ルックアップルールの構成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:8分

    • ルックアップルールを構成することで、セキュリティエクスポージャーデータを CMDB内の正しい構成アイテム (CI) にマッピングできます。適切なリスクアセスメント、アサイン、および修復ワークフローには、エクスポージャー結果を適切な資産に関連付けることが不可欠であるため、このマッピングは重要な機能です。

    ルックアップ ルールを作成

    受信したエクスポージャー結果データを 構成管理データベース (CMDB) 内の正しい構成アイテム (CI) に自動的かつ正確に関連付けるルックアップルールを作成します これは、脆弱性管理プロセスの残りの部分が正しく機能するために不可欠です。

    始める前に

    必要なロール:sn_vul.vulnerability_admin

    このタスクについて

    ルックアップルールを作成するには、高度な ServiceNow統合セキュリティエクスポージャー管理 (USEM) の専門知識が必要です。既存のルックアップルールのいずれかを修正するのではなく、それをコピーしてコピーを修正することを検討してください。新しいルールで問題がなければ、元のルールを非アクティブ化します。
    注:
    ルールは、一度削除すると元に戻せません。新しいルールを作成する場合は、既存のルールを削除せずに非アクティブ化します。

    手順

    1. 移動先 ワークスペース > セキュリティエクスポージャー管理ワークスペース.
    2. ナビゲーションペインで [ 管理 ] を選択します。
    3. [ルックアップルール] タイルで [レビュー] を選択します。
    4. [ルール] ページで、ナビゲーション ウィンドウの [ルックアップ ] を選択します。
    5. [新規] を選択します。
    6. フォームのフィールドに入力します。
      表 : 1. ルックアップルールフォーム
      フィールド 説明
      詳細
      名前 ルールの名前。
      ルックアップメソッド 照合に使用される方法。選択肢は次のとおりです。
      • [スクリプト]:ビルド済み (IP アドレス、DNS 名など) またはカスタムスクリプト。
      • [一致するフィールド (Field matching)]:CMDB 内のテーブルまたはフィールドを検索します。
      タイプ スクリプト [ルックアップメソッド] で使用するタイプ。
      順序 ルールの優先順位。順序が最も低いルールが最初に評価されます。
      有効 ルールがアクティブか無効かを示すチェックボックス。
      ソース このルールへの入力として使用されるソース。
      ソースフィールド このルールへの入力として使用されるソースフィールド。任意のフィールドを選択しますが、文字列値として扱われます。
      説明 新しいルックアップルールの説明。
      ルックアップターゲット 従うルックアップアプローチ。次から選択します。
      • 構成アイテム
      • 製品モデル
      条件を満たしている場合
      条件 ルックアップルールが適用される条件。この条件は、サードパーティスキャナーの属性に依存します。
      注:
      資産属性はペイロードの一部です。サードパーティのスキャナーから受信されます。ペイロードの例については、[検出されたアイテム] テーブルを参照してください。
      次に、この値を設定してください
      ルックアップメソッド 照合に使用される方法。選択肢は次のとおりです。
      • [スクリプト]:ビルド済み (IP アドレス、DNS 名など) またはカスタムスクリプト。
      • [一致するフィールド (Field matching)]:CMDB 内のテーブルまたはフィールドを検索します。
      CI テーブルで検索 CMDB 内を検索するテーブル。[ルックアップ方法] に一致するフィールドとともに使用されます。
      製品テーブルで検索 製品モデルの [ルックアップターゲット] を選択した場合、デフォルト値は [アプリケーションモデル] です。
      CI フィールドで検索 CI を見つけるために使用できる情報を含むフィールド。[ルックアップ方法] に一致するフィールドとともに使用されます。このフィールドは、CI レコード、またはネットワークアダプタなどの関連レコードにあります。
      製品モデルフィールドで検索 製品モデルの [ルックアップターゲット ] を選択した場合、デフォルト値は [名前] です。
      タイプ スクリプト [ルックアップメソッド] で使用するタイプ。
      スクリプト [タイプ] に基づく編集可能なサンプルスクリプトが表示されます。デフォルト関数のテンプレートに含まれるコメントに従って、カスタムスクリプトを実装します。
      注:

      process 関数には、rulesourceValue、および sourcePayload の 3 つのパラメーターがあります。
    7. [保存] を選択します。

      ルックアップルールの実装の詳細については、「 脆弱性対応 CI ルックアップルールの実行後にレコードが重複または孤立しないようにするための手順」を参照してください。

      図 : 1. V12.0 の条件ビルダーを使用した CI ルックアップルールの例
      バージョン 12.0 の条件ビルダーを使用した CI ルックアップルール。
      図 : 2. V12.0 より前のスクリプトを使用した CI ルックアップルールの例
      スクリプトを使用した CI ルックアップルール

    CI クラスの無視

    ルックアップルールの実行時にロードバランサー [cmdb_ci_lb] などの一部の構成アイテム (CI) クラスを無視するには、 ignoreCIClass [sn_sec_cmn.ignoreCIClass] システムプロパティを設定します。

    始める前に

    必要なロール:admin
    注:

    ignoreCIClass システムプロパティは 脆弱性対応 v9.0 以降で使用できます。ただし、以前のバージョンからのアップグレード時には、プロパティ機能を使用できません。

    バージョン 9.0 より前の セキュリティオペレーション アプリケーションからアップグレードした場合は、この機能を有効にする方法について KB0788209 を参照してください。

    手順

    1. 左側のナビゲーションバーで「sys_properties.list」と入力します。
    2. [入力] をクリックします。
    3. [検索] メニューで、[名前] に「sn_sec_cmn.ignoreCIClass」と入力します。
    4. [値] テキストボックスに、除外する CI クラスをカンマ区切りリストで入力します。
      ignoreCI Class システムプロパティの例。
    5. [更新] をクリックします。
      このリストは、次回のインポート時に CI ルックアップルールで使用されます。インポート中に作成された脆弱性一致アイテムは、sn_sec_cmn.ignoreCIClass システムプロパティの [値] フィールドにリストされているいずれのタイプの CI にも関連付けられていません。

    ルックアップルールを再適用

    ルックアップルールを再適用して、更新されたルールまたは既存のルールが関連アイテムに適用されるようにします。これにより、ルールの変更または追加後に正確なデータマッピングと一貫性を維持できます。

    始める前に

    必要なロール:sn_vul.vulnerability_admin、sn_vul_cmn.usem_admin、sn_vul.app_sec_manager、sn_vul_container.admin、sn_vulc.admin

    このタスクについて

    ルックアップルールを再適用すると、次の場合に役立ちます。
    • ルックアップルールが更新されるか、新しく作成される。
    • 検出結果が以前に未アサインであったか、誤ってアサインされていました。
    • 更新されたビジネスロジックまたは CI 所有権の変更に基づいて、所有権を再アサインする必要があります。

    手順

    1. 移動先 ワークスペース > セキュリティエクスポージャー管理ワークスペース.
    2. ナビゲーションペインで [ 管理 ] を選択します。
    3. [ルックアップルール] タイルで [レビュー] を選択します。
    4. [ルール] ページで、ナビゲーションの [ルックアップルール ] を選択します。
    5. [ 再適用] を選択します。
      注:
      フィルターに関係なく、すべてのルールが再適用されます。

    選択した検出済みアイテムにルックアップルールを再適用

    検出されたアイテムリストビューの選択アクションから、選択した検出されたアイテムにルックアップルールを再適用します。ルールを再適用した後に構成アイテム (CI) が変更された場合、検出されたアイテムは新しい CI と影響を受けた検出で更新されます。脆弱性一致アイテムも更新されます。

    始める前に

    必要なロール:admin

    このタスクについて

    詳細については、「検出されたアイテムの CI 変更」を参照してください。

    CI 照合と CMDB、検出されたアイテムのルックアップ、ルールベースの識別の概念の詳細については、HI ナレッジベースの記事「 Vulnerability Response [KB0998706] での CI 照合」を参照してください

    手順

    1. 移動先 すべて > セキュリティオペレーション > CMDB > 検出済みアイテム.
    2. 必要な検出されたアイテムを選択し、[選択した行でアクションを実行] を選択します。
      検出されたアイテムに CI ルックアップルールを再適用します。
    3. リストから、[CI ルックアップルールを再適用] を選択します。
      注:
      サブステートが「CI 廃止」の検出済みアイテムへのルックアップルールの再適用をスキップするには、システムプロパティ sn_sec_cmn.skipItemsWithCIDecommissionedを有効にします。

      これらの検出されたアイテムにルールが再適用されます。

    4. メッセージで [ ステータスを表示 ] を選択します。

      ステータスがバックグラウンドジョブフォームに表示されます。

      注:
      [ メモ ] フィールドで、0 以外の値を持つ例外属性の [検出 されたアイテムを処理できませんでした (Discovered items could not be process due to exception )] 属性は、ルックアップルールの再適用中にエラーまたは例外が発生したことを示します。詳細については、システムログを確認してください。
    5. 再適用は 、[last_scan_date]、[last_comp_scan_date]、[non_infra_last_scan_date]、[non_infra_last_comp_scan_date ] 列に基づいて過去 90 日以内にスキャンされたアイテムにのみ適用されます。

      CI ライフサイクルステータス列 (インストールステータスや運用ステータスなど) を構成するための ci_lifecycle_status_source (スコープ = sn_sec_cmn) システムプロパティが追加されました。廃止する CI 用に追加の列を設定できます。

      列がバックグラウンドジョブリストビューに追加されます。
      • 経過時間 (ミリ秒):バックグラウンドジョブの処理に必要な時間。
      • 処理されたアイテム:これまでに処理されたアイテムの数。
      • 処理するアイテムの合計数:処理する残りのアイテムの合計数。
      • 完了までの時間 (ミリ秒):バックグラウンドジョブが処理されるまでの残り時間。これらの列により、ジョブの進捗状況が可視化されます。これらの列は各フォームビューで使用でき、要件に応じて追加できます。