Regras de pesquisa de IC para identificar itens de configuração de Conformidade de configuraçõesintegrações de vulnerabilidade de terceiros

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura
  • Quando os dados são importados de uma integração de terceiros, Conformidade de configuraçõesusa automaticamente dados do host para pesquisar correspondências no Configuration Management Database (CMDB). Isso é feito usando Regras de pesquisa de IC . Essas regras são usadas para identificar itens de configuração (ICs) e adicioná-los ao registro de resultado do teste para ajudar na correção.

    À medida que os ativos são importados, uma pesquisa é realizada primeiro no Itens descobertos Lista usando IDs de terceiros para encontrar correspondências com itens de configuração (ICs) de importações anteriores. Quando uma correspondência de ID de host é encontrada, ela é usada como Item de configuração campo no registro do resultado do teste.

    Você pode ver como os ativos importados são mapeados para ICs usando Itens descobertos lista. Se uma correspondência não for encontrada ou o campo cmdb_ci estiver vazio, as regras usarão as outras informações do host para tentar identificar corretamente o IC. Se uma correspondência ainda não for encontrada, um IC de espaço reservado será criado e designado como IC incompatível . Consulte ICs incompatíveis Para obter mais informações sobre como esses ICs são tratados.

    Um novo item descoberto é criado e mapeado para este IC.

    Nota:
    As regras de pesquisa de IC estão disponíveis somente para QualysIntegração para Operações de segurança.
    As regras de pesquisa de IC podem ser separadas por domínio e são específicas da origem. Cada origem pode ter várias implantações. A Qualys pode ter várias implantações da Integração Qualys. Cada implantação tem seu próprio conjunto de regras de pesquisa de IC.
    Nota:
    As regras de pesquisa de IC são compartilhadas por todas as implantações da integração de vulnerabilidades. Se uma regra for excluída ou modificada, a exclusão ou as mudanças afetarão todas as implantações da integração de vulnerabilidade.
    Ao tentar uma correspondência, a primeira etapa é uma pesquisa de ID do fornecedor para uma correspondência exata entre source, source_instance e ID do fornecedor. Em seguida, as regras de pesquisa são executadas em ordem, do mais baixo para o mais alto e param quando uma regra retorna apenas um único IC como correspondência. Se uma regra for criada de forma que retorne mais de um IC, somente a primeira correspondência será usada.
    Nota:
    Para evitar correspondência em elementos de rede de baixo nível, se um IC correspondente for um de dscy_switchport , cmdb_ci_network_adapter , cmdb_ci_nic , ou cmdb_ci_ip_address , O IC primário é retornado.

    Uma propriedade do sistema para excluir classes de IC está disponível. Esta propriedade não está disponível com upgrade. Consulte Ignorar classes de ICpara obter informações de upgrade e instruções sobre como definir a propriedade.

    Para facilitar a localização de ocorrências correspondentes, quando uma correspondência é encontrada, a regra de pesquisa de IC usada para localizá-la é adicionada ao registro de item descoberto no Regra de correspondência de IC campo. As regras de pesquisa são avaliadas pelo mais baixo Pedido valor primeiro.

    Alguns dos QualysAs regras de pesquisa de IC fornecidas com o sistema de base são:
    • ID DO HOST DA QUALYS
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Algumas das regras de pesquisa de IC do Microsoft Defender fornecidas com o sistema de base são:
    • Bucket S3
    • Nome
    • ID do recurso
    Algumas das regras de pesquisa de IC do Prisma Cloud da Palo Alto fornecidas com o sistema base são:
    • Bucket S3
    • Nome
    • ID do recurso

    A importação de dados de resultados de testes pode sobrecarregar uma instância e problemas de desempenho com recursos podem ocorrer se as regras não forem criadas com cuidado. A lógica usada para iterar e executar correspondência no CMDBpode resultar em tempos de processamento longos. Para evitar qualquer possível degradação de recursos ou complicações de desempenho, teste todas as regras de pesquisa de IC personalizadas ou modificações predefinidas Regras de pesquisa de IC . Consulte Etapas para ajudar a evitar registros duplicados ou órfãos após a execução Resposta a vulnerabilidadesRegras de pesquisa de ICpara obter mais informações sobre como evitar registros órfãos duplicados, excluir dados e limpar dados.

    Reaplicando regras de pesquisa de IC atualizadas

    Ao alterar uma regra de pesquisa de IC, clique em Aplicar mudanças Na página de lista Regras de pesquisa de IC para executar novamente todas as regras nos itens descobertos que:
    • Foram correspondidos pelas regras atualizadas
    • Nenhuma regra corresponde
    Se o item de configuração (IC) mudar após reaplicar as regras de pesquisa, os itens descobertos serão atualizados com o novo IC. Os resultados do teste também são atualizados. Para obter mais informações, consulte Mudanças de IC para itens descobertos para Conformidade de configurações.