ルックアップルールを使用した検索結果と構成アイテムの関連付け

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • 統合セキュリティエクスポージャー管理 はルックアップルールを使用して、インポートされたサードパーティのエクスポージャー結果を構成管理データベース (CMDB) の構成アイテム (CI) に関連付けます。これらのルールは資産データを既存の CI と照合し、正確な修復を可能にします。

    Qualys、Tenable、Rapid7 などの外部スキャナーからインポートされた結果には、直接の CI 参照がないことがよくあります。ルックアップルールは、一致ロジックを適用して結果を CMDB内の CI にマッピングすることで、このギャップを埋めます。

    ルックアップルールの特徴

    • ドメインセパレーションとソース特異性:ルックアップルールはドメインセパレーションすることができ、各ソースに固有であるため、ソースに従って複数の展開が可能になります。
    • 展開間で共有:ルールは、スキャナーソース統合のすべての展開で共有されます。変更または削除はすべての展開に影響します。

    ルックアップルールの仕組み

    ルックアップルールは 3 ステップのプロセスに従います。
    1. 初期ルックアップ:資産または結果がインポートされると、システムは最初にサードパーティ ID を使用して [検出されたアイテム ] リストをチェックします。資産 ID が一致すると、検索結果レコードの [ 構成アイテム ] フィールドに入力されます。
    2. 照合プロセス:一致する資産 ID が存在しない場合、ルールは他の資産の詳細を使用して正しい CI を識別します。[ 検出されたアイテム ] リストでマッピングを表示できます。
    3. プレースホルダー CI の作成:一致するものが見つからない場合は、プレースホルダー CI が作成され、一致しない CI としてマークされます。
      • 照合は、ソース、source_instance、ベンダー ID 間でベンダー ID をルックアップすることから始まります。
      • ルールは昇順で実行され、単一の CI の一致が見つかると停止します。
      • 一致した CI が低レベルのネットワーク要素 ( dscy_switchportcmdb_ci_network_adaptercmdb_ci_niccmdb_ci_ip_address など) である場合は、親 CI が返されます。
    4. ルールの実行:ルールは、単一の一致が見つかるまで、優先度の低いものから高いものの順に実行されます。複数の一致が発生した場合は、最初のもののみが使用されます。

    特別な考慮事項

    • CI クラスの除外:システムプロパティを使用すると、特定の CI クラスを照合から除外できます。アップグレード情報とプロパティの設定手順については、「CI クラスの無視」を参照してください。
    • 親 CI の返却:低レベルのネットワーク要素の一致を避けるために、一致した CI がネットワークアダプター、ネットワークインターフェイスカード (NIC)、または IP アドレスである場合は、親 CI が返されます。

    特定の統合のルックアップルール

    各統合プラグインには、独自の一連のルールが含まれています。

    • Qualys:Qualys ホスト ID、FQDN、NetBIOS、DNS、IP
    • Rapid7:MacAddress、FQDN、HostName、IP
    • Tenable.io:FQDN、NETBIOS、HOSTNAME、MacAddress、DNS
    • Tenable.sc:MacAddress、FQDN、NETBIOS
      注:
      Tenable.io ルックアップルールは、検出されたアイテムの空でないネットワークインターフェイス値 (FQDN、IPV4、および MacAddress) を通常の FQDN、IPV4、および MacAddress 値よりも優先して入力します。これらのネットワークインターフェイスの値が空の場合、検出されたアイテムに対して通常の FQDN、IPV4、および MacAddress の値が入力されます。
    ルックアップルールの管理
    • カスタムルールのテスト:カスタムルールまたは変更されたルックアップルールをテストして、パフォーマンスの問題を回避します。
    • 削除の代わりに非アクティブ化:データの損失を防ぐために、ルールを削除せずに非アクティブ化します。
    ルールを慎重に構築しないと、エクスポージャー結果データのインポートがインスタンスに負荷をかけ、リソースのパフォーマンス問題が発生する可能性があります。 CMDB 内で反復して照合を実行するために使用されるロジックでは、処理時間が長くなる可能性があります。リソースの潜在的なデグレードやパフォーマンスの複雑化を回避するために、カスタム作成されたルックアップルールまたは事前定義された ルックアップルールの変更をテストします。孤立レコードの重複防止、データの削除、およびデータのクリーンアップの詳細については、「 ルックアップルールの実行後にレコードの重複や孤立を防ぐための手順 」を参照してください。
    注:
    CI の照合の詳細については、「KB0998706」を参照してください。

    更新されたルックアップルールを再適用しています

    ルールを更新した後、[ 再適用 ] を使用して、一致しない、または以前に一致した検出済みアイテムでルールを再実行します。これにより、検出結果と検出の CI 情報が更新されます。選択した特定の検出済みアイテムに対してルックアップルールを実行することもできます。詳細については、「選択した検出済みアイテムにルックアップルールを再適用」を参照してください。

    一致しない CI と未分類のハードウェア

    • 一致しない CI:CMDBに一致しない CI は、[クラス] が [一致しない CI] に設定されている [検出されたアイテム] の下に一覧表示されます。
      注:
      検出された各アイテムには、 クラス フィールドが含まれています。CI が一致しない場合、このフィールドは [ 一致しない CI] に設定されます
    • 未分類のハードウェア:ルックアップルールで分類できない資産は、未分類のハードウェアと呼ばれます。

    ルックアップルールを効果的に管理することで、 統合セキュリティエクスポージャー管理 正確な所有権を特定し、修復を簡素化するのに役立ちます。