Definir campos e pesos para a regra de risco das Calculadoras de risco da Resposta a vulnerabilidades

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • Personalize os parâmetros e pesos da regra de risco para que você possa gerar pontuações de risco que usam os dados de vulnerabilidade e ativo exclusivos da sua organização. Ao selecionar os campos incluídos na regra de risco, você pode definir uma estrutura de pontuação de risco eficaz.

    Antes de Iniciar

    Além disso, você pode usar atributos no configuration_item [cmdb_ci] no Configuration Management Database (CMDB) para ajudá-lo a criar lógica para suas calculadoras de risco da Resposta a vulnerabilidades. Se, por exemplo, você determinar que os ICs externos em sua organização são mais vulneráveis e podem precisar de correção imediata, você pode atribuir atributos como Internet Facing para esses ICs. Este atributo e outros estão listados nas notas de versão do Common Service Data Model para a versão da família Orlando. Para obter informações e orientações atuais sobre o CMDB, consulte os seguintes tópicos:

    Função necessária: sn_vul.manage_risk_score_configuration

    Procedimento

    1. Navegar até Todos > Resposta a vulnerabilidades > Administração > Calculadoras de vulnerabilidade.
    2. Na página Calculadoras de vulnerabilidade, selecione Calculadora de risco padrão.
    3. Navegar até Página da Calculadora de vulnerabilidade > Guia Regras da calculadora de vulnerabilidade > Regra de Risco Padrão.
    4. Opcional: Na seção Critérios da calculadora de risco da página Regra de risco de vulnerabilidade, defina o peso de cada critério de acordo com sua importância no cálculo de pontuação de risco geral.
    5. Para desativar a regra, você deve desmarcar a caixa de seleção Ativo.
    6. Para adicionar campos de regra de risco aos critérios da calculadora de risco, selecione Adicionar critérios.
    7. No formulário, preencha os campos.
      Tabela 1. Formulário de campo de regra de risco
      Campo Descrição
      Escolher tabela de referência Tabela que você usa para definir o peso da pontuação de risco. Você pode selecionar uma destas opções:
      • Item vulnerável: adicione campos que são diretamente referência com pontos do item vulnerável (VI).
      • Item vulnerável - Item de configuração: adicione campos de referência com pontos que fazem parte das extensões da tabela base, como a tabela Hardware. Esses campos não fazem parte da tabela base (cmdb_ci).
      • Item vulnerável - Vulnerabilidade: adicione campos de referência com pontos que fazem parte das tabelas que estendem a tabela base, por exemplo, Entrada de terceiro. Esses campos não fazem parte da tabela base de entrada de vulnerabilidade.
      • Tabela de referência de item vulnerável: adicione campos que fazem parte das tabelas relacionadas (m2m) ou tabelas que têm uma referência ao item vulnerável. Esses campos não são passíveis de referência com pontos diretamente do IV.
      • Tabela de referência de item de configuração: adicione campos que fazem parte das tabelas relacionadas (m2m) de cmdb_ci ou tabelas que têm uma referência a cmdb_ci. Esses campos não são passíveis de referência com pontos diretamente do IV.
      • Tabela de referência de vulnerabilidade: adicione campos que fazem parte das tabelas relacionadas (m2m) de sn_vul_entry ou tabelas que têm uma referência a sn_vul_entry. Esses campos não são passíveis de referência com pontos diretamente do IV.
      • Condições personalizadas: use esta opção para atribuir pesos à regra avaliando a condição. Por exemplo, o filtro voltado para a Internet determina se um item de configuração (IC) é externo ou interno.
      Tabela Campo que aparece somente quando uma das seguintes opções é selecionada na tabela Escolher referência:
      • Item vulnerável -> Item de configuração
      • Item vulnerável -> Vulnerabilidade
      • Tabela de referência do item vulnerável
      • Tabela de referência do item de configuração
      • Tabela de referência de vulnerabilidade
      Campo Campo a ser usado para cálculo de pontuação de risco para esta regra.
      Agregação Campo que aparece somente quando uma tabela de referência é selecionada em Escolher tabela de referência. Selecione o valor mínimo ou máximo a ser considerado para cálculos quando Campo for selecionado nas Tabelas relacionadas (m2m).
      Ponderação Ponderação deste campo na regra de risco. O valor deve ser um número inteiro de 0 a 100.
      Definir ponderação de valor Componente para atribuir pesos a cada valor de campo. Para campos numéricos, os valores de campo podem ser definidos como um intervalo (por exemplo, 1–5). Os pesos devem ser um número inteiro entre 0 e 100.
      Nota:
      Este campo não aparecerá se a opção Condições personalizadas for selecionada na tabela Escolher referência.
      Tabela de condição Campo que aparece somente quando Condições personalizadas são selecionadas na tabela Escolher referência. Selecione uma condição na lista.
      Nome do campo Campo que aparece somente quando Condições personalizadas são selecionadas na tabela Escolher referência. Insira um nome para os critérios de risco.
      Condição Campo que aparece somente quando Condições personalizadas são selecionadas na tabela Escolher referência. Visualize os itens nesta tabela que correspondem às condições definidas.
    8. Selecione Enviar.
    9. Na página Regra, ative e reaplique a regra para reavaliar a pontuação de risco nos itens vulneráveis ativos.
      Nota:
      A partir da versão 23.0 de Resposta a vulnerabilidades, no caso de:
      • Regra dacalculadora de risco padrão : sempre que a pontuação de risco em um item vulnerável (VIT) muda, os seguintes detalhes são documentados na seção Anotações do VIT:
        • Nome do grupo de calculadoras
        • Nome da calculadora
        • Valores de campo que têm um peso maior que 1 e sua contribuição de pontuação de risco.
        • Pontuação de risco final
      • Regra de risco degravidade de vulnerabilidade : sempre que a pontuação de risco é atualizada em um VIT, a seção Anotações é atualizada com os seguintes detalhes:
        • Nome do grupo de calculadoras
        • Nome da calculadora: dependendo se a regra da calculadora é baseada em um modelo ou em um script, o nome é acrescentado com os detalhes entre colchetes. Para modificar ou exibir a base da regra da calculadora, selecione qualquer regra e marque a caixa de seleção Exibição avançada. Na caixa suspensa Tipo de valor, selecione a opção necessária. Se o modelo for selecionado, a pontuação de risco será atualizada de acordo com a condição especificada na regra. Se Script estiver selecionado, você poderá adicionar ou atualizar o script existente.

    Exemplo

    Exemplo 1: adicione uma gravidade de origem como critério para uma regra de risco.

    Caso de uso: fornecedores de terceiros, como Qualys e Tenable, fornecem suas próprias pontuações. Essas pontuações são preenchidas no campo Gravidade de origem na tabela sn_vul_entry. Use este campo para cálculos de pontuação de risco. Para usar esta pontuação para calcular a pontuação de risco, faça o seguinte:

    1. Navegue até a página Regra de risco.
    2. Para desativar a regra, desmarque a caixa de seleção Ativo.
    3. Para adicionar campos de regra de risco aos critérios da calculadora de risco, selecione Adicionar critérios.
    4. Na lista Escolher tabela de referência, selecione Item vulnerável.
    5. Na lista Campo, selecione Vulnerability.Source Severity.
    6. No campo Peso, insira a importância relativa deste campo na regra de risco. O valor deve ser um número inteiro de 0 a 100.
    7. Na seção Definir ponderação de valor, adicione valores de campo e atribua um peso a eles.
      Figura 1. Tabela de Item Vulnerável
      Exemplo de VI de regra de risco.
    8. Selecione Enviar.

    Exemplo 2: adicione uma criticalidade de negócio como critério para uma regra de risco.

    Caso de uso: suponha que sua organização tenha muitos serviços de negócio. O item de configuração (IC) LINUX-SF-6381 está sendo usado pelos seguintes serviços:

    Tabela 2. Criticidade dos serviços de negócio
    Serviço de negócio Criticidade
    Gestão de nuvem 1 - Mais crítico
    Comércio eletrônico 2 - Um pouco crítico
    Serviços de cliente 3 - Menos crítico
    Viagem e despesa 4 - Não crítico
    O mapeamento entre o IC e os serviços é armazenado na tabela Serviços relacionados [sn_vul_m2m_ci_services]. Quando uma vulnerabilidade é encontrada no ativo LINUX-SF-6381, um item vulnerável (VI) é criado. Você pode usar o valor da criticalidade dos serviços afetados para calcular a pontuação de risco para este VI. Para usar o valor de criticalidade desses serviços para calcular a pontuação de risco, faça o seguinte:
    1. Navegue até a página Regra de risco.
    2. Para desativar a regra, desmarque a caixa de seleção Ativo.
    3. Para adicionar campos de regra de risco aos critérios da calculadora de risco, selecione Adicionar critérios.
    4. Na lista Escolher tabela de referência, selecione Tabela de referência do item de configuração.
    5. Na lista Tabela, selecione Serviços relacionados [sn_vul_m2m_ci_services].
    6. Na lista Campo, selecione Serviço.Criticalidadedos negócios .
    7. No campo Agregação, selecione Mínimo para recuperar o serviço mais crítico deste caso de uso (1 – Valor mais crítico ) ou Máximo para recuperar o serviço menos crítico deste caso de uso (4 – Valor não crítico ) para este caso de uso.
    8. No campo Peso, insira a importância relativa deste campo na regra de risco. O valor deve ser um número inteiro de 0 a 100.
    9. Na seção Definir ponderações de valor, adicione valores de campo e atribua um peso a eles.
      Figura 2. Tabela de referência de item de configuração
      Tabela de referência de IC de regra de risco.
    10. Selecione Enviar.

    Exemplo 3: adicione um critério condicional à calculadora de risco.

    Vamos supor que uma organização tenha vários itens de configuração (ICs), dos quais apenas alguns podem ser acessados por um usuário externo. Os usuários podem adicionar ponderações de pontuação de risco para esses ICs externos.
    Nota:
    Você pode identificar esses ICs pelo nome. Os nomes começam com "externo".

    Para adicionar um critério condicional à regra de risco, faça o seguinte:

    1. Navegue até a página Regra de risco.
    2. Para desativar a regra, desmarque a caixa de seleção Ativo.
    3. Para adicionar campos de regra de risco aos critérios da calculadora de risco, selecione Adicionar critérios.
    4. Na lista Escolher tabela de referência, selecione Condições personalizadas.
    5. Na lista Tabela de condições, selecione Item de configuração.
    6. No campo Nome do campo, insira o nome Exposição de IC.
    7. No campo Peso, insira a importância relativa deste campo na regra de risco. O valor deve ser um número inteiro de 0 a 100.
    8. No campo Condição, selecione Nome > começa com e insira o valor externo.
      Figura 3. Condições personalizadas para a nova regra de risco
      Condições personalizadas para uma nova regra de risco.
    9. Selecione Enviar.
      Nota:
      Adicionar critérios condicionais à regra de risco pode prejudicar o desempenho.