Association du résultat à un élément de configuration à l’aide des règles de recherche

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Gestion unifiée des expositions de sécurité utilise des règles de recherche pour associer les résultats d’exposition de tiers importés aux éléments de configuration (CI) dans la base de données de gestion des configurations (CMDB). Ces règles font correspondre les données des actifs aux CI existants, ce qui permet un rattrapage précis.

    Résultats importés à partir d’analyseurs externes tels que Qualys Tenable et Rapid7 manquent souvent de références CI directes. Les règles de recherche comblent cet écart en appliquant une logique de correspondance pour mapper les résultats aux CI dans le CMDB.

    Caractéristiques des règles de recherche

    • Séparation de domaine et spécificité de la source : les règles de recherche peuvent être séparées par domaine et sont spécifiques à chaque source, ce qui permet plusieurs déploiements en fonction de la source.
    • Partagé entre les déploiements : les règles sont partagées entre tous les déploiements d’une intégration source de scanner. Toute modification ou suppression affecte tous les déploiements.

    Fonctionnement des règles de recherche

    Les règles de recherche suivent un processus en trois étapes.
    1. Recherche initiale : lorsque les actifs ou les conclusions sont importés, le système vérifie d’abord la liste des éléments découverts à l’aide d’ID tiers. Si un ID d’actif correspond, il remplit le champ Élément de configuration dans l’enregistrement de résultat.
    2. Processus de correspondance : si aucune correspondance d’ID d’actif n’existe, les règles utilisent d’autres détails d’actif pour identifier le CI correct. Vous pouvez afficher les mappages dans la liste Éléments détectés .
    3. Création d’un CI d’espace réservé : si aucune correspondance n’est trouvée, un CI d’espace réservé est créé et marqué comme CI sans correspondance.
      • La correspondance commence par une recherche d’ID de fournisseur dans la source, le source_instance et l’ID de fournisseur.
      • Les règles s’exécutent dans l’ordre croissant et s’arrêtent lorsqu’une seule correspondance de CI est trouvée.
      • Si le CI correspondant est un élément de réseau de bas niveau (par exemple, dscy_switchport, cmdb_ci_network_adapter, cmdb_ci_nic ou cmdb_ci_ip_address), le CI parent est renvoyé.
    4. Exécution des règles : les règles s’exécutent de la priorité la plus basse à la priorité la plus élevée jusqu’à ce qu’une seule correspondance soit trouvée. Si plusieurs correspondances se produisent, seule la première est utilisée.

    Considérations spéciales

    • Exclusion des classes CI : une propriété système permet d’exclure certaines classes CI de la correspondance. Voir pour des Ignorer les classes CI informations de mise à niveau et des instructions sur le paramétrage de la propriété.
    • Retour de CI parent : pour éviter de faire correspondre des éléments de réseau de bas niveau, le CI parent est renvoyé si le CI correspondant est une carte réseau, des cartes d’interface réseau (NIC) ou une adresse IP.

    Règles de recherche pour des intégrations spécifiques

    Chaque module d’extension d’intégration inclut son propre ensemble de règles :

    • Qualys: ID d’hôte Qualys, FQDN, NetBIOS, DNS, IP
    • Rapid7: MacAddress, FQDN, Nom d’hôte, IP
    • Tenable.io: FQDN, NETBIOS, NOM D’HÔTE, MacAddress, DNS
    • Tenable.sc: adresse Mac, nom de domaine complet, NETBIOS
      Remarque :
      Tenable.io les règles de recherche classent par ordre de priorité les valeurs d’interface réseau non vides (FQDN, IPV4 et MacAddress) par rapport aux valeurs FQDN, IPV4 et MacAddress standard d’un élément détecté. Lorsque ces valeurs d’interface réseau sont vides, les valeurs FQDN, IPV4 et MacAddress standard sont renseignées pour un élément détecté.
    Gestion des règles de recherche
    • Tester des règles personnalisées : testez des règles de recherche personnalisées ou modifiées pour éviter les problèmes de performances.
    • Désactiver au lieu de supprimer : désactivez les règles plutôt que de les supprimer pour éviter la perte de données.
    Si les règles ne sont pas soigneusement élaborées, l’importation des données des résultats d’exposition peut être éprouvante pour une instance et des problèmes de performance avec les ressources peuvent survenir. La logique utilisée pour itérer et effectuer la correspondance dans la CMDB peut entraîner de longs délais de traitement. Pour éviter toute dégradation potentielle des ressources ou toute complication des performances, testez toutes les règles de recherche écrites sur mesure ou les modifications apportées aux règles de recherche prédéfinies. Consultez la rubrique Étapes destinées à éviter les enregistrements dupliqués ou orphelins après l’exécution de règles de recherche pour plus d’informations sur la prévention des doublons d’enregistrements orphelins, la suppression des données et le nettoyage des données.
    Remarque :
    Pour plus d’informations sur la correspondance de CI, voir KB0998706.

    Réapplication des règles de recherche mises à jour

    Après la mise à jour des règles, utilisez Réappliquer pour les réexécuter sur des éléments détectés sans correspondance ou précédemment mis en correspondance. Cela met à jour les informations de CI dans les résultats et les détections. Vous pouvez également exécuter des règles de recherche sur des éléments détectés sélectionnés spécifiques. Pour plus d'informations, consultez Réappliquer des règles de recherche sur les éléments découverts sélectionnés.

    Ci sans correspondance et matériel non classé

    • CI sans correspondance : les CI sans correspondance sont répertoriés sous Éléments détectés avec la CMDB classe définie sur CI sans correspondance.
      Remarque :
      Chaque élément détecté inclut un champ Classe . Si un CI est sans correspondance, ce champ est défini sur CI sans correspondance.
    • Matériel non classé : les actifs qui ne peuvent pas être classés par les règles de recherche sont appelés matériel non classé.

    En gérant efficacement les règles de recherche, Gestion unifiée des expositions de sécurité peut aider à identifier la propriété précise et à rationaliser la correction.