CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Vulnerability Response Integrationen von Schwachstellen von Drittparteien

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Wenn Daten aus einer Drittpartei-Integration importiert werden, Vulnerability Response Verwendet automatisch Hostdaten, um nach Übereinstimmungen in zu suchen Configuration Management Database (CMDB). Dies geschieht mit CI-Suchregeln . Diese Regeln werden verwendet, um Konfigurationselemente (Configuration Items, CIs) zu identifizieren und dem Datensatz für angreifbare Elemente hinzuzufügen, um die Korrektur zu erleichtern.

    Navigieren Sie ab Version 19.0 zu Security Operations > CMDB > Suchregeln Um die Liste in Ihrer Instanz zu suchen.

    Wenn Assets importiert werden, wird zuerst eine Suche für durchgeführt Erkannte Elemente Listen Sie mithilfe von Drittpartei-IDs auf, um Übereinstimmungen mit Konfigurationselementen (Configuration Item, CIs) aus vorherigen Importen zu finden. Wenn eine Host-ID-Übereinstimmung gefunden wird, wird sie als verwendet Konfigurationselement Feld im Datensatz des angreifbaren Elements.

    Sie können mit sehen, wie importierte Assets CIs zugeordnet werden Erkannte Elemente Liste. Wenn keine Übereinstimmung gefunden wird oder das Feld „Host-ID“ leer ist, verwenden die Regeln die anderen Hostinformationen, um zu versuchen, das CI korrekt zu identifizieren. Wenn immer noch keine Übereinstimmung gefunden wird, wird ein Platzhalter-CI erstellt und als festgelegt Nicht abgeglichenes CI . Siehe Nicht abgeglichene CIs Um weitere Informationen zur Behandlung dieser CIs zu erhalten.

    CI-Suchregeln können domänengetrennt sein und quellspezifisch sind. Jede Quelle kann mehrere Bereitstellungen haben.
    Hinweis:
    CI-Suchregeln werden von allen Bereitstellungen der Integration der Schwachstellenquelle freigegeben. Wenn eine Regel gelöscht oder geändert wird, wirken sich die Löschung oder Änderungen auf alle Bereitstellungen der Schwachstellenintegration aus.
    Beim Versuch einer Übereinstimmung besteht der erste Schritt in einer Lieferanten-ID-Suche nach einer genauen Übereinstimmung für Quelle, Source_instance und Lieferanten-ID. Dann werden Suchregeln in der Reihenfolge von der niedrigsten bis zur höchsten ausgeführt und beendet, wenn eine Regel nur ein einzelnes CI als Übereinstimmung zurückgibt. Wenn eine Regel so erstellt wird, dass sie mehr als ein CI zurückgibt, wird nur die erste Übereinstimmung verwendet.
    Hinweis:
    Um einen Abgleich bei Netzwerkelementen auf niedriger Ebene zu vermeiden, wenn ein übereinstimmendes CI einer von ist Dscy_switchport , cmdb_ci_Network_Adapter , cmdb_ci_nic , Oder cmdb_ci_ip_address , Das übergeordnete CI wird zurückgegeben.

    Eine Systemeigenschaft zum Ausschließen von CI-Klassen ist verfügbar. Diese Eigenschaft ist mit Upgrade nicht verfügbar. Siehe Ignorieren Sie CI-Klassen Für Upgrade-Informationen und Anweisungen zum Festlegen der Eigenschaft.

    Um das Auffinden übereinstimmender Probleme zu erleichtern, wird die CI-Suchregel, die zum Auffinden verwendet wird, dem Datensatz „erkanntes Element“ in hinzugefügt CI-Übereinstimmungsregel Feld. Suchregeln werden nach den niedrigsten Werten ausgewertet Reihenfolge Wert zuerst.

    Die CI-Suchregeln werden mit den entsprechenden Integrations-Plugins geliefert.

    Einige von Qualys CI-Suchregeln sind:
    • QUALYS-HOST-ID
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Einige von Rapid7 CI-Suchregeln sind:
    • MAC-Adresse
    • FQDN
    • HostName
    • IP
    Einige der CI-Suchregeln für Tenable.io sind:
    • FQDN
    • NETBIOS
    • HOSTNAME
    • MAC-Adresse
    • DNS
    Hinweis:
    Die CI-Suchregeln Tenable.io priorisieren und füllen die nicht leeren Netzwerkschnittstellenwerte (FDQN, IPV4 und MacAddress) gegenüber den regulären FDQN-, IPV4- und MacAddress-Werten für ein erkanntes Element aus. Wenn diese Netzwerkschnittstellenwerte leer sind, werden die regulären FDQN-, IPV4- und MacAddress-Werte für ein erkanntes Element ausgefüllt.
    Einige der CIs Tenable.sc-Suchregeln sind:
    • MAC-Adresse
    • FQDN
    • NETBIOS
    Hinweis:
    Regeln können nach dem Entfernen nicht wiederhergestellt werden. Anstatt vorhandene Regeln zu entfernen, deaktivieren Sie sie beim Erstellen neuer Regeln.

    Das Importieren von Schwachstellendaten kann eine Instanz belasten, und Leistungsprobleme mit Ressourcen können auftreten, wenn Regeln nicht sorgfältig erstellt werden. Die Logik, die zum Iterieren und Durchführen des Abgleichs innerhalb von verwendet wird CMDB Kann zu längeren Verarbeitungszeiten führen. Um eine potenzielle Verschlechterung der Ressourcen oder Leistungskomplikationen zu vermeiden, testen Sie alle anwenderdefinierten CI-Suchregeln oder Änderungen an vordefinierten CI-Suchregeln . Siehe Schritte zur Verhinderung doppelter oder verwaister Datensätze nach der Ausführung Vulnerability Response CI-Suchregeln Weitere Informationen zum verhindern doppelter verwaister Datensätze, zum Löschen von Daten und zum Bereinigen von Daten.

    Hinweis:
    Informationen zum CI-Abgleich finden Sie unter KB0998706 .

    Aktualisierte CI-Suchregeln werden erneut angewendet

    Wenn Sie eine CI-Suchregel ändern, klicken Sie auf Änderungen Anwenden Auf der Listenseite „CI-Suchregeln“, um alle Regeln für die erkannten Elemente erneut auszuführen, die:
    • Wurden mit den aktualisierten Regeln abgeglichen
    • Werden von keiner Regel abgeglichen
    Wenn sich das Konfigurationselement (Configuration Item, CI) nach erneuter Anwendung der Suchregeln ändert, werden die erkannten Elemente mit dem neuen CI aktualisiert. Die betroffenen Erkennungen und angreifbaren Elemente werden ebenfalls aktualisiert. Weitere Informationen finden Sie unter Wenden Sie CI-Suchregeln erneut auf ausgewählte erkannte Elemente an .