Exemplos de cálculo de pontuação de risco Conformidade de configurações

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 10 min. de leitura

    • A partir da v13.0 de Conformidade de configurações, você pode personalizar os critérios para a regra de risco padrão. Use pontuações de risco fornecidas por fornecedores terceirizados, como Qualys e Tenable, para cálculos de pontuação de risco.

    Fornecedores de terceiros, como Qualys e Tenable, fornecem suas próprias pontuações. Essas pontuações são preenchidas no campo Criticidade na tabela sn_vulc_test. Use este campo para cálculos de pontuação de risco. Para usar esta pontuação para calcular a pontuação de risco, siga o procedimento:

    Adicionar criticalidade de origem como um critério para uma regra de risco

    Use pontuações com base na criticidade fornecida por fornecedores terceirizados para calcular pontuações de risco.

    Antes de Iniciar

    Função necessária: sn_vulc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Fornecedores de terceiros, como Qualys e Tenable, fornecem suas próprias pontuações de risco. Essas pontuações são preenchidas no campo Criticidade na tabela sn_vulc_test. Use este campo para cálculos de pontuação de risco e cálculo da pontuação de risco.

    Procedimento

    1. Navegar até Tudo > Conformidade de configurações > Administração > Calculadoras de Risco.
    2. Navegue até o formulário Regra de risco.
    3. Desmarque a caixa de seleção Ativo para desativar a regra.
    4. Clique em Adicionar critérios.
    5. Na lista Escolher tabela de referência, selecione Resultado de teste.
    6. Na lista Campo, selecione Test.Criticality.
    7. No campo Peso, especifique a importância relativa deste campo.
      O valor deve ser um número inteiro de 0 a 100.
    8. Na seção Definir ponderações de valor, adicione valores de campos e atribua uma porcentagem de ponderação aos campos.
      Criticidade de origem para cálculo de risco
    9. Clique em Enviar.

    Adicionar criticalidade dos negócios como critério para uma regra de risco

    Especifique um valor de criticalidade para serviços de negócio e use a criticalidade de negócio para calcular as pontuações de risco.

    Antes de Iniciar

    Função necessária: sn_vulc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Supondo que sua organização tenha muitos serviços de negócio e um item de configuração (IC) esteja sendo usado pelos seguintes serviços:
    Tabela 1. Criticidade dos serviços de negócio
    Serviço de negócios Criticidade

    Gestão de nuvem

    1 - Mais crítico

    Comércio eletrônico

    2 - Um pouco crítico

    Serviços de cliente

    3 - Menos crítico

    Viagem e despesa

    4 - Não crítico
    O mapeamento entre o IC e os serviços é armazenado na tabela Serviços [cmdb_ci_services]. Quando um IC não passa em um teste de configuração, um resultado de teste (TR) é criado. Você pode usar o valor da criticalidade dos serviços afetados para calcular a pontuação de risco para este TR. Siga o procedimento para usar o valor de criticalidade desses serviços para calcular a pontuação de risco.

    Procedimento

    1. Navegar até Tudo > Conformidade de configurações > Administração > Calculadoras de Risco.
    2. Navegue até o formulário Regra de risco na seção Regras da calculadora.
    3. Desmarque a caixa de seleção Ativo para desativar a regra.
    4. Clique em Adicionar critérios.
    5. Na lista Escolher tabela de referência, selecione Tabela de referência do item de configuração.
    6. Na lista Tabela, selecione Serviço [cmdb_ci_service].
    7. Na lista Campo, selecione Criticidade dos negócios.
    8. No campo Agregação, selecione Mínimo para recuperar o serviço mais crítico deste caso de uso (1 – Valor mais crítico) ou Máximo para recuperar o serviço menos crítico deste caso de uso (4 – Valor não crítico).
    9. No campo Peso, especifique a importância relativa deste campo.
      O valor deve ser um número inteiro de 0 a 100.
    10. Na seção Definir ponderações de valor, adicione valores de campo e atribua ponderações.
      Figura 1. Peso da regra de risco de criticalidade de negócio personalizada
      Peso da regra de risco de criticalidade de negócio personalizada
    11. Clique em Enviar.

    Adicionar critério condicional à calculadora de risco

    Use condições personalizadas para a regra de risco para cálculo de pontuação de risco.

    Antes de Iniciar

    Função necessária: sn_vulc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Supondo que sua organização tenha vários itens de configuração (ICs), dos quais apenas alguns podem ser acessados por um usuário externo. Os usuários podem adicionar ponderações de pontuação de risco para esses ICs externos.
    Nota:
    Você pode identificar esses ICs pelo nome. Os nomes começam com "externo".

    Procedimento

    1. Navegar até Tudo > Conformidade de configurações > Administração > Calculadoras de Risco.
    2. Navegue até o formulário Regra de risco.
    3. Desmarque a caixa de seleção Ativo para desativar a regra.
    4. Clique em Adicionar critérios.
    5. Na lista Escolher tabela de referência, selecione Condições personalizadas.
    6. Na lista Tabela de condições, selecione Item de configuração.
    7. No campo Nome do campo, insira Exposição de IC.
    8. No campo Peso, especifique a importância relativa deste campo.
      O valor deve ser um número inteiro de 0 a 100.
    9. No campo Condição, selecione Nome > começa com, especifique o valor como externo.
      Figura 2. Condições personalizadas para nova regra de risco
      Condições personalizadas para nova regra de risco
    10. Clique em Enviar.

    Exemplo de cálculo de pontuação de risco para Conformidade de configurações

    Determine as calculadoras de pontuação de risco para gerar pontuações de risco que usam os dados de teste e ativo específicos para sua organização.

    Exemplo de determinação de pontuações de calculadoras de regra de risco

    O exemplo a seguir demonstra como as pontuações das calculadoras de regra de risco são determinadas. Suponha que uma calculadora de regra de risco esteja configurada com os campos nesta tabela.
    Tabela 2. Determinar pontuações da calculadora de regra de risco
    Campo Ponderação Detalhamento de peso
    Controle.Criticalidade 50

    Padrão: 0

    Secundário: 20

    Baixo: 30

    Moderado: 50

    Alto: 70

    Crítico: 100
    Criticidade_do_Negócio 50

    Padrão: 0

    Secundário: 20

    Baixo: 30

    Moderado: 50

    Altura: 70

    Crítico: 100
    Suponha que os Resultados de testes mostrados nesta tabela estejam presentes no sistema.
    Tabela 3. Mapeamento de resultados de testes
    ID Criticidade dos negócios Criticidade de controle
    CTR0000001 1 – Mais crítico Secundário(a)
    CTR0000002 1 – Mais crítico Baixo(a)
    CTR0000003 2 – Um pouco crítico Secundário(a)
    CTR0000004 2 – Um pouco crítico Moderado(a)
    CTR0000005 3 – Menos crítico Baixo(a)
    O cálculo da pontuação de risco para o resultado de testes é calculado com base na fórmula:

    Pontuação de risco = (W (control.criticality) * FV (control.criticality). + W (business_criticality) * FV (business_criticality)) / 100 em que W é o peso e FV é a porcentagem de peso do valor do campo.

    A pontuação de risco resultante para esses resultados de testes é conforme descrito nesta tabela:
    Tabela 4. Pontuação de risco com base nos resultados de testes
    ID Criticidade dos negócios (50%) Criticidade de controle (50%) Pontuação de risco resultante
    CTR0000001 1 - Mais crítico (50% x100) Secundário (50% x 20) 60
    CTR0000002 1 - Mais crítico (50% x100) Baixo (50% x 30) 65
    CTR0000003 2 – Razoavelmente crítico (50% x 70) Secundário (50% x 30) 45
    CTR0000004 2 – Razoavelmente crítico (50% x 70) Moderado (50% x 50) 60
    CTR0000005 3 – Menos crítico (50% x 50) Baixo (50% x 30) 40
    Se a porcentagem de ponderação for alterada para um dos valores de campo, consulte esta tabela para obter os resultados:
    Tabela 5. Resultados para percentual de ponderação alterado
    Campo Ponderação Detalhamento de peso
    Controle.Criticalidade 50

    Padrão: 0

    Secundário: 20

    Baixo: 30

    Moderado: 60

    Altura: 70

    Crítico: 100
    Criticidade_do_Negócio 50

    Padrão: 50

    1 – Mais crítico: 100

    2 – Razoavelmente crítico: 70

    3 – Menos crítico: 20

    4 – Não crítico: 30
    A pontuação de risco dos resultados de testes após a reaplicação da calculadora é mostrada nesta tabela:
    Tabela 6. Pontuação de risco para TR ao reaplicar a calculadora
    ID Criticidade dos negócios (50%) Criticidade de controle (50%) Pontuação de risco resultante
    CTR0000001 1 - Mais crítico (50% x100) Secundário (50% x 20) 60
    CTR0000002 1 - Mais crítico (50% x100) Baixo (50% x 30) 65
    CTR0000003 2 – Razoavelmente crítico (50% x 70) Secundário (50% x 30) 45
    CTR0000004 2 – Razoavelmente crítico (50% x 70) Moderado (50% x 60)

    *Valor revisado

    		 65

    *Valor revisado
    CTR0000005

    3 – Menos crítico (50% x 20)

    *Valor revisado

    		 Baixo (50% x 30) 25

    *Valor revisado

    Exemplo de cálculo de acúmulo de risco para Conformidade de configurações (anterior à v15.0)

    O exemplo a seguir demonstra como as pontuações das calculadoras de acúmulo de risco são determinadas.

    Para a calculadora de acúmulo de tarefa de correção a seguir, a fórmula para calcular a pontuação de risco da tarefa de correção é:

    (Pontuação de risco máximo/100) * 85 + (fator * 15).

    O fator na equação anterior é determinado pelo número de resultados de testes, conforme mostrado na tabela a seguir.
    Contagem de Resultado de testes Fator
    < 10 0,2
    10-99 0,4
    100-1000 0,6
    1001-9999 0,8
    > 10.000 1
    Para a Tarefa de correção a seguir, TRG0003066, com três pontuações de risco de resultados de testes, a pontuação máxima é 90.
    Número Pontuação de risco Tarefa de correção Resultado Status
    CTR000123 90 TRG0003066 Concluído negativo Aberto
    CTR000124 70 TRG0003066 Concluído negativo Aberto
    CTR000125 40 TRG0003066 Concluído negativo Aberto

    Para a Tarefa de correção, TRG0003066:

    A pontuação de risco é 79, (90/100) * 85 + 0,2 * 15 = Piso matemático (76,5 +3) = 79.

    A pontuação de risco histórico é nula porque a Tarefa de correção ainda está "Aberta".

    Após a ingestão de dados, os resultados de testes são "Aprovados" e a Tarefa de correção muda para "Encerrada", conforme mostrado na tabela a seguir.

    Número Pontuação de risco (anterior à v15.0) Tarefa de correção Resultado Status
    CTR000123 0 TRG0003066 Aprovado Encerrado
    CTR000124 0 TRG0003066 Aprovado Encerrado
    CTR000125 0 TRG0003066 Aprovado Encerrado

    O histórico de resultados de testes é exibido na tabela a seguir.

    Número Pontuação de risco Último resultado Resultado
    CTRH000111 90 CTR000123 Concluído negativo
    CTRH000112 70 CTR000124 Concluído negativo
    CTRH000113 40 CTR000125 Concluído negativo

    A pontuação de risco é zero porque não há resultados de testes ativos na Tarefa de correção.

    Para a Tarefa de correção, TRG0003066:

    A pontuação de risco histórico é 79: (90/100) * 85 + 0,2 * 15 = Piso matemático (76,5 +3) =79.

    Exemplo de cálculo de acúmulo de risco para Conformidade de configurações (v15.0 e posterior)

    O exemplo a seguir demonstra como as pontuações das calculadoras de acúmulo de risco são determinadas.

    Para a calculadora de acúmulo de tarefa de correção a seguir, a fórmula para calcular a pontuação de risco da tarefa de correção é:

    (Pontuação de risco máximo* 80/100) + (Pontuação de risco médio* 5/100) + (Fator * 15)

    Em que, os pesos são os seguintes:

    • Pontuação de risco máximo: 80
    • Pontuação de risco médio: 5
    • Fator: 15

    O peso padrão da pontuação de risco médio é 0. Para obter mais informações sobre como definir os pesos, consulte Editar calculadoras de acúmulo de risco para Conformidade de configurações.

    O fator na equação anterior é determinado pelo número de resultados de testes, conforme mostrado na tabela a seguir.
    Contagem de Resultado de testes Fator
    < 10 0,2
    10-99 0,4
    100-1000 0,6
    1001-9999 0,8
    > 10.000 1
    Para a Tarefa de correção a seguir, TRG0003066, com três pontuações de risco de resultados de testes, a pontuação de risco máxima é 90 e a pontuação de risco média é 66,67.
    Número Pontuação de risco Tarefa de correção Resultado Status
    CTR000123 90 TRG0003066 Concluído negativo Aberto
    CTR000124 70 TRG0003066 Concluído negativo Aberto
    CTR000125 40 TRG0003066 Concluído negativo Aberto

    Para a Tarefa de correção, TRG0003066:

    A pontuação de risco é 81, (90 * 80/100) + (66,67 * 5/100) + (0,2 * 15) = Piso-matemático (78,3 +3) = 81.

    A pontuação de risco histórico é nula porque a tarefa de correção ainda está "Aberta".

    Após a ingestão de dados, os resultados de testes são "Aprovados" e a Tarefa de correção muda para "Encerrada", conforme mostrado na tabela a seguir. A partir da v15.0 de Conformidade de configurações, a pontuação de risco de um resultado de testes aprovado é preenchida para determinar o risco reduzido.

    Número Pontuação de risco Tarefa de correção Resultado Status
    CTR000123 90 TRG0003066 Aprovado Encerrado
    CTR000124 70 TRG0003066 Aprovado Encerrado
    CTR000125 40 TRG0003066 Aprovado Encerrado

    O histórico de resultados de testes é exibido na tabela a seguir.

    Número Pontuação de risco Último resultado Resultado
    CTRH000111 90 CTR000123 Concluído negativo
    CTRH000112 70 CTR000124 Concluído negativo
    CTRH000113 40 CTR000125 Concluído negativo

    A pontuação de risco da Tarefa de correção é zero porque não há resultados de testes ativos na Tarefa de correção.

    Para a Tarefa de correção, TRG0003066:

    A Pontuação de risco histórico é 81: (90 * 80/100) + (66,67 * 5/100) + (0,2 * 15) = Piso matemático (78,3 +3) = 81.