Beispiele für die Berechnung der Risikopunktzahl Konfigurations-Compliance .

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Ab v13.0 von Konfigurations-Compliancekönnen Sie die Kriterien für die Standardrisikoregel anpassen. Verwenden Sie für die Berechnung der Risikopunktzahl Risikopunktzahlen von Drittanbietern wie Qualys und Tenable.

    Drittanbieter wie Qualys und Tenable geben ihre eigenen Punktzahlen an. Diese Punktzahlen werden im Feld „Relevanz“ in der Tabelle „sn_vulc_test“ eingetragen. Verwenden Sie dieses Feld für Berechnungen der Risikopunktzahl. Um diese Punktzahl zur Berechnung der Risikopunktzahl zu verwenden, gehen Sie wie folgt vor:

    Fügen Sie die Quellenkritikalität als Kriterium für eine Risikoregel hinzu

    Verwenden Sie von Drittanbietern bereitgestellte Punktzahlen basierend auf der Kritikalität, um Risikopunktzahlen zu berechnen.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Drittanbieter wie Qualys und Tenable geben ihre eigenen Risikopunktzahlen an. Diese Punktzahlen werden im Feld „Relevanz“ in der Tabelle „sn_vulc_test“ eingetragen. Verwenden Sie dieses Feld für Berechnungen der Risikopunktzahl und Berechnung der Risikopunktzahl.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechner.
    2. Navigieren Sie zum Formular Risikoregel.
    3. Deaktivieren Sie das Kontrollkästchen Aktiv, um die Regel zu deaktivieren.
    4. Klicken Sie auf Kriterien hinzufügen.
    5. Wählen Sie in der Liste Referenztabelle auswählendie Option Testergebnisaus.
    6. Wählen Sie in der Liste Felddie Option Test.Relevanzaus.
    7. Geben Sie im Feld Gewicht die relative Bedeutung dieses Felds an.
      Der Wert muss eine ganze Zahl von 0 bis 100 sein.
    8. Fügen Sie im Abschnitt „Wertgewichtungen definieren“ Feldwerte hinzu, und weisen Sie den Feldern einen Gewichtungsprozentsatz zu.
      Quellenrelevanz für Risikoberechnung
    9. Klicken Sie auf Absenden.

    Fügen Sie die Geschäftsrelevanz als Kriterium für eine Risikoregel hinzu

    Geben Sie einen Kritikalitätswert für Geschäftsservices an, und verwenden Sie die Geschäftsrelevanz, um die Risikopunktzahlen zu berechnen.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Angenommen, Ihre Organisation verfügt über viele Business-Services, und ein Configuration Item (CI) wird von den folgenden Services verwendet:
    Tabelle : 1. Relevanz der Business-Services
    Business-Service Relevanz

    Cloud-Management

    1 – Sehr kritisch

    E-Commerce

    2 – Kritisch

    Client-Services

    3 – Weniger kritisch

    Reisekosten und Spesen

    4 – Nicht kritisch
    Die Zuordnung zwischen CI und Services wird in der Tabelle „Services“ [cmdb_ci_services] gespeichert. Wenn ein CI einen Konfigurationstest nicht besteht, wird ein Testergebnis (Test Result, TR) erstellt. Sie können den Wert der Geschäftskritikalität aus den betroffenen Services verwenden, um die Risikopunktzahl für dieses TR zu berechnen. Befolgen Sie das Verfahren, um den Kritikalitätswert dieser Services für die Berechnung der Risikopunktzahl zu verwenden.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechner.
    2. Navigieren Sie vom Abschnitt Rechnerregeln zum Formular Risikoregel.
    3. Deaktivieren Sie das Kontrollkästchen Aktiv, um die Regel zu deaktivieren.
    4. Klicken Sie auf Kriterien hinzufügen.
    5. Wählen Sie in der Liste Referenztabelle auswählendie Option Konfigurationselement-Referenztabelleaus.
    6. Wählen Sie in der Liste Tabelledie Option Service [cmdb_ci_service]aus.
    7. Wählen Sie in der Liste Felddie Option Business-Relevanzaus.
    8. Wählen Sie im Feld Zusammenfassungdie Option Minimum aus, um den kritischsten Service für diesen Anwendungsfall abzurufen (1 – Kritischster Wert) oder Maximum, um den am wenigsten kritischen Service für diesen Anwendungsfall abzurufen (4 – Nicht kritischer Wert).
    9. Geben Sie im Feld Gewicht die relative Bedeutung dieses Felds an.
      Der Wert muss eine ganze Zahl von 0 bis 100 sein.
    10. Fügen Sie im Abschnitt „Wertgewichtungen definieren“ Feldwerte hinzu, und weisen Sie Gewichtungen zu.
      Abbildung : 1. Anwenderdefinierte Gewichtung der Business-Relevanzrisikoregel
      Anwenderdefinierte Gewichtung der Business-Relevanzrisikoregel
    11. Klicken Sie auf Absenden.

    Fügen Sie dem Risikorechner ein bedingtes Kriterium hinzu

    Verwenden Sie anwenderdefinierte Bedingungen für die Risikoregel zur Berechnung der Risikopunktzahl.

    Vorbereitungen

    Erforderliche Rolle: sn_vulc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Angenommen, Ihre Organisation verfügt über mehrere Configuration Items (CIs), von denen ein externer Benutzer nur auf wenige zugreifen kann. Benutzer können Gewichtungen der Risikopunktzahl für diese nach außen gerichteten CIs hinzufügen.
    Hinweis:
    Sie können diese CIs anhand ihres Namens identifizieren. Die Namen beginnen mit „external“.

    Prozedur

    1. Navigieren zu Alle > Konfigurations-Compliance > Administration > Risikorechner.
    2. Navigieren Sie zum Formular Risikoregel.
    3. Deaktivieren Sie das Kontrollkästchen Aktiv, um die Regel zu deaktivieren.
    4. Klicken Sie auf Kriterien hinzufügen.
    5. Wählen Sie in der Liste Referenztabelle auswählendie Option Anwenderdefinierte Bedingungenaus.
    6. Wählen Sie in der Liste BedingungstabelleKonfigurationselementaus.
    7. Geben Sie im Feld Feldname CI Risikoein.
    8. Geben Sie im Feld Gewicht die relative Bedeutung dieses Felds an.
      Der Wert muss eine ganze Zahl von 0 bis 100 sein.
    9. Wählen Sie im Feld BedingungName > beginnt mitund geben Sie externals Wert an.
      Abbildung : 2. Anwenderdefinierte Bedingungen für neue Risikoregel
      Anwenderdefinierte Bedingungen für neue Risikoregel
    10. Klicken Sie auf Absenden.

    Beispiel für die Berechnung der Risikopunktzahl für Konfigurations-Compliance

    Bestimmen Sie die Risikopunktzahl-Rechner, um Risikopunktzahlen zu generieren, die die für Ihre Organisation spezifischen Test- und Asset-Daten verwenden.

    Beispiel für die Bestimmung der Punktzahlen von Risikoregelrechnern

    Das folgende Beispiel zeigt, wie Punktzahlen für Risikoregel-Rechner ermittelt werden. Angenommen, ein Risikoregel-Rechner ist mit den Feldern in dieser Tabelle konfiguriert.
    Tabelle : 2. Bestimmen Sie die Punktzahlen des Risikoregel-Rechners
    Feld Gewichtung Gewichtungsaufgliederung
    Kontrolle.Relevanz 50

    Standard: 0

    Kleiner: 20

    Niedrig: 30

    Mittel: 50

    Hoch: 70

    Kritisch: 100
    Business_Relevanz 50

    Standard: 0

    Kleiner: 20

    Niedrig: 30

    Mittel: 50

    Höhe: 70

    Kritisch: 100
    Angenommen, die in dieser Tabelle angezeigten Testergebnisse sind im System vorhanden.
    Tabelle : 3. Zuordnung von Testergebnissen
    ID Business-Relevanz Relevanz der Steuerung
    CTR0000001 1: Sehr kritisch Geringer
    CTR0000002 1: Sehr kritisch Niedrig
    CTR0000003 2: Kritisch Geringer
    CTR0000004 2: Kritisch Mittel
    CTR0000005 3: Weniger relevant Niedrig
    Die Berechnung der Risikopunktzahl für das Testergebnis basiert auf der folgenden Formel:

    Risikopunktzahl = (W(control.criticality) * FV (control.criticality). + W(business_criticality) * FV(business_criticality)) / 100, wobei W für die Gewichtung und FV für den Gewichtungsprozentsatz des Feldwerts steht.

    Die resultierende Risikopunktzahl für diese Testergebnisse ist wie in der folgenden Tabelle beschrieben:
    Tabelle : 4. Risikopunktzahl basierend auf Testergebnissen
    ID Business-Relevanz (50 %) Kritikalität der Steuerung (50 %) Resultierende Risikopunktzahl
    CTR0000001 1 – Am kritischsten (50 % x 100) Gering (50 % x 20) 60
    CTR0000002 1 – Am kritischsten (50 % x 100) Niedrig (50 % x 30) 65
    CTR0000003 2 – Kritisch (50 % x 70) Gering (50 % x 30) 45
    CTR0000004 2 – Kritisch (50 % x 70) Mittel (50 % x 50) 60
    CTR0000005 3 – Weniger kritisch (50 % x 50) Niedrig (50 % x 30) 40
    Wenn der Gewichtungsprozentsatz für einen der Feldwerte geändert wird, finden Sie die Ergebnisse in dieser Tabelle:
    Tabelle : 5. Ergebnisse für geänderten Gewichtungsprozentsatz
    Feld Gewichtung Gewichtungsaufgliederung
    Kontrolle.Relevanz 50

    Standard: 0

    Kleiner: 20

    Niedrig: 30

    Mittel: 60

    Höhe: 70

    Kritisch: 100
    Business_Relevanz 50

    Standard: 50

    1 – Am kritischsten: 100

    2 – Kritisch: 70

    3 – Weniger relevant: 20

    4 – Nicht kritisch: 30
    Die Risikopunktzahl für die Testergebnisse nach dem erneuten Anwenden des Rechners wird in der folgenden Tabelle angezeigt:
    Tabelle : 6. Risikopunktzahl für TR beim erneuten Anwenden des Rechners
    ID Business-Relevanz (50 %) Kritikalität der Steuerung (50 %) Resultierende Risikopunktzahl
    CTR0000001 1 – Am kritischsten (50 % x 100) Gering (50 % x 20) 60
    CTR0000002 1 – Am kritischsten (50 % x 100) Niedrig (50 % x 30) 65
    CTR0000003 2 – Kritisch (50 % x 70) Gering (50 % x 30) 45
    CTR0000004 2 – Kritisch (50 % x 70) Mittel (50 % x 60)

    * Überarbeiteter Wert

    		 65

    * Überarbeiteter Wert
    CTR0000005

    3 – Weniger kritisch (50 % x 20)

    * Überarbeiteter Wert

    		 Niedrig (50 % x 30) 25

    * Überarbeiteter Wert

    Berechnungsbeispiel für Risiko-Rollup für Konfigurations-Compliance (vor v15.0)

    Das folgende Beispiel zeigt, wie die Punktzahlen für Risiko-Rollup-Rechner ermittelt werden.

    Für den folgenden Rechner für Korrekturaufgaben-Rollup lautet die Formel zur Berechnung der Risikopunktzahl für Korrekturaufgaben:

    (Maximale Risikopunktzahl/100) * 85 + (Faktor * 15).

    Der Faktor in der vorherigen Gleichung wird durch die Anzahl der Testergebnisse bestimmt (siehe folgende Tabelle).
    Anzahl Testergebnisse Faktor
    <10 0,2
    10-99 0,4
    100–1000 0,6
    1001-9999 0,8
    >10.000 1
    Für die folgende Korrekturaufgabe, TRG0003066, mit drei Testergebnissen Risikopunktzahlen, beträgt die maximale Punktzahl 90.
    Nummer Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Fehlgeschlagen Öffnen
    CTR000124 70 TRG0003066 Fehlgeschlagen Öffnen
    CTR000125 40 TRG0003066 Fehlgeschlagen Öffnen

    Für die Korrekturaufgabe TRG0003066:

    Die Risikopunktzahl ist 79, (90/100) * 85 + 0,2 * 15 = Math.Floor (76,5 +3) =79.

    Die historische Risikopunktzahl ist null, da die Korrekturaufgabe noch „Offen“ ist.

    Nach der Datenerfassung lauten die Testergebnisse „Bestanden“, und die Korrekturaufgabe geht in den Status „Geschlossen“ über, wie in der folgenden Tabelle gezeigt.

    Nummer Risikopunktzahl (vor v15.0) Nachbesserungsaufgabe Ergebnis Status
    CTR000123 0 TRG0003066 Bestanden Abgeschlossen
    CTR000124 0 TRG0003066 Bestanden Abgeschlossen
    CTR000125 0 TRG0003066 Bestanden Abgeschlossen

    In der folgenden Tabelle wird der Verlauf der Testergebnisse angezeigt.

    Nummer Risikopunktzahl Neuestes Ergebnis Ergebnis
    CTRH000111 90.0 CTR000123 Fehlgeschlagen
    CTRH000112 70 CTR000124 Fehlgeschlagen
    CTRH000113 40 CTR000125 Fehlgeschlagen

    Die Risikopunktzahl ist 0, da in der Korrekturaufgabe keine aktiven Testergebnisse vorhanden sind.

    Für die Korrekturaufgabe TRG0003066:

    Die historische Risikopunktzahl ist 79: (90/100) * 85 + 0,2 * 15 = Math.Floor (76,5 +3) =79.

    Berechnungsbeispiel für Risiko-Rollup für Konfigurations-Compliance (v15.0 und höher)

    Das folgende Beispiel zeigt, wie die Punktzahlen für Risiko-Rollup-Rechner ermittelt werden.

    Für den folgenden Rechner für Korrekturaufgaben-Rollup lautet die Formel zur Berechnung der Risikopunktzahl für Korrekturaufgaben:

    (Maximale Risikopunktzahl* 80/100) + (Durchschnittliche Risikopunktzahl* 5/100) + (Faktor * 15)

    Die Gewichtungen lauten wie folgt:

    • Maximale Risikopunktzahl: 80
    • Durchschnittliche Risikopunktzahl: 5
    • Faktor: 15

    Die Standardgewichtung der durchschnittlichen Risikopunktzahl ist 0. Weitere Informationen zum Festlegen der Gewichtungen finden Sie unter Risiko-Rollup-Rechner für bearbeiten Konfigurations-Compliance.

    Der Faktor in der vorherigen Gleichung wird durch die Anzahl der Testergebnisse bestimmt (siehe folgende Tabelle).
    Anzahl Testergebnisse Faktor
    <10 0,2
    10-99 0,4
    100–1000 0,6
    1001-9999 0,8
    >10.000 1
    Für die folgende Korrekturaufgabe, TRG0003066, mit drei Testergebnissen Risikopunktzahlen, beträgt die maximale Risikopunktzahl 90, und die durchschnittliche Risikopunktzahl beträgt 66,67.
    Nummer Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Fehlgeschlagen Öffnen
    CTR000124 70 TRG0003066 Fehlgeschlagen Öffnen
    CTR000125 40 TRG0003066 Fehlgeschlagen Öffnen

    Für die Korrekturaufgabe TRG0003066:

    Die Risikopunktzahl ist 81, (90* 80/100) + (66,67* 5/100) + (0,2 * 15) = Math.level (78,3 +3) = 81.

    Die historische Risikopunktzahl ist null, da die Korrekturaufgabe noch „Offen“ ist.

    Nach der Datenerfassung lauten die Testergebnisse „Bestanden“, und die Korrekturaufgabe geht in den Status „Geschlossen“ über, wie in der folgenden Tabelle gezeigt. Ab v15.0 von Konfigurations-Compliancewird die Risikopunktzahl eines bestandenen Testergebnisses ausgefüllt, um das geminderte Risiko zu bestimmen.

    Nummer Risikopunktzahl Nachbesserungsaufgabe Ergebnis Status
    CTR000123 90.0 TRG0003066 Bestanden Abgeschlossen
    CTR000124 70 TRG0003066 Bestanden Abgeschlossen
    CTR000125 40 TRG0003066 Bestanden Abgeschlossen

    In der folgenden Tabelle wird der Verlauf der Testergebnisse angezeigt.

    Nummer Risikopunktzahl Neuestes Ergebnis Ergebnis
    CTRH000111 90.0 CTR000123 Fehlgeschlagen
    CTRH000112 70 CTR000124 Fehlgeschlagen
    CTRH000113 40 CTR000125 Fehlgeschlagen

    Die Risikopunktzahl der Korrekturaufgabe ist null, da in der Korrekturaufgabe keine aktiven Testergebnisse vorhanden sind.

    Für die Korrekturaufgabe TRG0003066:

    Die historische Risikopunktzahl ist 81: (90* 80/100) + (66,67* 5/100) + (0,2 * 15) = Math.level (78,3 +3) = 81.