Regras de Pesquisa de IC para identificar itens de configuração a partir de integrações de vulnerabilidade de terceiros do Conformidade de configurações

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Quando os dados são importados de uma integração de terceiros, o Conformidade de configurações usa automaticamente os dados do host para pesquisar correspondências no Configuration Management Database (CMDB). Ele faz isso usando Regras de Pesquisa de IC. Essas regras são usadas para identificar itens de configuração (ICs) e adicioná-los ao registro de resultados de testes para ajudar na correção.

    Conforme os ativos são importados, uma pesquisa é realizada primeiro na lista de itens descobertos usando IDs de terceiros para encontrar correspondências com os itens de configuração (ICs) de importações anteriores. Quando uma correspondência de ID de host é encontrada, ela é usada como o campo Item de configuração no registro de resultado de testes.

    Você pode ver como os ativos importados são mapeados para ICs usando a lista de Itens descobertos. Se uma correspondência não for encontrada ou o campo cmdb_ci estiver vazio, as regras usarão as informações de outro host para tentar identificar corretamente o IC. Se uma correspondência ainda não for encontrada, um IC de espaço reservado será criado e designado como IC incompatível. Consulte ICs incompatíveis para obter mais informações sobre como esses ICs são tratados.

    Um novo item descoberto é criado e mapeado para este IC.

    Nota:
    As regras de pesquisa de IC estão disponíveis somente para a Integração Qualys do para Operações de segurança.
    As regras de pesquisa de IC podem ser separadas por domínio e são específicas da origem. Cada origem pode ter várias implantações. A Qualys pode ter várias implantações da Integração da Qualys. Cada implantação tem seu próprio conjunto de regras de pesquisa de IC.
    Nota:
    As regras de pesquisa de IC são compartilhadas por todas as implantações da integração de vulnerabilidade. Se uma regra for excluída ou modificada, a exclusão ou as mudanças afetarão todas as implantações da integração de vulnerabilidade.
    Ao tentar uma correspondência, a primeira etapa é uma pesquisa de ID de fornecedor para uma correspondência exata entre origem, source_instance e ID de fornecedor. Em seguida, as regras de pesquisa são executadas em ordem, da menor para a maior, e param quando uma regra retorna apenas um único IC como uma correspondência. Se uma regra for criada de forma a retornar mais de um IC, somente a primeira correspondência será usada.
    Nota:
    Para evitar a correspondência em elementos de network de baixo nível, se um IC correspondente for dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nic ou cmdb_ci_ip_address, o IC primário será retornado.

    Uma propriedade do sistema para excluir classes de IC está disponível. Esta propriedade não está disponível com atualização. Consulte Ignorar classes de IC para obter informações de atualização e instruções sobre como definir a propriedade.

    Para facilitar a localização de problemas de correspondência, quando uma correspondência for encontrada, a regra de pesquisa de IC usada para localizá-la será adicionada ao registro de item descoberto no campo Regra de correspondência de IC. As regras de pesquisa são avaliadas primeiro pelo menor valor de Pedido.

    Algumas das regras de pesquisa de IC Qualys enviadas com o sistema de base são:
    • ID DE HOST DA QUALYS
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Algumas das regras de pesquisa de IC do Microsoft Defender enviadas com o sistema base são:
    • Bucket S3
    • Nome
    • ID de recurso
    Algumas das regras de pesquisa de IC do Palo Alto Prisma Cloud enviadas com o sistema base são:
    • Bucket S3
    • Nome
    • ID de recurso

    A importação de dados de resultados de testes pode sobrecarregar uma instância e podem ocorrer problemas de desempenho com recursos se as regras não forem criadas com cuidado. A lógica usada para iterar e executar a correspondência dentro do CMDB pode resultar em longos tempos de processamento. Para evitar qualquer degradação potencial de recursos ou complicações de desempenho, teste todas as regras de pesquisa de IC personalizadas ou modificações nas regras de pesquisa de IC predefinidas. Consulte Etapas para ajudar a evitar registros duplicados ou órfãos após a execução de Resposta a vulnerabilidades regras de pesquisa de IC para obter mais informações sobre como evitar registros órfãos duplicados, excluir dados e limpar dados.

    Aplicar novamente as regras de pesquisa de IC atualizadas

    Ao alterar uma regra de pesquisa de IC, clique em Aplicar mudanças na página da lista Regras de pesquisa de IC para executar novamente todas as regras nos itens descobertos que:
    • Foram correspondidos pelas regras atualizadas
    • Não são correspondidos por nenhuma regra
    Se o item de configuração (IC) mudar após a reaplicação das regras de pesquisa, os itens descobertos serão atualizados com o novo IC. Os resultados de testes também são atualizados. Para obter mais informações, consulte Mudanças de IC para itens descobertos para Conformidade de configurações.