CI-Suchregeln für Microsoft Defender for Cloud Integration für Security Operations und Palo Alto Prisma Cloud

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Sie können die Suchregeln für Configuration Item (CI) für die Integrationen Microsoft Defender for Cloud Integration und Palo Alto Prisma Cloud verwenden, um eine richtige Übereinstimmung mit häufig verwendeten Ressourcentypen in Configuration Management Database (CMDB)zu finden.

    Übersicht

    Das Modul CI-Suchregeln enthält die Regeln, mit denen Sie die Felder mit den übereinstimmenden Daten in Configuration Management Database (CMDB)definieren können. Sie können diese Regeln verwenden, um die Anwendungen und Anwendungsreleases zu identifizieren. Alle Microsoft Defender for Cloud Integration - und Palo Alto Prisma Cloud -Assets werden durch die Kombination aus Objekt-ID, Cloud-Account und logischem Rechenzentrum in der ServiceNow -Plattformeindeutig identifiziert. Die Discovery ServiceNow füllt die Ressourcen-ID in der Spalte Object_id von CMDB in unterschiedlichen Formaten für die unterschiedlichen Ressourcentypen aus. Die folgende Tabelle zeigt die Objekt-ID-Formate häufig verwendeter Ressourcentypen, die der Discovery-Service zum Ausfüllen der Spalte Object_id des CI verwendet. Jeder Scanner, der ein Asset eines bestimmten Ressourcentyps suchen möchte, muss mithilfe des richtigen Objekt-ID-Formats suchen. Sie können das richtige Objekt-ID-Format erhalten, indem Sie in der Objekt-ID-Spalte der entsprechenden CMDB CI-Klasse suchen und dann versuchen, die Objekt-ID mit den vom Scanner empfangenen Werten zu erstellen.
    Tabelle : 1. Objekt-ID-Format für verschiedene Ressourcentypen
    Ressourcentyp Format
    AWS::EC2::Instance Objekt-ID
    AWS::ElasticLoadBalancing::LoadBalancer Name des Lastenausgleichsmoduls
    AWS::S3::Bucket arn:aws:s3:::<Bucket Name>

    Die CI-Übereinstimmung für ein Testergebnis wird in Configuration Management Database (CMDB) möglicherweise nicht genau gefunden, es sei denn, das gleiche Format der object_id wird in der Suchregel verwendet. Meistens finden die OOB CI-Suchregeln eine Übereinstimmung für die am häufigsten verwendeten Ressourcentypen für Microsoft Defender for Cloud Integration und Palo Alto Prisma Cloud. Wenn die folgenden CI-Suchregeln die CIs in CMDB für Ihre Testergebnisse nicht finden, können Sie eine CI-Suchregel für einen Ressourcentyp erstellen. Weitere Informationen zum Erstellen einer CI-Suchregel finden Sie unter CI-Suchregel erstellen.

    CI-Suchregeln

    Die folgenden CI-Suchregeln gelten spezifisch für Microsoft Defender for Cloud Integration und Palo Alto Prisma Cloud.
    S3-Bucket
    Diese Suchregel versucht, das CI in CMDB anhand des Werts zu finden, der durch Verketten von arn:aws:s3::: und Ressourcenname erhalten wurde. Der erhaltene Wert wird in der Spalte „object_id “ der Tabelle „cmdb_ci_cloud_object_storage“ gesucht. Diese Suchregel gilt nur, wenn der Ressourcentyp AWS::S3::Bucketist.
    Name
    Diese Suchregel versucht, das CI in CMDB anhand des Namens zu finden. Der Name, der in der Spalte Object_id der CI-Klasse gesucht wird, entspricht einem Ressourcentyp in der Tabelle sn_capi_resource_type.
    Hinweis:
    Für die Anwendung Palo Alto Prisma Cloud wird diese CI-Suchregel nur für die Ressourcentypen AWS::RDS::DBInstance, AWS::ElasticLoadBalancing::LoadBalancerund AWS::CloudTrail::Trail ausgeführt. Sie können die Ressourcentypen hinzufügen, für die Sie diese CI-Suchregel ausführen möchten.
    Ressourcen-ID
    Diese Suchregel versucht, das CI in CMDB anhand der Ressourcen-ID zu finden. Die Ressourcen-ID, die in der Spalte Object_id der CI-Klasse gesucht wird, entspricht einem Ressourcentyp in der Tabelle sn_capi_resource_type.
    Hinweis:
    Sie können die Priorität für eine CI-Suchregel im Feld Reihenfolge festlegen. Die CI-Suchregel mit dem niedrigsten Reihenfolgewert wird zuerst ausgeführt.