Schritte zur Verhinderung doppelter oder verwaister Datensätze nach der Ausführung Vulnerability ResponseCI-Suchregeln

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Ergreifen Sie Schritte, um zu verhindern, dass doppelte oder verwaiste Datensätze durch Abgleiche (Konfigurationselemente (CIs) innerhalb von entstehen CMDB.

    Das Importieren von Schwachstellendaten kann eine Instanz belasten, und Leistungsprobleme mit Ressourcen können auftreten, wenn Regeln nicht sorgfältig erstellt werden. Die Logik, die zum Iterieren und Durchführen des Abgleichs innerhalb der CMDB verwendet wird, kann zu langen Verarbeitungszeiten führen. Gründliches Testen und Debugging von Verarbeitungsskripts in den Regeln trägt dazu bei, das Potenzial von Problemen später im Prozess zu mindern.

    Doppelte oder verwaiste Datensätze werden verhindert

    • Verwenden Sie kleine Teilmengen von Daten, die spezifisch für die getestete CI-Suchregel sind.
      • Legen Sie alle CI-Suchregeln, mit Ausnahme der getesteten, auf „Inaktiv“ fest.
      • Analysieren Sie die importierten CIs, um sicherzustellen, dass Sie das erwartete Verhalten beobachten und der Abgleich ordnungsgemäß erfolgt.
    • Überprüfen Sie übereinstimmende CIs
      • Überprüfen Sie die Anzahl der übereinstimmenden CIs im Vergleich zu nicht übereinstimmenden CIs. Stellen Sie sicher, dass der Prozentsatz akzeptabel ist. Schauen Sie sich nicht nur die erste Seite an, die wahrscheinlich die erste eingefügt wurde.
      • Suchen Sie manuell nach einigen CIs.
      • Überprüfen Sie, ob Benennungs- oder Feldprobleme auftreten (z. B. Suche nach einer bestimmten Domäne).

        Fügen Sie zusätzliche Übereinstimmungsregeln hinzu, wenn dies angemessen erscheint.

    • Überprüfen Sie nicht übereinstimmende CIs
      • Navigieren Sie zur Tabelle „nicht abgeglichene CIs“.
      • Nach Konfigurationselementklasse gruppieren.
      • Überprüfen Sie alle Klassen, die nicht richtig aussehen (Zertifikate, Netzwerkkarten, Bilder).
        • Finden Sie heraus, warum sie nicht mit dem richtigen CI übereinstimmen?
        • Soll die Klasse ausgeschlossen werden?
        • Soll die Klasse auf eine zugehörige Klasse erhöht werden?
    • Überprüfen Sie CI-status wie Stillgelegt .
    • Entfernen Sie Testdaten
      • Sobald Sie mit der Beobachtung des richtigen oder erwarteten Verhaltens beim CI-Abgleich beginnen, beginnen Sie von vorne.
      • Beginnen Sie von vorne mit: Löschen der zum Testen verwendeten Daten: (Siehe Daten werden aus Tabellen gelöscht Abschnitt)
        • Erkannte Elemente
        • Angreifbare Elemente
        • Korrekturaufgaben
      • Alle CI-Abgleichsregeln werden manuell erneut ausgeführt.

    Für weitere Informationen zu CI-Suchregeln und Qualys, Siehe KB0750656 artikel.

    Für weitere Informationen zu CI-Suchregeln und Rapid7, Siehe KB0818096 .

    Daten werden aus Tabellen gelöscht

    Manchmal haben Sie Daten importiert und stellen fest, dass etwas nicht stimmt. Wenn in einer Entwicklungs- oder Leistungsumgebung etwas nicht stimmt, könnten Sie sich von einer besseren Umgebung zurückziehen, aber das ist nicht immer eine Option.
    Hinweis:
    Das Ausführen dieser Aktionen erfordert ServiceNowFachwissen.
    Es gibt vier Optionen zum Löschen von Daten aus Tabellen:
    • Wird Verwendet Löschen Sie Alle Datensätze Ein Tabellenkonfiguration .
    • Konfigurieren Sie Tabellenbereinigung Indem Sie zu navigieren Automatische Entleerungen (sys_Auto_Flush.list) und wird neu erstellt Automatisch leeren Datensatz.
    • Kürzen Sie gs.truncateTable mit einem Hintergrundskript.

      Wird Verwendet truncateTableErfordert das Deaktivieren des Kontrollkästchens „Datensatz für Rollback“ in den Hintergrundskripts. Andernfalls werden eine Kopie der Tabelle und der zugehörigen kaskadierenden Tabellen erstellt. Dies dauert zu lange und schlägt wahrscheinlich fehl.

      Hinweis:
      Niemals verwenden truncateTableIn einer Produktionsumgebung. Wenden Sie sich an Ihren Support-Mitarbeiter, bevor Sie große Löschungen in Produktions- oder freigegebenen Umgebungen ausführen.