Beispiele für die Berechnung der Risikopunktzahl Configuration Compliance .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Ab v13.0 von Configuration Compliancekönnen Sie die Kriterien für die Standardrisikoregel anpassen. Verwenden Sie Risikopunktzahlen von Drittanbietern wie Qualys und Tenable für die Berechnung der Risikopunktzahl.

    Drittanbieter wie Qualys und Tenable geben ihre eigenen Punktzahlen an. Diese Punktzahlen werden in das Feld Relevanz in der Tabelle sn_vulc_test eingetragen. Verwenden Sie dieses Feld für Risikopunktzahlberechnungen. Gehen Sie wie folgt vor, um diese Punktzahl zur Berechnung der Risikopunktzahl zu verwenden:

    Fügen Sie die Quellenrelevanz als Kriterium für eine Risikoregel hinzu

    Verwenden Sie Punktzahlen basierend auf der Relevanz, die von Drittanbietern bereitgestellt werden, um Risikopunktzahlen zu berechnen.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Drittanbieter wie Qualys und Tenable geben ihre eigenen Risikopunktzahlen an. Diese Punktzahlen werden in das Feld Relevanz in der Tabelle sn_vulc_test eingetragen. Verwenden Sie dieses Feld für Risikopunktzahlberechnungen und die Berechnung der Risikopunktzahl.

    Prozedur

    1. Navigieren zu Alle > Configuration Compliance > Administration > Risikorechner.
    2. Navigieren Sie zum Formular „Risikoregel“.
    3. Deaktivieren Sie die Checkbox Aktiv, um die Regel zu deaktivieren.
    4. Klicken Sie auf Kriterien hinzufügen.
    5. Wählen Sie in der Liste Referenztabelle wählen die Option Testergebnisaus.
    6. Wählen Sie in der Liste Feld die Option Test.Relevanz aus.
    7. Geben Sie im Feld Gewichtung die relative Wichtigkeit dieses Felds an.
      Der Wert muss eine ganze Zahl zwischen 0 und 100 sein.
    8. Fügen Sie im Abschnitt „Wertgewichtungen definieren“ Feldwerte hinzu, und weisen Sie den Feldern einen Gewichtungsprozentsatz zu.
      Quellrelevanz für Risikoberechnung
    9. Klicken Sie auf Absenden.

    Geschäftsrelevanz als Kriterium für eine Risikoregel hinzufügen

    Geben Sie einen Relevanzwert für Business Services an, und verwenden Sie die Geschäftsrelevanz, um die Risikopunktzahlen zu berechnen.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Angenommen, Ihre Organisation verfügt über viele Geschäftsservices, und ein Configuration Item (CI) wird von den folgenden Services verwendet:
    Tabelle : 1. Relevanz der Business Services
    Business-Service Relevanz

    Cloud-Management

    1 – Am kritischsten

    E-Commerce

    2 – Einigermaßen kritisch

    Client-Services

    3: Weniger kritisch

    Reisekosten und Spesen

    4: Nicht kritisch
    Die Zuordnung zwischen CI und Services wird in der Tabelle „Services“ [cmdb_ci_services] gespeichert. Wenn ein CI einen Konfigurationstest nicht besteht, wird ein Testergebnis (TR) erstellt. Sie können den Wert der Geschäftsrelevanz der betroffenen Services verwenden, um die Risikopunktzahl für diese TR zu berechnen. Befolgen Sie das Verfahren, um den Relevanzwert dieser Services zur Berechnung der Risikopunktzahl zu verwenden.

    Prozedur

    1. Navigieren zu Alle > Configuration Compliance > Administration > Risikorechner.
    2. Navigieren Sie im Abschnitt „ Rechnerregeln “ zum Formular „Risikoregel“.
    3. Deaktivieren Sie die Checkbox Aktiv, um die Regel zu deaktivieren.
    4. Klicken Sie auf Kriterien hinzufügen.
    5. Wählen Sie in der Liste Referenztabelle auswählen Konfigurationselement-Referenztabelleaus.
    6. Wählen Sie in der Liste Tabelle die Option Service [cmdb_ci_service] aus.
    7. Wählen Sie in der Liste Feld die Option Geschäftsrelevanzaus.
    8. Wählen Sie im Feld Zusammenfassung die Option Minimum aus, um den kritischsten Service für diesen Anwendungsfall abzurufen (1 – Am kritischsten Wert) oder Maximum, um den am wenigsten kritischen Service für diesen Anwendungsfall abzurufen (4 – Nicht kritischer Wert).
    9. Geben Sie im Feld Gewichtung die relative Wichtigkeit dieses Felds an.
      Der Wert muss eine ganze Zahl zwischen 0 und 100 sein.
    10. Fügen Sie im Abschnitt „Wertgewichtungen definieren“ Feldwerte hinzu, und weisen Sie Gewichtungen zu.
      Abbildung : 1. Benutzerdefinierte Gewichtung der Geschäftsrelevanz-Risikoregel
      Benutzerdefinierte Gewichtung der Geschäftsrelevanz-Risikoregel
    11. Klicken Sie auf Absenden.

    Fügen Sie dem Risikorechner ein bedingtes Kriterium hinzu

    Verwenden Sie benutzerdefinierte Bedingungen für die Risikoregel für die Berechnung der Risikopunktzahl.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Angenommen, Ihre Organisation verfügt über mehrere Konfigurationselemente (CIs), von denen ein externer Benutzer nur auf einige zugreifen kann. Benutzer können Risikopunktzahlgewichtungen für diese nach außen gerichteten CIs hinzufügen.
    Hinweis:
    Sie können diese CIs anhand ihres Namens identifizieren. Die Namen beginnen mit „external“.

    Prozedur

    1. Navigieren zu Alle > Configuration Compliance > Administration > Risikorechner.
    2. Navigieren Sie zum Formular „Risikoregel“.
    3. Deaktivieren Sie die Checkbox Aktiv, um die Regel zu deaktivieren.
    4. Klicken Sie auf Kriterien hinzufügen.
    5. Wählen Sie in der Liste Referenztabelle auswählen die Option Benutzerdefinierte Bedingungenaus.
    6. Wählen Sie in der Liste BedingungstabelleKonfigurationselementaus.
    7. Geben Sie im Feld Feldname CI-Gefahrenpotenzial ein.
    8. Geben Sie im Feld Gewichtung die relative Wichtigkeit dieses Felds an.
      Der Wert muss eine ganze Zahl zwischen 0 und 100 sein.
    9. Wählen Sie im Feld Bedingung die Option Name > beginnt mitaus, und geben Sie als Wert externalan.
      Abbildung : 2. Benutzerdefinierte Bedingungen für neue Risikoregel
      Benutzerdefinierte Bedingungen für neue Risikoregel
    10. Klicken Sie auf Absenden.

    Beispiel für die Berechnung der Risikopunktzahl für Configuration Compliance

    Bestimmen Sie die Risikopunktzahlrechner, um Risikopunktzahlen zu generieren, die die für Ihre Organisation spezifischen Test- und Asset-Daten verwenden.

    Beispiel für die Bestimmung der Punktzahlen von Risikoregelrechnern

    Das folgende Beispiel zeigt, wie Punktzahlen für Risikoregelrechner bestimmt werden. Angenommen, ein Risikoregelrechner ist mit den Feldern in dieser Tabelle konfiguriert.
    Tabelle : 2. Bestimmen Sie die Punktzahlen des Risikoregelrechners
    Feld Gewichtung Gewichtungsaufgliederung
    Steuerung.Relevanz 50

    Standard: 0

    Gering: 20

    Niedrig: 30

    Moderat: 50

    Hoch: 70

    Kritisch: 100
    Business_Relevanz 50

    Standard: 0

    Gering: 20

    Niedrig: 30

    Moderat: 50

    Höhe: 70

    Kritisch: 100
    Angenommen, die in dieser Tabelle angezeigten Testergebnisse sind im System vorhanden.
    Tabelle : 3. Testergebniszuordnung
    ID Business-Relevanz Kontrollrelevanz
    CTR0000001 1: Am kritischsten Kleiner
    CTR0000002 1: Am kritischsten Niedrig
    CTR0000003 2: Einigermaßen kritisch Kleiner
    CTR0000004 2: Einigermaßen kritisch Mittel
    CTR0000005 3: Weniger kritisch Niedrig
    Die Risikopunktzahlberechnung für das Testergebnis wird basierend auf der Formel berechnet:

    Risikopunktzahl = (W(control.criticality) * FV (control.criticality). + W(business_criticality) * FV(business_criticality)) / 100, wobei W die Gewichtung und FV der Gewichtungsprozentsatz des Feldwerts ist.

    Die resultierende Risikopunktzahl für diese Testergebnisse ist in der folgenden Tabelle beschrieben:
    Tabelle : 4. Risikopunktzahl basierend auf Testergebnissen
    ID Geschäftsrelevanz (50 %) Kontrollrelevanz (50 %) Resultierende Risikopunktzahl
    CTR0000001 1 – Am kritischsten (50 % x 100) Gering (50 % x 20) 60
    CTR0000002 1 – Am kritischsten (50 % x 100) Niedrig (50 % x 30) 65
    CTR0000003 2 – Einigermaßen kritisch (50 % x 70) Gering (50 % x 30) 45
    CTR0000004 2 – Einigermaßen kritisch (50 % x 70) Mittel (50 % x 50) 60
    CTR0000005 3 – Weniger kritisch (50 % x 50) Niedrig (50 % x 30) 40
    Wenn der Gewichtungsprozentsatz für einen der Feldwerte geändert wird, finden Sie in dieser Tabelle die Ergebnisse:
    Tabelle : 5. Ergebnisse für geänderten Gewichtungsprozentsatz
    Feld Gewichtung Gewichtungsaufgliederung
    Steuerung.Relevanz 50

    Standard: 0

    Gering: 20

    Niedrig: 30

    Moderat: 60

    Höhe: 70

    Kritisch: 100
    Business_Relevanz 50

    Standard: 50

    1 – Am kritischsten: 100

    2 – Einigermaßen kritisch: 70

    3 – Weniger kritisch: 20

    4 – Nicht kritisch: 30
    Die Risikopunktzahl für die Testergebnisse nach erneuter Anwendung des Rechners wird in der folgenden Tabelle angezeigt:
    Tabelle : 6. Risikopunktzahl für TR bei erneuter Anwendung des Rechners
    ID Geschäftsrelevanz (50 %) Kontrollrelevanz (50 %) Resultierende Risikopunktzahl
    CTR0000001 1 – Am kritischsten (50 % x 100) Gering (50 % x 20) 60
    CTR0000002 1 – Am kritischsten (50 % x 100) Niedrig (50 % x 30) 65
    CTR0000003 2 – Einigermaßen kritisch (50 % x 70) Gering (50 % x 30) 45
    CTR0000004 2 – Einigermaßen kritisch (50 % x 70) Mittel (50 % x 60)

    *Überarbeiteter Wert

    		 65

    *Überarbeiteter Wert
    CTR0000005

    3 – Weniger kritisch (50 % x 20)

    *Überarbeiteter Wert

    		 Niedrig (50 % x 30) 25

    *Überarbeiteter Wert

    Beispiel für Risiko-Rollup-Berechnung für Configuration Compliance

    Das folgende Beispiel zeigt, wie Punktzahlen für Risiko-Rollup-Rechner bestimmt werden.

    Für den folgenden Rollup-Rechner für Testergebnisgruppen lautet die Formel zur Berechnung der Gruppenrisikopunktzahl des Testergebnisses:

    (Maximale Risikopunktzahl/100) * 85 + (Faktor * 15).

    Der Faktor in der vorherigen Gleichung wird durch die Anzahl der Testergebnisse bestimmt (siehe folgende Tabelle).
    Anzahl Testergebnisse Faktor
    <10 0,2
    1-99 0,4
    100–1000 0,6
    1001–9999 0,8
    > 1000 1
    Für die folgende Korrekturaufgabe, TRG0003066, mit drei Testergebnissen Risikopunktzahlen beträgt die maximale Punktzahl 90.
    Nummer Risikopunktzahl Gruppe Ergebnis Status
    CTR000123 90.0 TRG0003066 Fehlgeschlagen Offen
    CTR000124 70 TRG0003066 Fehlgeschlagen Offen
    CTR000125 40 TRG0003066 Fehlgeschlagen Offen

    Für die Korrekturaufgabe, TRG0003066, beträgt die Risikopunktzahl 79, (90/100) * 85 + 0,2 * 15 = Math.floor (76,5 +3) = 79.

    Die historische Risikopunktzahl ist null, da die Gruppe noch „Offen“ ist.

    Nach der Datenerfassung lauten die Testergebnisse „Bestanden“, und die Gruppe wechselt zu „Geschlossen“, wie in der folgenden Tabelle dargestellt.

    Nummer Risikopunktzahl Gruppe Ergebnis Status
    CTR000123 0 TRG0003066 Bestanden Geschlossen
    CTR000124 0 TRG0003066 Bestanden Geschlossen
    CTR000125 0 TRG0003066 Bestanden Geschlossen

    Der Verlauf der Testergebnisse wird in der folgenden Tabelle angezeigt.

    Nummer Risikopunktzahl Neuestes Ergebnis Ergebnis
    CTRH000111 90.0 CTR000123 Fehlgeschlagen
    CTRH000112 70 CTR000124 Fehlgeschlagen
    CTRH000113 40 CTR000125 Fehlgeschlagen

    Die Risikopunktzahl ist 0, da in der Gruppe keine offenen Testergebnisse vorhanden sind.

    Die maximale Risikopunktzahl der Ergebnisse, die bestanden haben, + die maximale Risikopunktzahl aus dem Verlauf – 90.

    Für die Testergebnisgruppe TRG0003066 beträgt die historische Risikopunktzahl 79.

    (90/100) * 85 + 0,2 * 15 = Math.Grundriss (76,5 +3) = 79.