CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Konfigurations-Compliance Schwachstellenintegrationen von Drittparteien

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Wenn Daten aus einer Drittanbieterintegration importiert werden, verwendet Konfigurations-Compliance automatisch Hostdaten, um nach Übereinstimmungen in Configuration Management Database (CMDB)zu suchen. Dies geschieht mithilfe von CI-Suchregeln. Diese Regeln werden verwendet, um Configuration Items (CIs) zu identifizieren und dem Testergebnisdatensatz hinzuzufügen, um die Behebung zu erleichtern.

    Beim Importieren von Assets wird zuerst eine Suche in der Liste „Erkannte Elemente“ anhand von Drittpartei-IDs durchgeführt, um Übereinstimmungen mit Configuration Items (CIs) aus vorherigen Importen zu finden. Wenn eine Übereinstimmung mit der Host-ID gefunden wird, wird sie als Feld Configuration item (Konfigurationselement) im Testergebnis-Datensatz verwendet.

    Sie können sehen, wie importierte Assets mithilfe der Liste Erkannte Elemente CIs zugeordnet werden. Wenn keine Übereinstimmung gefunden wird oder das Feld cmdb_ci leer ist, verwenden die Regeln die Informationen des anderen Hosts, um zu versuchen, das CI korrekt zu identifizieren. Wenn immer noch keine Übereinstimmung gefunden wird, wird ein Platzhalter-CI erstellt und als nicht abgeglichenes CIgekennzeichnet. Unter Nicht abgeglichene CIs finden Sie weitere Informationen zur Behandlung dieser CIs.

    Ein neues erkanntes Element wird erstellt und diesem CI zugeordnet.

    Hinweis:
    CI-Suchregeln sind nur für die Qualys Integration for Security Operations verfügbar.
    CI-Suchregeln können domänengetrennt sein und sind quellenspezifisch. Jede Quelle kann mehrere Bereitstellungen haben. Qualys kann mehrere Bereitstellungen der Qualys-Integration aufweisen. Jede Bereitstellung verfügt über einen eigenen Satz von CI-Suchregeln.
    Hinweis:
    CI-Suchregeln werden von allen Bereitstellungen der Schwachstellen-Integration gemeinsam verwendet. Wenn eine Regel gelöscht oder geändert wird, wirken sich die Löschung oder Änderungen auf alle Bereitstellungen der Schwachstellenintegration aus.
    Wenn versucht wird, eine Übereinstimmung zu finden, besteht der erste Schritt in der Lieferanten-ID-Suche nach einer genauen Übereinstimmung zwischen Quelle, Quellinstanz und Lieferanten-ID. Dann werden Suchregeln der Reihe nach von der niedrigsten zur höchsten ausgeführt und angehalten, wenn eine Regel nur ein einziges CI als Übereinstimmung zurückgibt. Wenn eine Regel so erstellt wird, dass mehr als ein CI zurückgegeben wird, wird nur die erste Übereinstimmung verwendet.
    Hinweis:
    Um einen Abgleich mit Netzwerkelementen auf niedriger Ebene zu vermeiden, wenn es sich bei einem übereinstimmenden CI um eines der folgenden Elemente handelt: dscy_Switchport, cmdb_ci_network_adapter, cmdb_ci_nicoder cmdb_ci_ip_address, wird das übergeordnete CI zurückgegeben.

    Eine Systemeigenschaft zum Ausschließen von CI-Klassen ist verfügbar. Diese Eigenschaft ist mit einem Upgrade nicht verfügbar. Upgrade-Informationen und Anweisungen zum Festlegen der Eigenschaft finden Sie unter CI-Klassen ignorieren.

    Um das Auffinden von Übereinstimmungsproblemen zu erleichtern, wird bei einer Übereinstimmung die CI-Suchregel, mit der sie gefunden wird, dem Datensatz „Erkanntes Element“ im Feld „CI-Übereinstimmungsregel“ hinzugefügt. Suchregeln werden zuerst anhand des niedrigsten Reihenfolgewerts ausgewertet.

    Einige der Qualys CI-Suchregeln, die im Lieferumfang des Basissystems enthalten sind, sind:
    • QUALYS-HOST-ID
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Einige der im Basissystem enthaltenen Microsoft Defender CI-Suchregeln sind:
    • S3-Bucket
    • Name
    • Ressourcen-ID
    Einige der im Basissystem enthaltenen Palo Alto Prisma Cloud-CI-Suchregeln sind:
    • S3-Bucket
    • Name
    • Ressourcen-ID

    Das Importieren von Testergebnisdaten kann eine Instanz belasten, und Leistungsprobleme mit Ressourcen können auftreten, wenn die Regeln nicht sorgfältig erstellt werden. Die Logik, die zum Iterieren und Abgleichen von CMDB verwendet wird, kann zu langen Verarbeitungszeiten führen. Um eine potenzielle Verschlechterung der Ressourcen oder Leistungskomplikationen zu vermeiden, testen Sie alle anwenderdefinierten CI-Suchregeln oder Änderungen an vordefinierten CI-Suchregeln. Unter Schritte zum Verhindern von doppelten oder verwaisten Datensätzen nach dem Ausführen von Vulnerability Response CI-Suchregeln finden Sie weitere Informationen zum Verhindern des Duplikats von verwaisten Elementen, zum Löschen von Daten und zum Bereinigen von Daten.

    Aktualisierte CI-Suchregeln werden erneut angewendet

    Wenn Sie eine CI-Suchregel ändern, klicken Sie auf der Listenseite „CI-Suchregeln“ auf Änderungen anwenden, um alle Regeln für die erkannten Elemente erneut auszuführen, die:
    • Wurden mit den aktualisierten Regeln abgeglichen
    • Werden von keiner Regel abgeglichen
    Wenn sich das Configuration Item (CI) nach dem erneuten Anwenden der Suchregeln ändert, werden die erkannten Elemente mit dem neuen CI aktualisiert. Die Testergebnisse werden ebenfalls aktualisiert. Weitere Informationen finden Sie unter CI-Änderungen für erkannte Elemente für Konfigurations-Compliance.