Exemplos de cálculo de pontuação de risco Configuration Compliance

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

8 min. de leitura

A partir da v13.0 de Configuration Compliance, você pode personalizar os critérios para a regra de risco padrão. Use pontuações de risco fornecidas por fornecedores terceirizados, como Qualys e Tenable, para cálculos de pontuação de risco.

Fornecedores de terceiros, como Qualys e Tenable, fornecem suas próprias pontuações. Essas pontuações são preenchidas no campo Criticalidade na tabela sn_vulc_test. Use este campo para cálculos de pontuação de risco. Para usar essa pontuação para calcular a pontuação de risco, siga o procedimento:

Adicionar criticalidade de origem como critério para uma regra de risco

Use pontuações com base na criticidade fornecida por fornecedores terceirizados para calcular pontuações de risco.

Antes de Iniciar

Função necessária: sn_vulc.admin

Por Que e Quando Desempenhar Esta Tarefa

Fornecedores terceirizados, como Qualys e Tenable, fornecem suas próprias pontuações de risco. Essas pontuações são preenchidas no campo Criticalidade na tabela sn_vulc_test. Use este campo para cálculos de pontuação de risco e cálculo da pontuação de risco.

Procedimento

Navegar até Todos > Configuration Compliance > Administração > Calculadoras de Risco.
Navegue até o formulário Regra de risco.
Desmarque a caixa de seleção Ativa para desativar a regra.
Clique em Adicionar critérios.
Na lista Escolher tabela de referência, selecione Resultado do teste.
Na lista Campo, selecione Test.Criticality.
No campo Peso, especifique a importância relativa deste campo.
O valor deve ser um número inteiro de 0 a 100.
Na seção Definir Ponderações de Valor, adicione valores de campo e atribua uma porcentagem de ponderação aos campos.
Clique em Enviar.

Adicionar criticalidade dos negócios como critério para uma regra de risco

Especifique um valor de criticalidade para serviços de negócios e use a criticalidade de negócios para calcular as pontuações de risco.

Antes de Iniciar

Função necessária: sn_vulc.admin

Por Que e Quando Desempenhar Esta Tarefa

Supondo que sua organização tenha muitos serviços de negócios e um item de configuração (IC) esteja sendo usado pelos seguintes serviços:

Tabela 1. Criticidade dos serviços de negócios
Serviço de negócio	Criticidade
Gestão de nuvem	1 - Mais crítico
Comércio eletrônico	2 - Um pouco crítico
Serviços ao cliente	3 - Menos crítico
Viagem e despesa	4 - Não crítico

O mapeamento entre o IC e os serviços é armazenado na tabela Serviços [cmdb_ci_services]. Quando um IC não passa em um teste de configuração, um resultado de teste (TR) é criado. Você pode usar o valor da criticidade dos serviços afetados para calcular a pontuação de risco para este TR. Siga o procedimento para usar o valor de criticalidade desses serviços para calcular a pontuação de risco.

Procedimento

Navegar até Todos > Configuration Compliance > Administração > Calculadoras de Risco.
Navegue até o formulário Regra de risco na seção Regras da calculadora.
Desmarque a caixa de seleção Ativa para desativar a regra.
Clique em Adicionar critérios.
Na lista Escolher tabela de referência, selecione Tabela de referência do item de configuração.
Na lista Tabela, selecione Serviço [cmdb_ci_service].
Na lista Campo, selecione Criticalidade dos negócios.
No campo Agregação, selecione Mínimo para recuperar o serviço mais crítico para este caso de uso (1- Valor mais crítico) ou Máximo para recuperar o serviço menos crítico para este caso de uso (4 – Valor não crítico).
No campo Peso, especifique a importância relativa deste campo.
O valor deve ser um número inteiro de 0 a 100.
Na seção Definir ponderações de valor, adicione valores de campo e atribua ponderações.

Figura 1. Ponderação da regra de risco de criticalidade dos negócios personalizada
Clique em Enviar.

Adicionar critério condicional à calculadora de risco

Use condições personalizadas para a regra de risco para o cálculo da pontuação de risco.

Antes de Iniciar

Função necessária: sn_vulc.admin

Por Que e Quando Desempenhar Esta Tarefa

Supondo que sua organização tenha vários itens de configuração (ICs), dos quais apenas alguns podem ser acessados por um usuário externo. Os usuários podem adicionar ponderações de pontuação de risco para esses ICs externos.

Nota:

Você pode identificar esses ICs pelo nome. Os nomes começam com "externo".

Procedimento

Navegar até Todos > Configuration Compliance > Administração > Calculadoras de Risco.
Navegue até o formulário Regra de risco.
Desmarque a caixa de seleção Ativa para desativar a regra.
Clique em Adicionar critérios.
Na lista Escolher tabela de referência, selecione Condições personalizadas.
Na lista Tabela de condições, selecione Item de configuração.
No campo Nome do campo, insira Exposição de IC.
No campo Peso, especifique a importância relativa deste campo.
O valor deve ser um número inteiro de 0 a 100.
No campo Condição, selecione Nome > começa come especifique o valor como externo.

Figura 2. Condições personalizadas para nova regra de risco
Clique em Enviar.

Exemplo de cálculo de pontuação de risco para Configuration Compliance

Determine as calculadoras de pontuação de risco para gerar pontuações de risco que usam os dados de teste e ativo específicos da sua organização.

Exemplo de determinação de pontuações de calculadoras de regra de risco

O exemplo a seguir demonstra como as pontuações das calculadoras de regra de risco são determinadas. Suponha que uma calculadora de regra de risco esteja configurada com os campos nesta tabela.

Tabela 2. Determinar pontuações da calculadora de regra de risco
Campo	Ponderação	Detalhamento de peso
Criticalidade.Controle	50	Padrão: 0 Secundário: 20 Baixo: 30 Moderado: 50 Alto: 70 Crítico: 100
Criticidade_do_Negócios	50	Padrão: 0 Secundário: 20 Baixo: 30 Moderado: 50 Altura: 70 Crítico: 100

Suponha que os resultados de testes mostrados nesta tabela estejam presentes no sistema.

Tabela 3. Mapeamento de resultados de testes
ID	Criticidade dos negócios	Criticalidade do controle
CTR0000001	1 - Mais crítico	Secundário(a)
CTR0000002	1 - Mais crítico	Baixa
CTR0000003	2 - Um pouco crítico	Secundário(a)
CTR0000004	2 - Um pouco crítico	Moderado(a)
CTR0000005	3 - Menos crítico	Baixa

O cálculo da pontuação de risco para o resultado do teste é calculado com base na fórmula:

Pontuação de risco = (W(control.criticality) * FV (control.criticality). + W(business_criticality) * FV(business_criticality)) / 100, em que W é o peso e FV é a porcentagem de peso do valor do campo.

A pontuação de risco resultante para esses resultados de testes é conforme descrita nesta tabela:

Tabela 4. Pontuação de risco com base nos resultados de testes
ID	Criticalidade dos negócios (50%)	Criticidade do controle (50%)	Pontuação de risco resultante
CTR0000001	1 - Mais crítico (50% x100)	Secundário (50% x 20)	60
CTR0000002	1 - Mais crítico (50% x100)	Baixo (50% x 30)	65
CTR0000003	2 - Um pouco crítico (50% x 70)	Secundário (50% x 30)	45
CTR0000004	2 - Um pouco crítico (50% x 70)	Moderado (50% x 50)	60
CTR0000005	3 - Menos crítico (50% x 50)	Baixo (50% x 30)	40

Se a porcentagem de ponderação for alterada para um dos valores de campo, consulte esta tabela para obter os resultados:

Tabela 5. Resultados para porcentagem de ponderação alterada
Campo	Ponderação	Detalhamento de peso
Criticalidade.Controle	50	Padrão: 0 Secundário: 20 Baixo: 30 Moderado: 60 Altura: 70 Crítico: 100
Criticidade_do_Negócios	50	Padrão: 50 1 - Mais crítico: 100 2 - Um pouco crítico: 70 3 - Menos crítico: 20 4 - Não crítico: 30

A pontuação de risco dos resultados do teste após a reaplicação da calculadora é mostrada nesta tabela:

Tabela 6. Pontuação de risco para TR ao reaplicar a calculadora
ID	Criticalidade dos negócios (50%)	Criticidade do controle (50%)	Pontuação de risco resultante
CTR0000001	1 - Mais crítico (50% x100)	Secundário (50% x 20)	60
CTR0000002	1 - Mais crítico (50% x100)	Baixo (50% x 30)	65
CTR0000003	2 - Um pouco crítico (50% x 70)	Secundário (50% x 30)	45
CTR0000004	2 - Um pouco crítico (50% x 70)	Moderado (50% x 60) *Valor revisado	65 *Valor revisado
CTR0000005	3 - Menos crítico (50% x 20) *Valor revisado	Baixo (50% x 30)	25 *Valor revisado

Exemplo de cálculo de acúmulo de risco para Configuration Compliance

O exemplo a seguir demonstra como as pontuações das calculadoras de acúmulo de risco são determinadas.

Para a seguinte calculadora de acúmulo de grupo de resultados de testes, a fórmula para calcular a Pontuação de risco do grupo do resultado do teste é:

(Pontuação de risco máximo/100) * 85 + (fator * 15).

O fator na equação anterior é determinado pelo número de resultados de testes, conforme mostrado na tabela a seguir.


Contagem de Resultado de testes	Fator
< 10	0,2
1 a 99	0,4
100–1000	0,6
1001-9999	0,8
> 1000	1

Para a Tarefa de correção a seguir, TRG0003066, com três pontuações de risco de resultados de testes, a pontuação máxima é 90.


Número	Pontuação de risco	Grupo	Resultado	Status
CTR000123	90	TRG0003066	Reprovado	Em aberto
CTR000124	70	TRG0003066	Reprovado	Em aberto
CTR000125	40	TRG0003066	Reprovado	Em aberto

Para a tarefa de correção, TRG0003066, a pontuação de risco é 79, (90/100) * 85 + 0,2 * 15 = Math.year (76,5 +3) = 79.

A pontuação de risco histórico é nula porque o grupo ainda está "Aberto".

Após a ingestão de dados, os resultados do teste são "Aprovados" e o grupo muda para "Encerrado", conforme mostrado na tabela a seguir.


Número	Grupo	Resultado	Status
CTR000123	TRG0003066	Aprovado	Encerrado
CTR000124	TRG0003066	Aprovado	Encerrado
CTR000125	TRG0003066	Aprovado	Encerrado

Resultados de testes O histórico é exibido na tabela a seguir.


Número	Pontuação de risco	Último resultado	Resultado
CTRH000111	90	CTR000123	Reprovado
CTRH000112	70	CTR000124	Reprovado
CTRH000113	40	CTR000125	Reprovado

A pontuação de risco é zero, porque não há resultados de testes abertos no grupo.

A pontuação de risco máximo dos resultados aprovados + a pontuação de risco máximo do histórico - 90.

Para o grupo de resultados de testes TRG0003066, a Pontuação de Risco Histórico é 79.

(90/100) * 85 + 0,2 * 15 = Piso superior (76,5 + 3) = 79.