Règles de recherche de CI pour identifier les éléments de configuration à partir d’intégrations de Conformité de la configuration vulnérabilité tierces

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Lorsque les données sont importées à partir d’une intégration tierce, Conformité de la configuration utilise automatiquement les données de l’hôte pour rechercher des correspondances dans le Base de données de gestion des configurations (CMDB)fichier . Pour ce faire, il utilise des règles de recherche de CI. Ces règles sont utilisées pour identifier les éléments de configuration (CI) et les ajouter à l’enregistrement des résultats des tests pour faciliter le rattrapage.

    Au fur et à mesure que les actifs sont importés, une recherche est d’abord effectuée sur la liste des éléments détectés à l’aide d’ID tiers pour trouver des correspondances avec des éléments de configuration (CI) à partir d’importations précédentes. Lorsqu’une correspondance d’ID d’hôte est trouvée, elle est utilisée comme champ d’élément de configuration dans l’enregistrement des résultats du test.

    Vous pouvez voir comment les actifs importés sont mappés aux CI à l’aide de la liste Éléments détectés . Si aucune correspondance n’est trouvée ou si le champ cmdb_ci est vide, les règles utilisent les informations sur l’autre hôte pour tenter d’identifier correctement le CI. Si aucune correspondance n’est toujours trouvée, un CI d’espace réservé est créé et est désigné comme CI sans correspondance. Reportez-vous à la rubrique CI sans correspondance pour plus d’informations sur la façon dont ces CI sont gérés.

    Un nouvel élément détecté est créé et mappé à ce CI.

    Remarque :
    Les règles de recherche de CI ne sont disponibles que pour l’intégration Qualys pour Security Operations.
    Les règles de recherche de CI peuvent être séparées par domaine et sont spécifiques à la source. Chaque source peut avoir plusieurs déploiements. Qualys peut avoir plusieurs déploiements de l’intégration Qualys. Chaque déploiement possède son propre ensemble de règles de recherche de CI.
    Remarque :
    Les règles de recherche de CI sont partagées par tous les déploiements de l’intégration de vulnérabilité. Si une règle est supprimée ou modifiée, la suppression ou les changements affectent tous les déploiements de l’intégration de vulnérabilité.
    Lors de la tentative de correspondance, la première étape consiste à rechercher une correspondance exacte entre la source, le source_instance et l’ID du fournisseur. Ensuite, les règles de recherche sont exécutées dans l’ordre, de la plus basse à la plus élevée, et s’arrêtent lorsqu’une règle renvoie un seul CI comme correspondance. Si une règle est créée de telle sorte qu’elle renvoie plusieurs CI, seule la première correspondance est utilisée.
    Remarque :
    Pour éviter toute correspondance sur des éléments de réseau de bas niveau, si un CI correspondant est l’un des dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nic ou cmdb_ci_ip_address, le CI parent est renvoyé.

    Une propriété système permettant d’exclure les classes CI est disponible. Cette propriété n’est pas disponible avec la mise à niveau. Consultez la section Ignorer les classes CI pour obtenir des informations sur la mise à niveau et des instructions sur la définition de la propriété.

    Pour faciliter la recherche de problèmes correspondants, lorsqu’une correspondance est trouvée, la règle de recherche de CI utilisée pour la trouver est ajoutée à l’enregistrement d’élément détecté dans le champ Règle de correspondance de CI . Les règles de recherche sont évaluées en fonction de la valeur d’ordre la plus basse en premier.

    Voici quelques-unes des Qualys règles de recherche de CI fournies avec le système de base :
    • ID D’HÔTE QUALYS
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Voici quelques-unes des règles de recherche de CI Microsoft Defender fournies avec le système de base :
    • Catégorie S3
    • Nom
    • ID de ressource
    Voici quelques-unes des règles de recherche de CI Palo Alto Prisma Cloud fournies avec le système de base :
    • Catégorie S3
    • Nom
    • ID de ressource

    L’importation des données des résultats des tests peut être éprouvante pour une instance et des problèmes de performances avec les ressources peuvent survenir si les règles ne sont pas construites avec soin. La logique utilisée pour itérer et effectuer une correspondance au sein de peut CMDB entraîner de longs délais de traitement. Pour éviter toute dégradation potentielle des ressources ou toute complication des performances, testez les règles de recherche de CI écrites sur mesure ou les modifications apportées aux règles de recherche de CI prédéfinies. Pour plus d’informations sur la prévention des enregistrements orphelins en double, la suppression des données et le nettoyage des données, consultez la rubrique Étapes pour empêcher les enregistrements en double ou orphelins après l’exécution de Réponse aux vulnérabilités règles de recherche de CI .

    Réapplication des règles de recherche de CI mises à jour

    Lorsque vous modifiez une règle de recherche de CI, cliquez sur Appliquer les changements sur la page de liste Règles de recherche de CI pour réexécuter toutes les règles sur les éléments détectés qui :
    • Ont été appariés par les règles mises à jour
    • Ne sont assortis à aucune règle
    Si l’élément de configuration (CI) change après la réapplication des règles de recherche, les éléments détectés sont mis à jour avec le nouveau CI. Les résultats des tests sont également mis à jour. Pour plus d'informations, consultez Changements de CI pour les éléments détectés pour Conformité de la configuration.