Klassifizieren Sie nicht klassifizierte Hardware neu

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Klassifizieren Sie nicht klassifizierte Hardware neu, indem Sie die CI-Suchregeln aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_cmn.admin

    Warum und wann dieser Vorgang ausgeführt wird

    In der Tabelle „Host-Importzuordnung“ [sn_sec_cmn_src_cmdb_map] werden die eingehenden Variablen der Nutzlast und die entsprechenden Zuweisungen in der Tabelle „Erkannte Elemente“ angezeigt. Gelegentlich können Diskrepanzen in den Namenskonventionen zwischen Scanner und Discovery dazu führen, dass die Hardware nicht klassifiziert wird. Stellen Sie beim Erstellen eines neuen nicht klassifizierten Hardware-CI sicher, dass der Name in der Nutzlast nur den Hostnamen enthält. Später, wenn Discovery das Asset identifiziert hat, kann es in die entsprechende CI-Klasse neu klassifiziert werden. Bei Bedarf kann ein Skript geschrieben werden, um einen abgeleiteten Wert zu generieren, der mit dem CI-Namen in Discovery und Configuration Management Database (CMDB) übereinstimmt.

    Wenn die Engine „Identifizierung und Abgleich“ (Identification and Reconciliation Engine, IRE) aktiviert ist, wird die Option zum erneuten Klassifizieren von erkannten Elementen nicht unterstützt.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Hostimportzuordnungenan.
    2. Wählen Sie eine Quelle aus.
    3. Wählen Sie in der Liste Zielfeld die Option Nameaus.
      Die Checkbox Use script (Skript verwenden) wird sichtbar.
      Hinweis:
      • Das Skript ist nur verfügbar, wenn Name in der Liste Zielfeld ausgewählt wird.
      • Um ein Skript für andere Optionen in der Liste des Zielfelds hinzuzufügen, müssen Sie die UI-Richtlinie wie folgt deaktivieren:
        • „Festlegen von „Skript verwenden“ auf „falsch““ wird deaktiviert.
        • „Skriptverwendung anzeigen oder ausblenden“ wird deaktiviert.
        • Die Bedingung „Zielfeld ist Name“ in „Skriptrichtlinie anzeigen oder ausblenden“ wird entfernt.
      • Die Tabelle „Host-Importzuordnungen“ wird mit zwei neuen Spalten aktualisiert: Skript und Skript verwenden.
    4. Aktivieren Sie die Checkbox Skript verwenden.
      Im Feld Skript wird das Standardskript angezeigt, Sie können jedoch ein anwenderdefiniertes Skript erstellen. In diesem Feld können Sie die Quell- und abgeleiteten Werte angeben, um sie an die Namenskonvention der Datenbank anzupassen. Der vom Skript generierte Wert wird in sourcePayload['DERTIVED'][rule.source_field] gespeichert. Stellen Sie sicher, dass die CI-Suchregeln so angepasst sind, dass beim Einchecken in die entsprechenden Tabellen die Quellnutzlast sowie abgeleitete und zielgerichtete Attributwerte verwendet werden.
    5. Um das Skript auf ältere doppelte Datensätze anzuwenden, gehen Sie wie folgt vor:
      1. Navigieren zu Alle > Vulnerability Response > Erkannte Elementean.
      2. Wählen Sie die doppelten Datensätze aus.
      3. Wählen Sie in der Liste Aktion für ausgewählte Zeilen die Option CI-Suchregeln erneut anwenden aus.
        Zeigt eine Übereinstimmung mit einem vorhandenen Asset an.
    6. Um das Skript für Tenable.ioanzuwenden, gehen Sie wie folgt vor:
      1. Navigieren zu Vulnerability Response Host-Importzuordnungen.
      2. Wählen Sie das Skript für die Zeile mit NetBIOS, HOSTNAMES und FQDNS-Namen als Quellfeld aus.
      3. Aktualisieren Sie das Skript für jedes Element.
      Hinweis:
      Für Tenable.iogibt der Scanner ein Array für NetBIOS, HOSTNAMES und FQDNS-Namen zurück, für das das Skript nicht wie erwartet funktioniert.

      Da die Host-Importzuordnung für Tenable.io im Feld „ Quelle “ den Wert „ netBIOS_name “ enthält, müssen Sie ein Skript schreiben. Während der Suche wird ein anderes Quellfeld ( NETBIOS ) verwendet, das ein Array von Werten enthält. Daher wird in der Tabelle eine neue Zeile hinzugefügt, und die gleiche Logik muss in einer Schleife im Skript geschrieben werden. Entsprechendes gilt für FQDNS und HOSTNAMES.

    7. Um das Skript für Rapid7anzuwenden, gehen Sie wie folgt vor:
      1. Navigieren zu Alle > Vulnerability Response Host-Importzuordnungen.
      2. Aktualisieren Sie für Rapid7 Zeilen mit FQDN und HostName die Suchmethode auf Skript.
      Hinweis:
      Für Rapid7ist die CI-Suchmethode auf Feldübereinstimmung für FQDN und Hostname festgelegt, wodurch verhindert wird, dass das Skript verwendet wird.