Regras de pesquisa de IC para identificar itens de configuração de Vulnerability Response integrações de vulnerabilidade de terceiros

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Quando os dados são importados de uma integração de terceiros, o Vulnerability Response usa automaticamente os dados do host para pesquisar correspondências no Configuration Management Database (CMDB). Ele faz isso usando Regras de Pesquisa de IC. Essas regras são usadas para identificar itens de configuração (ICs) e adicioná-los ao registro de item vulnerável para ajudar na correção.

    A partir da versão 19.0, navegue até Security Operations > CMDB > Regras de pesquisa para localizar a lista em sua instância.

    Conforme os ativos são importados, uma pesquisa é realizada primeiro na lista de itens descobertos usando IDs de terceiros para encontrar correspondências com os itens de configuração (ICs) de importações anteriores. Quando uma correspondência de ID de host é encontrada, ela é usada como o campo Item de configuração no registro do item vulnerável.

    Você pode ver como os ativos importados são mapeados para ICs usando a lista de Itens descobertos. Se uma correspondência não for encontrada ou o campo ID do host estiver vazio, as regras usarão as outras informações do host para tentar identificar corretamente o IC. Se uma correspondência ainda não for encontrada, um IC de espaço reservado será criado e designado como IC incompatível. Consulte ICs incompatíveis para obter mais informações sobre como esses ICs são tratados.

    As regras de pesquisa de IC podem ser separadas por domínio e são específicas da origem. Cada origem pode ter várias implantações.
    Nota:
    As regras de pesquisa de IC são compartilhadas por todas as implantações da integração de origem da vulnerabilidade. Se uma regra for excluída ou modificada, a exclusão ou as mudanças afetarão todas as implantações da integração de vulnerabilidade.
    Ao tentar uma correspondência, a primeira etapa é uma pesquisa de ID de fornecedor para uma correspondência exata entre origem, source_instance e ID de fornecedor. Em seguida, as regras de pesquisa são executadas em ordem, da menor para a maior, e param quando uma regra retorna apenas um único IC como uma correspondência. Se uma regra for criada de forma a retornar mais de um IC, somente a primeira correspondência será usada.
    Nota:
    Para evitar a correspondência em elementos de network de baixo nível, se um IC correspondente for dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nic ou cmdb_ci_ip_address, o IC primário será retornado.

    Uma propriedade do sistema para excluir classes de IC está disponível. Esta propriedade não está disponível com atualização. Consulte Ignorar classes de IC para obter informações de atualização e instruções sobre como definir a propriedade.

    Para facilitar a localização de problemas de correspondência, quando uma correspondência for encontrada, a regra de pesquisa de IC usada para localizá-la será adicionada ao registro de item descoberto no campo Regra de correspondência de IC. As regras de pesquisa são avaliadas primeiro pelo menor valor de Pedido.

    Essas regras Qualys de pesquisa de IC são enviadas com o sistema de base.
    • ID DE HOST DA QUALYS
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Essas regras Rapid7 de pesquisa de IC são enviadas com o sistema de base.
    • MACAddress
    • FQDN
    • HostName
    • IP
    Essas regras de pesquisa de IC da Tenable.io são enviadas com o sistema de base.
    • FQDN
    • NETBIOS
    • HOSTNAME
    • MACAddress
    • DNS
    Essas regras de pesquisa de IC da Tenable.sc são enviadas com o sistema de base.
    • MACAddress
    • FQDN
    • NETBIOS
    Nota:
    As regras, depois de removidas, não podem ser recuperadas. Em vez de remover as regras existentes, desative-as ao criar novas.

    A importação de dados de vulnerabilidade pode sobrecarregar uma instância e podem ocorrer problemas de desempenho com recursos se as regras não forem construídas com cuidado. A lógica usada para iterar e executar a correspondência dentro do CMDB pode resultar em longos tempos de processamento. Para evitar qualquer degradação potencial de recursos ou complicações de desempenho, teste todas as regras de pesquisa de IC personalizadas ou modificações nas regras de pesquisa de IC predefinidas. Consulte Etapas para ajudar a evitar registros duplicados ou órfãos após a execução de Vulnerability Response regras de pesquisa de IC para obter mais informações sobre como evitar registros órfãos duplicados, excluir dados e limpar dados.

    Nota:
    Para obter informações sobre correspondência de IC, consulte KB0998706.

    Aplicar novamente as regras de pesquisa de IC atualizadas

    Ao alterar uma regra de pesquisa de IC, clique em Aplicar mudanças na página da lista Regras de pesquisa de IC para executar novamente todas as regras nos itens descobertos que:
    • Foram correspondidos pelas regras atualizadas
    • Não são correspondidos por nenhuma regra
    Se o item de configuração (IC) mudar após a reaplicação das regras de pesquisa, os itens descobertos serão atualizados com o novo IC. As detecções afetadas e os itens vulneráveis também são atualizados. Para obter mais informações, consulte Reaplicar regras de pesquisa de IC em itens descobertos selecionados.