Beispiele für Konfigurations-Compliance Berechnung der Risikopunktzahl

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer

    • Beginnend mit v13.0 von Konfigurations-Compliance, Sie können die Kriterien für die Standardrisikoregel anpassen. Verwenden Sie Risikopunktzahlen, die von Drittparteien wie Qualys und Tenable für die Berechnung der Risikopunktzahl bereitgestellt werden.

    Drittpartei-Lieferanten wie Qualys und Tenable geben ihre eigenen Punktzahlen an. Diese Punktzahlen werden im Feld Relevanz in der Tabelle „sn_vulc_Test“ ausgefüllt. Verwenden Sie dieses Feld für Berechnungen der Risikopunktzahl. Um diese Punktzahl zur Berechnung der Risikopunktzahl zu verwenden, gehen Sie wie folgt vor:

    Fügen Sie Quellenrelevanz als Kriterium für eine Risikoregel hinzu

    Verwenden Sie Punktzahlen basierend auf der Relevanz, die von Drittparteien bereitgestellt wurde, um Risikopunktzahlen zu berechnen.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Drittpartei-Lieferanten wie Qualys und Tenable stellen ihre eigenen Risikopunktzahlen bereit. Diese Punktzahlen werden im Feld Relevanz in der Tabelle „sn_vulc_Test“ ausgefüllt. Verwenden Sie dieses Feld für Berechnungen der Risikopunktzahl und die Berechnung der Risikopunktzahl.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechneran.
    2. Navigieren Sie zum Formular „Risikoregel“.
    3. Löschen Sie Aktiv Kontrollkästchen zum Deaktivieren der Regel.
    4. Klicken Sie Auf Fügen Sie Kriterien Hinzu .
    5. Von Wählen Sie die Referenztabelle aus Liste, wählen Sie aus Testergebnis .
    6. Von Feld Liste, wählen Sie aus Test.Relevanz .
    7. In Gewichtung Feld die relative Wichtigkeit dieses Felds angeben.
      Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    8. In Definieren Sie Wertgewichtungen Fügen Sie Feldwerte hinzu, und weisen Sie den Feldern einen Gewichtungsprozentsatz zu.
      Quellenrelevanz für die Risikoberechnung
    9. Klicken Sie auf Absenden.

    Fügen Sie Geschäftsrelevanz als Kriterium für eine Risikoregel hinzu

    Geben Sie einen Relevanzwert für Business-Services an, und verwenden Sie die Geschäftsrelevanz, um die Risikopunktzahlen zu berechnen.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Vorausgesetzt, Ihre Organisation verfügt über viele Business-Services, und ein Configuration Item (CI) wird von den folgenden Services verwendet:
    Tabelle : 1. Relevanz der Business-Services
    Business-Service Relevanz

    Cloud-Management

    1 – Sehr kritisch

    E-Commerce

    2 – Kritisch

    Client-Services

    3 – Weniger kritisch

    Reise und Ausgaben

    4 – Nicht kritisch
    Die Zuordnung zwischen CI und Services wird in der Tabelle „Services“ [cmdb_ci_Services] gespeichert. Wenn ein CI keinen Konfigurationstest besteht, wird ein Testergebnis (TR) erstellt. Sie können den Wert der Geschäftsrelevanz aus den betroffenen Services verwenden, um die Risikopunktzahl für diese TR zu berechnen. Befolgen Sie das Verfahren, um den Relevanzwert dieser Services zur Berechnung der Risikopunktzahl zu verwenden.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechneran.
    2. Navigieren Sie vom zum Formular „Risikoregel“ Rechnerregeln Abschnitt.
    3. Löschen Sie Aktiv Kontrollkästchen zum Deaktivieren der Regel.
    4. Klicken Sie Auf Fügen Sie Kriterien Hinzu .
    5. Von Wählen Sie die Referenztabelle aus Liste, wählen Sie aus Konfigurationselement-Referenztabelle .
    6. Von Tabelle Liste, wählen Sie aus Service [cmdb_ci_Service] .
    7. Von Feld Liste, wählen Sie aus Geschäftsrelevanz .
    8. In Zusammenfassung Feld auswählen Minimum Um den kritischsten Service für diesen Anwendungsfall abzurufen (1 – kritischster Wert) oder Maximum Dient zum Abrufen des am wenigsten kritischen Service für diesen Anwendungsfall (4 – nicht kritischer Wert).
    9. In Gewichtung Feld die relative Wichtigkeit dieses Felds angeben.
      Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    10. In Definieren Sie Wertgewichtungen Fügen Sie Feldwerte hinzu, und weisen Sie Gewichtungen zu.
      Abbildung : 1. Anwenderdefinierte Gewichtung der Geschäftsrelevanz-Risikoregel
      Anwenderdefinierte Gewichtung der Geschäftsrelevanz-Risikoregel
    11. Klicken Sie auf Absenden.

    Fügen Sie dem Risikorechner ein bedingtes Kriterium hinzu

    Verwenden Sie anwenderdefinierte Bedingungen für die Risikoregel für die Berechnung der Risikopunktzahl.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Angenommen, Ihre Organisation verfügt über mehrere Konfigurationselemente (Configuration Items, CIs), von denen nur einige von einem externen Anwender aufgerufen werden können. Benutzer können Risikopunktzahlgewichtungen für diese nach außen gerichteten CIs hinzufügen.
    Hinweis:
    Sie können diese CIs anhand ihres Namens identifizieren. Die Namen beginnen mit „extern“.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechneran.
    2. Navigieren Sie zum Formular „Risikoregel“.
    3. Löschen Sie Aktiv Kontrollkästchen zum Deaktivieren der Regel.
    4. Klicken Sie Auf Fügen Sie Kriterien Hinzu .
    5. Von Wählen Sie die Referenztabelle aus Liste, wählen Sie aus Anwenderdefinierte Bedingungen .
    6. Von Bedingungstabelle Liste, wählen Sie aus Konfigurationselement .
    7. In Feldname Feld eingeben CI-Risiko .
    8. In Gewichtung Feld die relative Wichtigkeit dieses Felds angeben.
      Der Wert muss eine Ganzzahl von 0 bis 100 sein.
    9. In Bedingung Feld auswählen Name > beginnt mit , Geben Sie den Wert als an Extern .
      Abbildung : 2. Anwenderdefinierte Bedingungen für neue Risikoregel
      Anwenderdefinierte Bedingungen für neue Risikoregel
    10. Klicken Sie auf Absenden.

    Beispiel zur Berechnung der Risikopunktzahl für Konfigurations-Compliance

    Bestimmen Sie die Risikopunktzahlrechner, um Risikopunktzahlen zu generieren, die die für Ihre Organisation spezifischen Test- und Asset-Daten verwenden.

    Beispiel für die Bestimmung der Punktzahlen von Risikoregelrechnern

    Das folgende Beispiel zeigt, wie Punktzahlen für Risikoregelrechner bestimmt werden. Angenommen, ein Risikoregelrechner ist mit den Feldern in dieser Tabelle konfiguriert.
    Tabelle : 2. Bestimmen Sie die Punktzahlen des Risikoregelrechners
    Feld Gewichtung Gewichtungsaufgliederung
    Steuerung.Relevanz 50

    Standard: 0

    Minderjährig: 20

    Niedrig: 30

    Mittel: 50

    Hoch: 70

    Kritisch: 100
    Business_Relevanz 50

    Standard: 0

    Minderjährig: 20

    Niedrig: 30

    Mittel: 50

    Höhe: 70

    Kritisch: 100
    Davon ausgehen, dass die Testergebnisse, die in dieser Tabelle angezeigt werden, im System vorhanden sind.
    Tabelle : 3. Testergebniszuordnung
    ID Business-Relevanz Steuerungsrelevanz
    CTR0000001 1: Am Kritischsten Kleiner
    CTR0000002 1: Am Kritischsten Niedrig
    CTR0000003 2: Etwas Kritisch Kleiner
    CTR0000004 2: Etwas Kritisch Mittel
    CTR0000005 3 – Weniger Kritisch Niedrig
    Die Berechnung der Risikopunktzahl für das Testergebnis wird basierend auf der folgenden Formel berechnet:

    Risikopunktzahl = (W(Control.Relevanz) * FV (Control.Relevanz). + W(Business_Relevality) * FV(Business_Relevality)) / 100, wobei W die Gewichtung und FV der Gewichtungsprozentsatz des Feldwerts ist.

    Die resultierende Risikopunktzahl für diese Testergebnisse ist wie in dieser Tabelle beschrieben:
    Tabelle : 4. Risikopunktzahl basierend auf Testergebnissen
    ID Geschäftsrelevanz (50 %) Steuerungsrelevanz (50 %) Resultierende Risikopunktzahl
    CTR0000001 1 – am kritischsten (50 % x100) Gering (50 % x 20) 60
    CTR0000002 1 – am kritischsten (50 % x100) Niedrig (50 % x 30) 65
    CTR0000003 2 – etwas kritisch (50 % x 70) Gering (50 % x 30) 45
    CTR0000004 2 – etwas kritisch (50 % x 70) Mittel (50 % x 50) 60
    CTR0000005 3 – weniger kritisch (50 % x 50) Niedrig (50 % x 30) 40
    Wenn der Gewichtungsprozentsatz für einen der Feldwerte geändert wird, finden Sie die Ergebnisse in dieser Tabelle:
    Tabelle : 5. Ergebnisse für geänderten Gewichtungsprozentsatz
    Feld Gewichtung Gewichtungsaufgliederung
    Steuerung.Relevanz 50

    Standard: 0

    Minderjährig: 20

    Niedrig: 30

    Mittel: 60

    Höhe: 70

    Kritisch: 100
    Business_Relevanz 50

    Standard: 50

    1 – Äußerst Kritisch: 100

    2 – Etwas Kritisch: 70

    3 – Weniger Kritisch: 20

    4 – Nicht Kritisch: 30
    Die Risikopunktzahl für die Testergebnisse nach erneuter Anwendung des Rechners wird in dieser Tabelle angezeigt:
    Tabelle : 6. Risikopunktzahl für TR bei erneuter Anwendung des Rechners
    ID Geschäftsrelevanz (50 %) Steuerungsrelevanz (50 %) Resultierende Risikopunktzahl
    CTR0000001 1 – am kritischsten (50 % x100) Gering (50 % x 20) 60
    CTR0000002 1 – am kritischsten (50 % x100) Niedrig (50 % x 30) 65
    CTR0000003 2 – etwas kritisch (50 % x 70) Gering (50 % x 30) 45
    CTR0000004 2 – etwas kritisch (50 % x 70) Mittel (50 % x 60)

    *Überarbeiteter Wert

    		 65

    *Überarbeiteter Wert
    CTR0000005

    3 – weniger kritisch (50 % x 20)

    *Überarbeiteter Wert

    		 Niedrig (50 % x 30) 25

    *Überarbeiteter Wert

    Beispiel für die Berechnung des Risiko-Rollups für Konfigurations-Compliance(Vor v15.0)

    Das folgende Beispiel zeigt, wie Punktzahlen für Risiko-Rollup-Rechner bestimmt werden.

    Für den folgenden Korrekturaufgaben-Rollup-Rechner lautet die Formel für die Berechnung der Risikopunktzahl der Korrekturaufgabe:

    (Maximale Risikopunktzahl/100) * 85 + (Faktor * 15).

    Der Faktor in der vorherigen Gleichung wird durch die Anzahl der Testergebnisse bestimmt, wie in der folgenden Tabelle gezeigt.
    Anzahl Testergebnisse Faktor
    < 10 0,2
    10-99 0,4
    100-1000 0,6
    1001-9999 0,8
    >10000 1
    Für die folgende Korrekturaufgabe TRG0003066 mit drei Testergebnisrisikopunktzahlen beträgt die maximale Punktzahl 90.
    Anzahl Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Fehlgeschlagen Öffnen
    CTR000124 70 TRG0003066 Fehlgeschlagen Öffnen
    CTR000125 40 TRG0003066 Fehlgeschlagen Öffnen

    Für die Korrekturaufgabe TRG0003066:

    Die Risikopunktzahl beträgt 79, (90/100) * 85 + 0,2 * 15 = Math.Floor (76,5 +3) =79.

    Die historische Risikopunktzahl ist null, da die Korrekturaufgabe noch „Offen“ ist.

    Nach der Datenerfassung werden die Testergebnisse „bestanden“, und die Korrekturaufgabe wechselt wie in der folgenden Tabelle gezeigt zu „Geschlossen“.

    Anzahl Risikopunktzahl (vor v15.0) Nachbesserungsaufgabe Ergebnis Status
    CTR000123 0 TRG0003066 Bestanden Geschlossen
    CTR000124 0 TRG0003066 Bestanden Geschlossen
    CTR000125 0 TRG0003066 Bestanden Geschlossen

    Der Testergebnisverlauf wird in der folgenden Tabelle angezeigt.

    Anzahl Risikopunktzahl Neuestes Ergebnis Ergebnis
    CTRH000111 90.0 CTR000123 Fehlgeschlagen
    CTRH000112 70 CTR000124 Fehlgeschlagen
    CTRH000113 40 CTR000125 Fehlgeschlagen

    Die Risikopunktzahl ist null, da die Korrekturaufgabe keine aktiven Testergebnisse enthält.

    Für die Korrekturaufgabe TRG0003066:

    Die historische Risikopunktzahl beträgt 79: (90/100) * 85 + 0,2 * 15 = Math.Floor (76,5 +3) =79.

    Beispiel für die Berechnung des Risiko-Rollups für Konfigurations-Compliance(V15.0 und höher)

    Das folgende Beispiel zeigt, wie Punktzahlen für Risiko-Rollup-Rechner bestimmt werden.

    Für den folgenden Korrekturaufgaben-Rollup-Rechner lautet die Formel für die Berechnung der Risikopunktzahl der Korrekturaufgabe:

    (Maximale Risikopunktzahl* 80/100) + (durchschnittliche Risikopunktzahl* 5/100) + (Faktor * 15)

    Wobei die Gewichtungen wie folgt lauten:

    • Maximale Risikopunktzahl: 80
    • Durchschnittliche Risikopunktzahl: 5
    • Faktor: 15

    Die Standardgewichtung der durchschnittlichen Risikopunktzahl ist 0. Weitere Informationen zum Festlegen der Gewichtungen finden Sie unter Bearbeiten Sie Risiko-Rollup-Rechner für Konfigurations-Compliance.

    Der Faktor in der vorherigen Gleichung wird durch die Anzahl der Testergebnisse bestimmt, wie in der folgenden Tabelle gezeigt.
    Anzahl Testergebnisse Faktor
    < 10 0,2
    10-99 0,4
    100-1000 0,6
    1001-9999 0,8
    >10000 1
    Für die folgende Korrekturaufgabe TRG0003066 mit drei Testergebnisrisikopunktzahlen beträgt die maximale Risikopunktzahl 90 und die durchschnittliche Risikopunktzahl 66.67.
    Anzahl Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Fehlgeschlagen Öffnen
    CTR000124 70 TRG0003066 Fehlgeschlagen Öffnen
    CTR000125 40 TRG0003066 Fehlgeschlagen Öffnen

    Für die Korrekturaufgabe TRG0003066:

    Die Risikopunktzahl ist 81, (90* 80/100) + (66,67* 5/100) + (0,2 * 15) = Math.Floor (78,3 +3) = 81.

    Die historische Risikopunktzahl ist null, da die Korrekturaufgabe noch „Offen“ ist.

    Nach der Datenerfassung werden die Testergebnisse „bestanden“, und die Korrekturaufgabe wechselt wie in der folgenden Tabelle gezeigt zu „Geschlossen“. Ab v15.0 von Konfigurations-Compliance, Die Risikopunktzahl eines bestandenen Testergebnisses wird ausgefüllt, um das verringerte Risiko zu bestimmen.

    Anzahl Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Bestanden Geschlossen
    CTR000124 70 TRG0003066 Bestanden Geschlossen
    CTR000125 40 TRG0003066 Bestanden Geschlossen

    Der Testergebnisverlauf wird in der folgenden Tabelle angezeigt.

    Anzahl Risikopunktzahl Neuestes Ergebnis Ergebnis
    CTRH000111 90.0 CTR000123 Fehlgeschlagen
    CTRH000112 70 CTR000124 Fehlgeschlagen
    CTRH000113 40 CTR000125 Fehlgeschlagen

    Die Risikopunktzahl der Korrekturaufgabe ist null, da die Korrekturaufgabe keine aktiven Testergebnisse enthält.

    Für die Korrekturaufgabe TRG0003066:

    Die historische Risikopunktzahl beträgt 81: (90* 80/100) + (66.67* 5/100) + (0,2 * 15) = Math.Floor (78,3 +3) = 81.