Vulnerability Response visão geral de regras de atribuição

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Defina os critérios pelos quais os itens vulneráveis (IVs) são atribuídos automaticamente a um grupo de atribuição para correção.

    Uma regra de atribuição padrão, Atribuir ao grupo de suporte de IC, está incluída no sistema de base que atribui itens vulneráveis ao Grupo de suporte de IC. A regra Atribuir ao grupo de suporte de IC atribui um IV a qualquer grupo de suporte definido para o item de configuração (IC) associado ao IV.
    Nota:
    As regras de atribuição não reavaliam as atribuições criadas manualmente.

    O tipo de atribuição, seja Manual ou Regra, está disponível no formulário IV e na exibição de lista. Qualquer IV que foi originalmente atribuído por uma regra, mas posteriormente reatribuído manualmente, contém uma referência à regra original.

    Use as informações de Regra de atribuição e Tipo de atribuição para identificar casos em que as regras de atribuição não encontraram uma correspondência correta para o destinatário pretendido. Você também pode usar as informações para identificar quais regras tiveram mais reatribuições.

    Os grupos de atribuição definidos pelas Regras de atribuição são usados pelas Regras de tarefa de correção para atribuir proprietários a tarefas de correção (VULs).
    Nota:
    Para disponibilizar Rapid7 InsightVM etiquetas do ativo para uso no filtro de condição para regras de atribuição, você deve executar a integração Rapid7 InsightVM Lista de ativos antes das outras integrações Rapid7 InsightVM.

    A diferenciação de maiúsculas e minúsculas para o texto de pesquisa inserido no construtor de condição não é compatível com este registro ou formulário.

    Atribuir itens vulneráveis automaticamente

    Existem três maneiras diferentes de atribuir itens vulneráveis usando Atribuir usando:
    • Grupode usuários : esta opção permite selecionar qualquer um dos grupos de usuários Now Platform® existentes.
    • Campo de grupo deusuários : esta opção permite escolher qualquer campo de grupo de atribuição disponível usando a tabela cmdb_ci. Por padrão, você vê os três campos de grupo a seguir:
      • Nenhum: indica que não há valor padrão para este campo obrigatório
      • Item de configuração: grupo de aprovação
      • Item de configuração: grupo de atribuição
      • Item de configuração: grupo de suporte
    • Script: esta opção permite definir as condições usando um script. Esta opção requer codificação ou conhecimento avançado ServiceNow.

    Execute regras de alta prioridade (itens que precisam de tratamento especial, onde o risco é crítico ou um IV deve ser tratado pela conformidade regulatória) primeiro. Em seguida, execute suas regras gerais, onde nenhum tratamento especial é necessário, e você saberá quem deve ser responsável por elas. Por fim, crie uma regra padrão para atribuir IVs ao grupo que descobrirá a qual grupo de atribuição ele deve pertencer. Este grupo pode adicionar outra regra para cobrir suas decisões. Esta regra padrão seria executada por último.

    Processo de avaliação da regra de atribuição

    As regras de atribuição são usadas para avaliar e atribuir um IV quando um novo IV é aberto, ou seja, importado, criado manualmente ou reaberto. A menos que você reaplicar manualmente as regras de atribuição após o IV ou seu estado mudar, um IV será avaliado uma vez.

    O processo a seguir é usado para cada IV novo, atualizado ou reaberto:
    • Para cada regra de atribuição de vulnerabilidade, o IV é comparado ao filtro de atribuição, a regra de ordem mais baixa primeiro.
    • Quando a condição corresponde, o IV é atribuído a um grupo de atribuição. A pesquisa é interrompida.
    • Quando as condições não encontrarem uma correspondência entre todas as outras regras, o IV será atribuído ao grupo de atribuição padrão, se houver uma regra padrão.
      Depois que o item vulnerável tiver sido atribuído, a regra de tarefa de correção apropriada usará a atribuição como um dos critérios para colocar os itens vulneráveis em uma tarefa de correção. Para obter mais informações, consulte Vulnerability Response tarefas de correção e regras de tarefa visão geral e Filtragem em Vulnerability Response.
      Nota:
      A regra padrão é a regra com o maior valor de ordem de execução. Uma regra final a ser usada que é um bom contato alternativo é active=true. Se não houver regra padrão, o IV permanecerá não atribuído quando a regra de tarefa de correção fizer a atribuição.

    Reaplicar regras de atribuição

    Ao alterar uma regra de atribuição, use o botão Aplicar mudanças na página da lista Regras de atribuição para executar novamente todas as regras alteradas em todos os IVs abertos ativos, exceto aqueles que foram atribuídos manualmente.
    Nota:

    Se o trabalho programado Reapply all vulnerability assignment rules não tiver sido executado antes da primeira vez em que você usa Aplicar mudanças, ele executará todas as regras de atribuição em todos os IVs abertos, exceto os IVs que foram atribuídos manualmente. Depois disso, todos os usos subsequentes de Aplicar mudanças executam novamente somente as regras alteradas e todas as regras dependentes. Mudanças em uma regra podem resultar em um IV correspondendo a uma regra não modificada diferente. A reaplicação das regras de atribuição não reagrupa os itens vulneráveis.

    O trabalho programado [Reapply all vulnerability assignment rules] está inativo por padrão. Quando ativado, ele aplica todas as regras a todos os IVs abertos, exceto aqueles atribuídos manualmente. Ele pode ser executado diariamente, semanalmente, mensalmente, periodicamente, uma vezou sob demanda. Dependendo de quantos IVs ativos você tem em seu ambiente, lembre-se de definir o campo Executar corretamente após a execução inicial para evitar impactos no desempenho.

    Os clientes de atualização devem consultar as Notas de versão de VR para obter informações sobre o impacto deste recurso nos IVs existentes.

    Quando um grupo de atribuição em uma regra de atribuição muda, os itens vulneráveis podem ser reavaliados e reagrupados automaticamente, habilitando a propriedade do sistema sn_vul.rerun_task_rules e o link da regra de negócio para tarefas de correção.

    Para habilitar a propriedade do sistema:
    1. Navegar até Todos > Propriedades do sistema > Todas as Propriedades.
    2. Abra a propriedade do sistema sn_vul.rerun_task_rules.
    3. No campo Valor, defina o valor como verdadeiro.
    Quando a propriedade do sistema é definida como verdadeira e as regras de atribuição são reaplicadas, os itens vulneráveis são desvinculados das tarefas de correção, onde a condição não corresponde mais.
    Nota:
    Por padrão, a propriedade do sistema sn_vul.rerun_task_rules é definida como falsa.

    Para automatizar o reagrupamento de itens vulneráveis, você deve ativar a regra de negócio Vincular tarefas de correção.

    Para habilitar a regra de negócio:
    1. Navegar até Todos > Definição do Sistema > Regras de negócios.
    2. Abra a regra de negócio Link para Tarefas de correção.
    3. Marque a caixa de seleção Ativa para ativar a regra de negócios.
    A regra de negócios ao ser habilitada reagrupa os itens vulneráveis, movendo-os para o grupo relevante ou criando um grupo se eles não puderem ser agrupados em qualquer grupo existente.
    Nota:
    • Os itens vulneráveis são removidos dos grupos sem excluir os grupos.
    • Somente os itens criados usando regras de tarefa de correção ou esforço de correção são removidos.
    • O reagrupamento é feito automaticamente somente quando o grupo de atribuição muda como parte de uma regra de atribuição e não quando é alterado manualmente.
    O reagrupamento em espaços é realizado para tarefas de correção, que são criadas a partir de um esforço de correção.