Configurer des règles de recherche

  • Rversion finale: Yokohama
  • Mis à jour 31 juil. 2025
  • 6 minutes de lecture

    • En configurant des règles de recherche, vous pouvez mapper les données d’exposition de sécurité aux éléments de configuration (CI) corrects dans le CMDB. Ce mappage est une fonction essentielle, car il est essentiel d’associer les résultats d’exposition aux actifs appropriés pour les workflows appropriés d’évaluation, d’affectation et de rattrapage des risques.

    Créer une règle de recherche

    Créer des règles de recherche pour associer automatiquement et avec précision les données des résultats d’exposition entrants aux éléments de configuration (CI) corrects dans le Base de données de gestion des configurations (CMDB) Ceci est essentiel pour permettre au reste du processus de gestion de la vulnérabilité de fonctionner correctement.

    Avant de commencer

    Rôle requis : sn_vul.vulnerability_admin

    Pourquoi et quand exécuter cette tâche

    La création de règles de recherche nécessite un savoir-faire avancé.ServiceNow Plutôt que de modifier l’une des règles de recherche existantes, envisagez de la copier et de modifier la copie. Lorsque vous êtes satisfait que la nouvelle règle fait ce que vous voulez, désactivez l’original.
    Remarque :
    Une fois supprimées, les règles ne peuvent pas être récupérées. Plutôt que de supprimer les règles existantes, désactivez-les lorsque vous en créez de nouvelles.

    Procédure

    1. Accédez à Espaces de travail > Espace de travail pour la gestion de l’exposition à la sécurité.
    2. Sélectionnez Administration dans le volet de navigation.
    3. Sélectionnez Examiner dans la vignette Règles de recherche .
    4. Sur la page Règles, sélectionnez Rechercher dans le volet de navigation.
    5. Sélectionnez Nouveau.
    6. Remplissez les champs du formulaire.
      Tableau 1. Formulaire de règle de recherche
      Champ Description
      Détails
      Nom Nom de la règle.
      Méthode de recherche Méthode utilisée pour la correspondance. Les choix possibles sont les suivants :
      • Script : script prédéfini (adresse IP, nom DNS, etc.) ou personnalisé.
      • Correspondance de champ : recherche sur une table ou un champ dans la CMDB.
      Type Type utilisé avec la méthode de recherche de script.
      Ordre Ordre de priorité de la règle. Les règles avec l’ordre le plus bas sont évaluées en premier.
      Actives Cochez la case pour indiquer si la règle est active ou désactivée.
      Source Source utilisée comme entrée pour cette règle.
      Champ source Champ source utilisé comme entrée dans cette règle. Sélectionnez un champ, mais il est traité comme une valeur de chaîne.
      Description Description de la nouvelle règle de recherche.
      Cible de recherche Approche de recherche que vous souhaitez suivre. Sélectionnez parmi :
      • Élément de configuration
      • Modèle de produit
      Si la condition est remplie
      Condition Condition sur laquelle la règle de recherche est appliquée. Cette condition dépend de l’attribut de l’analyseur tiers.
      Remarque :
      L’attribut asset fait partie de la charge utile. Il est reçu du scanner tiers. Consultez la table Éléments détectés pour obtenir des exemples de charge utile.
      Définir ensuite cette valeur
      Méthode de recherche Méthode utilisée pour la correspondance. Les choix possibles sont les suivants :
      • Script : script prédéfini (adresse IP, nom DNS, etc.) ou personnalisé.
      • Correspondance de champ : recherche sur une table ou un champ dans la CMDB.
      Rechercher sur la table CI Table à rechercher dans la CMDB. Utilisé avec la méthode de recherche de correspondance de champ.
      Rechercher sur la table de produits Si vous choisissez la cible de recherche Modèle de produit, la valeur par défaut est Modèle d’application.
      Rechercher sur le champ CI Champ qui contient des informations utilisables pour localiser un CI. Utilisé avec la méthode de recherche de correspondance de champ. Ce champ peut se trouver sur l’enregistrement CI ou sur un enregistrement connexe, tel qu’une carte réseau.
      Rechercher sur le champ Modèle de produit Si vous choisissez la cible de recherche de modèle de produit, la valeur par défaut est Name (Nom).
      Type Type utilisé avec la méthode de recherche de script.
      Script Un exemple de script modifiable, basé sur le type, est affiché. Implémentez le script personnalisé en fonction des commentaires inclus dans le modèle de la fonction par défaut.
      Remarque :

      La fonction de processus comporte trois paramètres : rule, sourceValueet sourcePayload
    7. Sélectionnez Enregistrer.

      Pour plus d’informations sur l’implémentation des règles de recherche, reportez-vous à la section .

      Figure 1. Exemple de règle de recherche de CI à l’aide d’un générateur de conditions pour la version 12.0
      Règle de recherche de CI à l’aide d’un créateur de conditions pour la version 12.0.
      Figure 2. Exemple d’une règle de recherche de CI à l’aide d’un script antérieur à la version 12.0
      Règle de recherche de CI à l’aide d’un script

    Ignorer les classes CI

    Pour ignorer certaines classes d’éléments de configuration (CI), par exemple l’équilibreur de charge [cmdb_ci_lb], lors de l’exécution des règles de recherche de CI, définissez la propriété système ignoreCIClass [sn_sec_cmn.ignoreCIClass].

    Avant de commencer

    Rôle requis : admin
    Remarque :

    La propriété système ignoreCIClass est disponible à partir de la Réponse aux vulnérabilités version 9.0. Toutefois, la fonctionnalité de propriété n’est pas disponible lors de la mise à niveau à partir d’une version antérieure.

    Si vous avez effectué une mise à niveau à partir d’une Opérations de sécurité application, antérieure à la version 9.0, consultez KB0788209 pour savoir comment activer cette fonctionnalité.

    Procédure

    1. Entrez sys_properties.list dans la barre de navigation de gauche.
    2. Cliquez sur Entrée.
    3. Dans le menu Rechercher , sous Nom , saisissez sn_sec_cmn.ignoreCIClass.
    4. Dans la zone de texte Valeur , entrez les classes CI à exclure dans une liste séparée par des virgules.
      Exemple de propriété système de la classe ignoreCI.
    5. Cliquez sur Mettre à jour.
      Cette liste est utilisée par les règles de recherche de CI lors de l’importation suivante. Les éléments vulnérables créés lors de l’importation ne sont pas associés à un CI d’un type quelconque répertorié dans le champ Valeur de la propriété système sn_sec_cmn.ignoreCIClass .

    Réappliquer des règles de recherche sur les éléments découverts sélectionnés

    Réappliquez les règles de recherche sur les éléments découverts sélectionnés à partir des actions de sélection de la vue de liste des éléments détectés. Si l’élément de configuration (CI) change après la réapplication des règles, les éléments détectés sont mis à jour avec le nouveau CI et les détections impactées. Les éléments vulnérables sont également mis à jour.

    Avant de commencer

    Rôles requis : admin

    Pourquoi et quand exécuter cette tâche

    Pour plus d'informations, consultez .

    Pour plus d’informations sur les concepts de correspondance de CI et de recherche d’élément CMDB détecté, identification basée sur des règles, consultez l’article Correspondance de CI dans Réponse aux vulnérabilités [KB0998706] dans la base de connaissances HI.

    Procédure

    1. Accédez à Tous > Opérations de sécurité > CMDB > Éléments détectés.
    2. Sélectionnez les éléments détectés requis, puis sélectionnez Action sur les lignes sélectionnées.
      Réappliquez des règles de recherche de CI sur les éléments détectés.
    3. Dans la liste, sélectionnez Réappliquer les règles de recherche de CI.
      Remarque :
      Vous pouvez ignorer la réapplication des règles de recherche sur les éléments détectés avec le sous-état « CI désactivé » en activant la propriété sn_sec_cmn.skipItemsWithCIDecommissionedsystème .

      Les règles sont réappliquées sur ces éléments détectés.

    4. Sélectionnez Afficher l’état dans le message.

      L’état s’affiche sur le formulaire de tâche en arrière-plan.

      Remarque :
      Dans le champ Notes , les éléments détectés n’ont pas pu être traités car un attribut d’exception avec une valeur non nulle indique qu’une erreur ou une exception s’est produite lors de la réapplication d’une règle de recherche. Consultez les journaux système pour plus de détails.
    5. La réapplication s’applique uniquement aux éléments analysés au cours des 90 derniers jours en fonction de la colonne last_scan_date, last_comp_scan_date, non_infra_last_scan_date non_infra_last_comp_scan_date .

      Ajout d’une propriété système ci_lifecycle_status_source (périmètre = sn_sec_cmn) pour configurer les colonnes d’état du cycle de vie des CI (par exemple, État d’installation, État opérationnel). Vous pouvez configurer des colonnes supplémentaires pour la mise hors service de CI.

      Des colonnes sont ajoutées à la vue de liste des tâches en arrière-plan :
      • Temps écoulé (ms) : temps nécessaire au traitement de la tâche en arrière-plan.
      • Éléments traités : nombre d’éléments traités jusqu’à présent.
      • Nombre total d’éléments à traiter : nombre total d’éléments restant à traiter.
      • Durée jusqu’à l’achèvement (ms) : durée restante jusqu’au traitement de la tâche en arrière-plan. Ces colonnes fournissent une visibilité sur la progression des tâches. Ces colonnes sont disponibles pour chaque vue de formulaire afin que vous puissiez les ajouter en fonction de vos besoins.