Règles de recherche de CI pour l’identification des éléments de configuration à partir d’intégrations de Vulnerability Response vulnérabilité tierces

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Lorsque les données sont importées à partir d’une intégration tierce, Vulnerability Response utilise automatiquement les données de l’hôte pour rechercher des correspondances dans le Base de données de gestion des configurations (CMDB). Il utilise des règles de recherche de CI. Ces règles sont utilisées pour identifier les éléments de configuration (CI) et les ajouter à l’enregistrement d’élément vulnérable pour faciliter la correction.

    À partir de la version 19.0, accédez à Security Operations > CMDB > Règles de recherche pour localiser la liste dans votre instance.

    Au fur et à mesure que les actifs sont importés, une recherche est effectuée d’abord sur la liste des éléments détectés à l’aide d’ID tiers pour trouver des correspondances avec les éléments de configuration (CI) des importations précédentes. Lorsqu’une correspondance d’ID d’hôte est trouvée, elle est utilisée comme champ d’élément de configuration dans l’enregistrement d’élément vulnérable.

    Vous pouvez voir comment les actifs importés sont mappés aux CI à l’aide de la liste Éléments détectés . Si aucune correspondance n’est trouvée ou si le champ ID d’hôte est vide, les règles utilisent les autres informations d’hôte pour tenter d’identifier correctement le CI. Si aucune correspondance n’est toujours trouvée, un CI d’espace réservé est créé et est désigné comme CI sans correspondance. Consultez Ci sans correspondance pour en savoir plus sur la façon dont ces CI sont gérés.

    Les règles de recherche de CI peuvent être séparées par domaine et sont spécifiques à la source. Chaque source peut avoir plusieurs déploiements.
    Remarque :
    Les règles de recherche de CI sont partagées par tous les déploiements de l’intégration de source de vulnérabilité. Si une règle est supprimée ou modifiée, la suppression ou les modifications affectent tous les déploiements de l’intégration de vulnérabilité.
    Lors de la tentative de correspondance, la première étape consiste à rechercher une correspondance exacte entre la source, l’source_instance et l’ID du fournisseur. Ensuite, les règles de recherche sont exécutées dans l’ordre, du plus bas au plus élevé, et s’arrêtent lorsqu’une règle renvoie un seul CI comme correspondance. Si une règle est créée de telle sorte qu’elle renvoie plusieurs CI, seule la première correspondance est utilisée.
    Remarque :
    Pour éviter toute correspondance sur les éléments de mise en réseau de bas niveau, si un CI correspondant est l’un des dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nic ou cmdb_ci_ip_address, le CI parent est renvoyé.

    Une propriété système permettant d’exclure des classes CI est disponible. Cette propriété n’est pas disponible avec la mise à niveau. Pour plus d’informations sur la mise à niveau et des instructions sur la définition de la propriété, consultez Ignorer les classes CI la section pour obtenir des informations sur la mise à niveau.

    Pour faciliter la recherche de problèmes correspondants, lorsqu’une correspondance est trouvée, la règle de recherche de CI utilisée pour la trouver est ajoutée à l’enregistrement Élément détecté dans le champ Règle de correspondance de CI . Les règles de recherche sont évaluées en premier par la valeur d’ordre la plus basse.

    Ces Qualys règles de recherche de CI sont fournies avec le système de base.
    • ID D’HÔTE QUALYS
    • FQDN
    • NetBIOS
    • DNS
    • Adresse IP
    Ces Rapid7 règles de recherche de CI sont fournies avec le système de base.
    • MacAddress
    • FQDN
    • Nom d'hôte
    • Adresse IP
    Ces règles de recherche de CI Tenable.io sont fournies avec le système de base.
    • FQDN
    • NETBIOS
    • NOM D'HÔTE
    • MacAddress
    • DNS
    Ces règles de recherche de CI Tenable.sc sont fournies avec le système de base.
    • MacAddress
    • FQDN
    • NETBIOS
    Remarque :
    Les règles, une fois supprimées, ne peuvent pas être récupérées. Plutôt que de supprimer les règles existantes, désactivez-les lorsque vous en créez de nouvelles.

    L’importation de données de vulnérabilité peut être éprouvante pour une instance et des problèmes de performances avec les ressources peuvent survenir si les règles ne sont pas soigneusement élaborées. La logique utilisée pour itérer et effectuer des correspondances au sein de l’élément CMDB peut entraîner de longs temps de traitement. Pour éviter toute dégradation potentielle des ressources ou toute complication des performances, testez toutes les règles de recherche de CI écrites sur mesure ou les modifications apportées aux règles de recherche de CI prédéfinies. Consultez Étapes pour éviter les enregistrements dupliqués ou orphelins après l’exécution Vulnerability Response des règles de recherche de CI pour plus d’informations sur la prévention des enregistrements orphelins en double, la suppression de données et le nettoyage des données.

    Remarque :
    Pour plus d’informations sur la correspondance de CI, voir KB0998706.

    Réapplication des règles de recherche de CI mises à jour

    Lorsque vous modifiez une règle de recherche de CI, cliquez sur Appliquer les changements sur la page de liste Règles de recherche de CI pour réexécuter toutes les règles sur les éléments détectés qui :
    • Ont été appariés par les règles mises à jour
    • Ne correspondent à aucune règle
    Si l’élément de configuration (CI) change après réapplication des règles de recherche, les éléments détectés sont mis à jour avec le nouveau CI. Les détections et les éléments vulnérables impactés sont également mis à jour. Pour plus d’informations, consultez Réappliquer des règles de recherche de CI sur des éléments détectés sélectionnés.