CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Konfigurations-Compliance Integrationen von Schwachstellen von Drittparteien

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Wenn Daten aus einer Drittpartei-Integration importiert werden, Konfigurations-Compliance Verwendet automatisch Hostdaten, um nach Übereinstimmungen in zu suchen Configuration Management Database (CMDB). Dies geschieht mit CI-Suchregeln . Diese Regeln werden verwendet, um Konfigurationselemente (Configuration Items, CIs) zu identifizieren und dem Testergebnisdatensatz hinzuzufügen, um die Korrektur zu erleichtern.

    Wenn Assets importiert werden, wird zuerst eine Suche für durchgeführt Erkannte Elemente Listen Sie mithilfe von Drittpartei-IDs auf, um Übereinstimmungen mit Konfigurationselementen (Configuration Item, CIs) aus vorherigen Importen zu finden. Wenn eine Host-ID-Übereinstimmung gefunden wird, wird sie als verwendet Konfigurationselement Feld im Testergebnisdatensatz.

    Sie können mit sehen, wie importierte Assets CIs zugeordnet werden Erkannte Elemente Liste. Wenn keine Übereinstimmung gefunden wird oder das Feld cmdb_ci leer ist, verwenden die Regeln die anderen Hostinformationen, um zu versuchen, das CI korrekt zu identifizieren. Wenn immer noch keine Übereinstimmung gefunden wird, wird ein Platzhalter-CI erstellt und als festgelegt Nicht abgeglichenes CI . Siehe Nicht abgeglichene CIs Um weitere Informationen zur Behandlung dieser CIs zu erhalten.

    Ein neues erkanntes Element wird erstellt und diesem CI zugeordnet.

    Hinweis:
    CI-Suchregeln sind nur für verfügbar Qualys Integration für Security Operations.
    CI-Suchregeln können domänengetrennt sein und quellspezifisch sind. Jede Quelle kann mehrere Bereitstellungen haben. Qualys kann mehrere Bereitstellungen der Qualys-Integration haben. Jede Bereitstellung verfügt über einen eigenen Satz von CI-Suchregeln.
    Hinweis:
    CI-Suchregeln werden von allen Bereitstellungen der Schwachstellenintegration freigegeben. Wenn eine Regel gelöscht oder geändert wird, wirken sich die Löschung oder Änderungen auf alle Bereitstellungen der Schwachstellenintegration aus.
    Beim Versuch einer Übereinstimmung besteht der erste Schritt in einer Lieferanten-ID-Suche nach einer genauen Übereinstimmung für Quelle, Source_instance und Lieferanten-ID. Dann werden Suchregeln in der Reihenfolge von der niedrigsten bis zur höchsten ausgeführt und beendet, wenn eine Regel nur ein einzelnes CI als Übereinstimmung zurückgibt. Wenn eine Regel so erstellt wird, dass sie mehr als ein CI zurückgibt, wird nur die erste Übereinstimmung verwendet.
    Hinweis:
    Um einen Abgleich bei Netzwerkelementen auf niedriger Ebene zu vermeiden, wenn ein übereinstimmendes CI einer von ist Dscy_switchport , cmdb_ci_Network_Adapter , cmdb_ci_nic , Oder cmdb_ci_ip_address , Das übergeordnete CI wird zurückgegeben.

    Eine Systemeigenschaft zum Ausschließen von CI-Klassen ist verfügbar. Diese Eigenschaft ist mit Upgrade nicht verfügbar. Siehe Ignorieren Sie CI-Klassen Für Upgrade-Informationen und Anweisungen zum Festlegen der Eigenschaft.

    Um das Auffinden übereinstimmender Probleme zu erleichtern, wird die CI-Suchregel, die zum Auffinden verwendet wird, dem Datensatz „erkanntes Element“ in hinzugefügt CI-Übereinstimmungsregel Feld. Suchregeln werden nach den niedrigsten Werten ausgewertet Reihenfolge Wert zuerst.

    Einige von Qualys CI-Suchregeln, die im Lieferumfang des Basissystems enthalten sind:
    • QUALYS-HOST-ID
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Einige der im Lieferumfang des Basissystems enthaltenen Microsoft Defender-CI-Suchregeln sind:
    • S3-Bucket
    • Name
    • Ressourcen-ID
    Einige der im Lieferumfang des Basissystems enthaltenen Palo Alto Prisma Cloud-CI-Suchregeln sind:
    • S3-Bucket
    • Name
    • Ressourcen-ID

    Das Importieren von Testergebnisdaten kann eine Instanz belasten, und Leistungsprobleme mit Ressourcen können auftreten, wenn Regeln nicht sorgfältig erstellt werden. Die Logik, die zum Iterieren und Durchführen des Abgleichs innerhalb von verwendet wird CMDB Kann zu längeren Verarbeitungszeiten führen. Um eine potenzielle Verschlechterung der Ressourcen oder Leistungskomplikationen zu vermeiden, testen Sie alle anwenderdefinierten CI-Suchregeln oder Änderungen an vordefinierten CI-Suchregeln . Siehe Schritte zur Verhinderung doppelter oder verwaister Datensätze nach der Ausführung Vulnerability Response CI-Suchregeln Weitere Informationen zum verhindern doppelter verwaister Datensätze, zum Löschen von Daten und zum Bereinigen von Daten.

    Aktualisierte CI-Suchregeln werden erneut angewendet

    Wenn Sie eine CI-Suchregel ändern, klicken Sie auf Änderungen Anwenden Auf der Listenseite „CI-Suchregeln“, um alle Regeln für die erkannten Elemente erneut auszuführen, die:
    • Wurden mit den aktualisierten Regeln abgeglichen
    • Werden von keiner Regel abgeglichen
    Wenn sich das Konfigurationselement (Configuration Item, CI) nach erneuter Anwendung der Suchregeln ändert, werden die erkannten Elemente mit dem neuen CI aktualisiert. Die Testergebnisse werden ebenfalls aktualisiert. Weitere Informationen finden Sie unter CI-Changes für erkannte Elemente für Konfigurations-Compliance.