Règles de recherche de CI pour identifier les éléments de configuration à partir d’intégrations de Réponse aux vulnérabilités vulnérabilité tierces

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Lorsque les données sont importées à partir d’une intégration tierce, Réponse aux vulnérabilités utilise automatiquement les données de l’hôte pour rechercher des correspondances dans le Base de données de gestion des configurations (CMDB). Pour ce faire, il utilise les règles de recherche de CI. Ces règles sont utilisées pour identifier les éléments de configuration (CI) et les ajouter à l’enregistrement d’élément vulnérable pour faciliter le rattrapage.

    À partir de la version 19.0, accédez à Security Operations > CMDB > Règles de recherche pour localiser la liste dans votre instance.

    Au fur et à mesure que les actifs sont importés, une recherche est d’abord effectuée sur la liste des éléments détectés à l’aide d’ID tiers afin de trouver des correspondances avec les éléments de configuration (CI) des importations précédentes. Lorsqu’une correspondance d’ID d’hôte est trouvée, elle est utilisée comme champ d’élément de configuration dans l’enregistrement de l’élément vulnérable.

    Vous pouvez voir comment les actifs importés sont mappés aux CI à l’aide de la liste des éléments détectés . Si aucune correspondance n’est trouvée ou si le champ ID d’hôte est vide, les règles utilisent les autres informations de l’hôte pour tenter d’identifier correctement le CI. Si aucune correspondance n’est toujours trouvée, un CI d’espace réservé est créé et désigné comme CI sans correspondance. Consultez la rubrique Ci sans correspondance pour plus d’informations sur la façon dont ces CI sont gérés.

    Les règles de recherche de CI peuvent être séparées par domaine et sont spécifiques à la source. Chaque source peut avoir plusieurs déploiements.
    Remarque :
    Les règles de recherche de CI sont partagées par tous les déploiements de l’intégration de source de vulnérabilité. Si une règle est supprimée ou modifiée, la suppression ou les changements affectent tous les déploiements de l’intégration de vulnérabilité.
    Lors d’une tentative de correspondance, la première étape consiste à rechercher un ID de fournisseur pour trouver une correspondance exacte entre la source, le source_instance et l’ID du fournisseur. Ensuite, les règles de recherche sont exécutées dans l’ordre, de la plus basse à la plus élevée, et s’arrêtent lorsqu’une règle ne renvoie qu’un seul CI comme correspondance. Si une règle est créée de telle sorte qu’elle renvoie plusieurs CI, seule la première correspondance est utilisée.
    Remarque :
    Pour éviter la mise en correspondance sur des éléments de réseau de bas niveau, si un CI correspondant est l’un des dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nic ou cmdb_ci_ip_address, le CI parent est renvoyé.

    Une propriété système permettant d’exclure des classes CI est disponible. Cette propriété n’est pas disponible avec la mise à niveau. Pour plus d’informations et d’instructions sur la mise à niveau, reportez-vous Ignorer les classes CI à la section Configurer la propriété.

    Pour faciliter la recherche de problèmes correspondants, lorsqu’une correspondance est trouvée, la règle de recherche de CI utilisée pour la trouver est ajoutée à l’enregistrement d’élément détecté dans le champ de règle de correspondance CI . Les règles de recherche sont évaluées en fonction de la valeur d’ordre la plus faible en premier.

    Les règles de recherche de CI sont fournies avec les modules d’extension d’intégration correspondants.

    Voici quelques-unes des règles de recherche de Qualys CI :
    • ID D’HÔTE QUALYS
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Voici quelques-unes des règles de recherche de Rapid7 CI :
    • MacAddress
    • FQDN
    • Nom d'hôte
    • IP
    Voici quelques-unes des règles de recherche de CI Tenable.io :
    • FQDN
    • NETBIOS
    • NOM D'HÔTE
    • MacAddress
    • DNS
    Remarque :
    Les règles de recherche de CI Tenable.io classent par ordre de priorité et renseignent les valeurs d’interface réseau non vides (FDQN, IPV4 et MacAddress) par rapport aux valeurs FDQN, IPV4 et MacAddress normales d’un élément détecté. Lorsque ces valeurs d’interface réseau sont vides, les valeurs FDQN, IPV4 et MacAddress normales sont renseignées pour un élément détecté.
    Voici quelques-unes des règles de recherche de CI Tenable.sc :
    • MacAddress
    • FQDN
    • NETBIOS
    Remarque :
    Une fois supprimées, les règles ne peuvent pas être récupérées. Plutôt que de supprimer les règles existantes, désactivez-les lorsque vous en créez de nouvelles.

    L’importation de données de vulnérabilité peut être éprouvante pour une instance et des problèmes de performances avec les ressources peuvent survenir si les règles ne sont pas soigneusement construites. La logique utilisée pour itérer et effectuer la correspondance dans peut entraîner de longs délais de CMDB traitement. Pour éviter toute dégradation potentielle des ressources ou toute complication des performances, testez toutes les règles de recherche de CI écrites sur mesure ou les modifications apportées aux règles de recherche de CI prédéfinies. Consultez Étapes pour empêcher les enregistrements dupliqués ou orphelins après l’exécution Réponse aux vulnérabilités de règles de recherche de CI pour plus d’informations sur la prévention des enregistrements orphelins en double, la suppression des données et le nettoyage des données.

    Remarque :
    Pour plus d’informations sur la correspondance de CI, voir KB0998706.

    Réapplication des règles de recherche de CI mises à jour

    Lorsque vous modifiez une règle de recherche de CI, cliquez sur Appliquer les modifications sur la page de liste Règles de recherche de CI pour réexécuter toutes les règles sur les éléments détectés qui :
    • Ont été mis à jour et correspondent aux règles
    • Ne correspondent à aucune règle
    Si l’élément de configuration (CI) change après la réapplication des règles de recherche, les éléments détectés sont mis à jour avec le nouveau CI. Les détections impactées et les éléments vulnérables sont également mis à jour. Pour plus d’informations, consultez Réappliquer des règles de recherche de CI sur les éléments détectés sélectionnés.