CI-Suchregeln für Microsoft Defender for Cloud Integration für Security Operations und Palo Alto Prisma Cloud

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Sie können die Suchregeln für Configuration Items (CIs) für die Integrationen Microsoft Defender for Cloud Integration und Palo Alto Prisma Cloud verwenden, um eine korrekte Übereinstimmung mit häufig verwendeten Ressourcentypen in Configuration Management Database (CMDB)zu finden.

    Übersicht

    Das Modul „CI-Suchregeln“ enthält die Regeln, die Sie beim Definieren der Felder mit den übereinstimmenden Daten in Configuration Management Database (CMDB)unterstützen. Sie können die folgenden Regeln verwenden, um die Anwendungen und Anwendungsveröffentlichungen zu identifizieren. Alle Microsoft Defender for Cloud Integration - und Palo Alto Prisma Cloud -Assets werden eindeutig durch die Kombination von Objekt-ID, Cloud-Konto und logischem Rechenzentrum in der ServiceNow -Plattformidentifiziert. Die Erkennung [ ServiceNow füllt die Ressourcen-ID in der Spalte Object_id von CMDB in verschiedenen Formaten für die verschiedenen Ressourcentypen aus. Die folgende Tabelle zeigt die Objekt-ID-Formate häufig verwendeter Ressourcentypen, die vom Discovery-Service zum Ausfüllen der Spalte Object_id des CI verwendet werden. Jeder Scanner, der ein Asset eines bestimmten Ressourcentyps suchen möchte, muss im richtigen Objekt-ID-Format suchen. Sie können das richtige Objekt-ID-Format erhalten, indem Sie in die Objekt-ID-Spalte der entsprechenden CMDB CI-Klasse schauen und dann versuchen, die Objekt-ID mit den vom Scanner empfangenen Werten zu erstellen.
    Tabelle : 1. Objekt-ID-Format für verschiedene Ressourcentypen
    Ressourcentyp Format
    AWS::EC2::Instance Objekt-ID
    AWS::ElasticLoadBalancing::LoadBalancer Name des Lastenausgleichsmoduls
    AWS::S3::Bucket arn:aws:s3:::<Bucket Name>

    Die CI-Übereinstimmung für ein Testergebnis wird in Configuration Management Database (CMDB) möglicherweise nicht genau gefunden, es sei denn, in der Suchregel wird dasselbe Format der object_id verwendet. Meistens finden die OOB-CI-Suchregeln eine Übereinstimmung mit den am häufigsten verwendeten Ressourcentypen für Microsoft Defender for Cloud Integration und Palo Alto Prisma Cloud. Wenn die folgenden CI-Suchregeln die CIs in CMDB für Ihre Testergebnisse nicht finden, können Sie eine CI-Suchregel für einen Ressourcentyp erstellen. Weitere Informationen zum Erstellen einer CI-Suchregel finden Sie unter CI-Suchregeln erstellen.

    CI-Suchregeln

    Die folgenden CI-Suchregeln gelten spezifisch für Microsoft Defender for Cloud Integration und Palo Alto Prisma Cloud.
    S3-Bucket
    Diese Suchregel versucht, das CI in CMDB anhand des Werts zu finden, der durch Verkettung von arn:aws:s3::: und Ressourcenname erhalten wurde. Der erhaltene Wert wird in der Spalte object_id der Tabelle cmdb_ci_cloud_object_storage gesucht. Diese Suchregel gilt nur, wenn der Ressourcentyp AWS::S3::Bucketlautet
    Name
    Diese Suchregel versucht, das CI in CMDB anhand des Namens zu finden. Der Name, der in der Spalte Object_id der CI-Klasse gesucht wird, entspricht einem Ressourcentyp in der Tabelle sn_capi_resource_type.
    Hinweis:
    Für die Anwendung Palo Alto Prisma Cloud wird diese CI-Suchregel nur für die Ressourcentypen AWS::RDS::DBInstance, AWS::ElasticLoadBalancing::LoadBalancerund AWS::CloudTrail::Trail ausgeführt. Sie können die Ressourcentypen hinzufügen, für die Sie diese CI-Suchregel ausführen möchten.
    Ressourcen-ID
    Diese Suchregel versucht, das CI in CMDB anhand der Ressourcen-ID zu finden. Die Ressourcen-ID, die in der Spalte Object_id der CI-Klasse gesucht wird, entspricht einem Ressourcentyp in der Tabelle sn_capi_resource_type.
    Hinweis:
    Sie können die Priorität für eine CI-Suchregel im Feld Reihenfolge festlegen. Die CI-Suchregel mit dem geringsten Reihenfolgewert wird zuerst ausgeführt.