Vulnerability Response Übersicht über Zuweisungsregeln

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Definieren Sie die Kriterien, nach denen angreifbare Elemente (Vits) automatisch einer Zuweisungsgruppe zur Korrektur zugewiesen werden.

    Eine standardmäßige Zuweisungsregel, Der CI-Supportgruppe zuweisen , Ist im Basissystem enthalten, das angreifbare Elemente zuweist CI-Supportgruppe . Die Regel „CI-Supportgruppe zuweisen“ weist jeder Supportgruppe, die für das Konfigurationselement (CI) festgelegt ist, das dem VIT zugeordnet ist, ein VIT zu.
    Hinweis:
    Die Zuweisungsregeln bewerten manuell erstellte Zuweisungen nicht neu.

    Zuweisungstyp, ob Manuell Oder Regel Ist im VIT-Formular und in der Listenansicht verfügbar. Jede VIT, die ursprünglich von einer Regel zugewiesen, aber anschließend manuell neu zugewiesen wurde, enthält einen Verweis auf die ursprüngliche Regel.

    Verwenden Sie Zuweisungsregel- und Zuweisungstypinformationen, um Fälle zu identifizieren, in denen die Zuweisungsregeln keine richtige Übereinstimmung für den beabsichtigten Empfänger gefunden haben. Sie können die Informationen auch verwenden, um zu identifizieren, welche Regeln die meisten Neuzuweisungen hatten.

    Die durch Zuweisungsregeln festgelegten Zuweisungsgruppen werden von verwendet Regeln Für Korrekturaufgaben Dient zum Zuweisen von Besitzern zu Korrekturaufgaben (VULs).
    Hinweis:
    Zu erstellen Rapid7 InsightVMAsset-Tags, die zur Verwendung im Bedingungsfilter für Zuweisungsregeln verfügbar sind, müssen Sie ausführen Rapid7 InsightVMIntegration der Asset-Liste vor der anderen Rapid7 InsightVMIntegrationen.

    Die Groß-/Kleinschreibung für den Suchtext, den Sie im Bedingungsgenerator eingeben, wird in diesem Datensatz oder Formular nicht unterstützt.

    Angreifbare Elemente werden automatisch zugewiesen

    Es gibt drei verschiedene Möglichkeiten, angreifbare Elemente mit zuzuweisen Zuweisen mit :
    • Anwender Gruppe: Mit dieser Option können Sie eine der vorhandenen auswählen Now Platform®Anwendergruppen.
    • Anwender Gruppenfeld: Mit dieser Option können Sie ein beliebiges Zuweisungsgruppenfeld auswählen, das in der Tabelle „cmdb_ci“ verfügbar ist. Standardmäßig werden die folgenden drei Gruppenfelder angezeigt:
      • Keine: Gibt keinen Standardwert für dieses Pflichtfeld an
      • Konfigurationselement: Genehmigungsgruppe
      • Konfigurationselement: Zuweisungsgruppe
      • Konfigurationselement: Supportgruppe
    • Skript: Mit dieser Option können Sie die Bedingungen mithilfe eines Skripts definieren. Diese Option erfordert Codierung oder erweitert ServiceNowFachwissen.Weitere Informationen zur Verwendung des Skripteditors zum Definieren komplexer Bedingungen finden Sie unter KB0965240 KB-artikel.

    Führen Sie zuerst Regeln mit hoher Priorität aus (Elemente, die eine spezielle Behandlung erfordern, wenn das Risiko kritisch ist oder ein VIT von der regulatorischen Compliance behandelt werden soll). Führen Sie als Nächstes Ihre allgemeinen Regeln aus, für die keine spezielle Behandlung erforderlich ist und Sie wissen, wer dafür verantwortlich sein sollte. Erstellen Sie abschließend eine Standardregel, um Vits der Gruppe zuzuweisen, die herausfindet, welcher Zuweisungsgruppe sie angehören soll. Diese Gruppe kann eine weitere Regel hinzufügen, um ihre Entscheidungen abzudecken. Diese Standardregel würde zuletzt ausgeführt.

    Bewertungsprozess für Zuweisungsregel

    Zuweisungsregeln werden verwendet, um ein VIT auszuwerten und zuzuweisen, wenn ein neues VIT geöffnet wird, d. h. importiert, manuell erstellt oder erneut geöffnet wird. Wenn Sie Zuweisungsregeln nicht manuell erneut anwenden, nachdem sich der VIT oder seine Statusänderungen geändert haben, wird ein VI einmal ausgewertet.

    Der folgende Prozess wird für jedes neue, aktualisierte oder erneut geöffnete VIT verwendet:
    • Für jede Schwachstellen-Zuweisungsregel wird der VIT mit dem Zuweisungsfilter verglichen, wobei zuerst die Regel der niedrigsten Reihenfolge gilt.
    • Wenn die Bedingung übereinstimmt, wird dem VIT eine Zuweisungsgruppe zugewiesen. Die Suche wird beendet.
    • Wenn die Bedingungen keine Übereinstimmung zwischen allen anderen Regeln finden, wird die VIT der Standardzuweisungsgruppe zugewiesen, wenn eine Standardregel vorhanden ist.
      Sobald das angreifbare Element zugewiesen wurde, verwendet die entsprechende Regel für Korrekturaufgaben die Zuweisung als eines ihrer Kriterien für die Platzierung der angreifbaren Elemente in eine Korrekturaufgabe. Siehe Vulnerability Response Übersicht über Korrekturaufgaben und Regeln für KorrekturaufgabenUnd Filtert innerhalb Vulnerability ResponseFür weitere Informationen.
      Hinweis:
      Die Standardregel ist die Regel mit dem höchsten Wert für die Ausführungsreihenfolge. Eine endgültige zu verwendende Regel, die eine gute Catch-All-Regel ist Active=wahr . Wenn keine Standardregel vorhanden ist, bleibt die VIT-Zuweisung aufgehoben, wenn die Regel für Korrekturaufgaben die Zuweisung vornimmt.

    Zuweisungsregeln werden erneut angewendet

    Wenn Sie eine Zuweisungsregel ändern, verwenden Sie Änderungen Anwenden Schaltfläche auf der Listenseite „Zuweisungsregeln“, um alle geänderten Regeln für alle aktiven offenen AES erneut auszuführen, mit Ausnahme der manuell zugewiesenen.
    Hinweis:

    Wenn Reapply all vulnerability assignment rulesDie geplante Aufgabe wurde nicht vor der ersten Verwendung ausgeführt Änderungen Anwenden , Dann werden alle Zuweisungsregeln für alle offenen Vits ausgeführt, mit Ausnahme der manuell zugewiesenen VIS. Danach alle nachfolgenden Verwendungen von Änderungen Anwenden Führen Sie nur die geänderten Regeln und alle abhängigen Regeln erneut aus. Änderungen an einer Regel können dazu führen, dass eine VIT mit einer anderen unveränderten Regel übereinstimmt. Durch das erneute Anwenden von Zuweisungsregeln werden die angreifbaren Elemente nicht neu gruppiert.

    Die geplante Aufgabe [ Reapply all vulnerability assignment rules] Ist standardmäßig inaktiv. Wenn diese Option aktiviert ist, werden alle Regeln auf alle offenen Vits angewendet, mit Ausnahme der manuell zugewiesenen. Kann ausgeführt werden Täglich , Wöchentlich , Monatlich , Regelmäßig , Einmal , Oder Bei Bedarf . Je nachdem, wie viele aktive VIS Sie in Ihrer Umgebung haben, denken Sie daran, festzulegen Ausführen Feld entsprechend nach der ersten Ausführung, um Leistungsauswirkungen zu vermeiden.

    Upgrade-Kunden sollten sich auf beziehen Vulnerability ResponseRelease-Hinweise für Informationen zu den Auswirkungen dieser Funktion auf vorhandene Vits.

    Wichtig:
    Als Schwachstellenadministrator und -Analyst können Sie die neuesten Zuweisungen für ausgewählte angreifbare Elemente in abrufen Vulnerability Manager Workspace. Diese Methode ist effizienter als die Ausführung der Zuweisungsregeln für alle angreifbaren Elemente in der klassischen Anwenderoberfläche, was ein zeitaufwändiger Prozess ist. Weitere Informationen finden Sie unter Bewerten Sie die Korrektureigenschaften der Datensätze in neu Vulnerability Manager Workspace.

    Wenn sich eine Zuweisungsgruppe in einer Zuweisungsregel ändert, können die angreifbaren Elemente automatisch neu ausgewertet und neu gruppiert werden, indem die Systemeigenschaft „sn_vul.rerun_task_rules“ und die Business-Regel „Link zu Korrekturaufgaben“ aktiviert werden.

    So aktivieren Sie die Systemeigenschaft:
    1. Navigieren zu Alle > Systemeigenschaften > Alle Eigenschaftenan.
    2. Öffnen Sie die Systemeigenschaft „sn_vul.rerun_task_rules“.
    3. In Wert Feld, legen Sie den Wert auf „wahr“ fest.
    Wenn die Systemeigenschaft auf „wahr“ festgelegt ist und die Zuweisungsregeln erneut angewendet werden, wird die Verknüpfung der angreifbaren Elemente mit den Korrekturaufgaben aufgehoben, bei denen die Bedingung nicht mehr übereinstimmt.
    Hinweis:
    Standardmäßig ist die Systemeigenschaft „sn_vul.rerun_task_rules“ auf „falsch“ festgelegt.

    Um die Neugruppierung angreifbarer Elemente zu automatisieren, müssen Sie die Business-Regel „Korrekturaufgaben verknüpfen“ aktivieren.

    So aktivieren Sie die Business-Regel:
    1. Navigieren zu Alle > Systemdefinition > Business-Regelnan.
    2. Öffnen Sie die Business-Regel „Link zu Korrekturaufgaben“.
    3. Wählen Sie aus Aktiv Kontrollkästchen zum Aktivieren der Business-Regel.
    Die Business-Regel gruppiert die angreifbaren Elemente neu, indem sie in die relevante Gruppe verschoben oder eine Gruppe erstellt wird, wenn sie nicht unter einer vorhandenen Gruppe gruppiert werden können.
    Hinweis:
    • Die angreifbaren Elemente werden aus den Gruppen entfernt, ohne die Gruppen zu löschen.
    • Nur die Elemente werden entfernt, die mithilfe von Regeln für Korrekturaufgaben oder Korrekturmaßnahmen erstellt werden.
    • Die Neugruppierung erfolgt automatisch nur, wenn sich die Zuweisungsgruppe als Teil einer Zuweisungsregel ändert, nicht, wenn sie manuell geändert wird.
    Die Neugruppierung in Arbeitsbereichen wird für Korrekturaufgaben durchgeführt, die aus einer Korrekturmaßnahme erstellt werden.