auswählen die Option aus Anwenderdefinierte Bedingungen .
    5. Wählen Sie in der Liste Bedingungstabelle die Option aus Konfigurationselement .
    6. In Feldname Geben Sie den Namen ein CI-Risiko .
    7. In Gewichtung Feld: Geben Sie die relative Wichtigkeit dieses Felds innerhalb der Risikoregel ein. Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    8. In Bedingung Feld auswählen Name > beginnt mit Und geben Sie den Wert ein Extern .
      Abbildung : 3. Anwenderdefinierte Bedingungen für die neue Risikoregel
      Anwenderdefinierte Bedingungen für eine neue Risikoregel.
    9. Wählen Sie Absenden.
      Hinweis:
      Das Hinzufügen bedingter Kriterien zu Ihrer Risikoregel kann die Leistung beeinträchtigen.