Reclassifier le matériel non classé

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Reclassifiez le matériel non classé en mettant à jour les règles de recherche de CI.

    Avant de commencer

    Rôle requis : sn_sec_cmn.admin

    Pourquoi et quand exécuter cette tâche

    La table Carte d’importation d’hôte [sn_sec_cmn_src_cmdb_map] affiche les variables entrantes de la charge utile et leurs affectations correspondantes dans la table Éléments détectés. Parfois, des différences dans les conventions de dénomination entre le scanner et Discovery peuvent entraîner le non classifié du matériel. Lors de la création d’un CI matériel non classé, assurez-vous que le nom dans la charge utile contient uniquement le nom d’hôte. Plus tard, lorsque Discovery identifie l’actif, il peut être reclassé dans la classe CI appropriée. Si nécessaire, un script peut être écrit pour générer une valeur dérivée qui s’aligne sur le nom des CI dans Discovery et dans Configuration Management Database (CMDB).

    Si le moteur Identification et réconciliation (IRE) est activé, l’option de reclassification des éléments détectés n’est pas prise en charge.

    Procédure

    1. Accédez à la Tous > Réponse aux vulnérabilités > Mappages d'importations d'hôtes.
    2. Sélectionnez une source.
    3. Dans la liste Champ cible, sélectionnez Nom.
      La case à cocher Utiliser le script devient visible.
      Remarque :
      • Le script n’est disponible que si Nom est sélectionné dans la liste Champ cible.
      • Pour ajouter un script pour d’autres options dans la liste Champ cible, vous devez désactiver la politique d’interface utilisateur en :
        • Désactivation de l’option « Définir l’utilisation du script faux ».
        • Désactivation de l’option « Afficher ou masquer le script d’utilisation ».
        • Suppression de la condition « le champ cible est le nom » dans « Afficher ou masquer la politique de script ».
      • La table Cartes d’importation d’hôte est mise à jour avec deux nouvelles colonnes : Script et Utiliser le script.
    4. Cochez la case Utiliser un script .
      Le champ Script affiche le script par défaut, mais vous pouvez en créer un personnalisé. Dans ce champ, vous pouvez spécifier les valeurs source et dérivées à aligner avec la convention de dénomination de la base de données. La valeur générée par le script est stockée dans sourcePayload['DERIVED'][rule.source_field]. Assurez-vous que les règles de recherche de CI sont ajustées pour utiliser la charge utile source, les valeurs dérivées et les valeurs d’attributs ciblés lors de l’archivage dans les tables correspondantes.
    5. Pour appliquer le script à des enregistrements en double plus anciens, procédez comme suit :
      1. Accédez à la Tous > Réponse aux vulnérabilités Éléments détectés.
      2. Sélectionnez les enregistrements en double.
      3. Dans la liste Action sur les lignes sélectionnées, sélectionnez Réappliquer les règles de recherche de CI.
        Il affiche une correspondance avec un actif existant.
    6. Pour appliquer le script de Tenable.io, procédez comme suit :
      1. Accédez à la Réponse aux vulnérabilités Cartes d’importations d’hôtes.
      2. Sélectionnez le script pour la ligne dont le champ Source est NetBIOS, HOSTNAMES et Nom FQDNS.
      3. Mettez à jour le script pour chaque élément.
      Remarque :
      Pour Tenable.io, le scanner renvoie un tableau pour NetBIOS, HOSTNAMES et FQDNS name, pour lesquels le script ne fonctionne pas comme prévu.

      Étant donné que le mappage d’importation d’hôte contient Tenable.ionetbios_name dans le champ Source , vous devez écrire un script. Lors de la recherche, un autre champ source NETBIOS est utilisé, qui possède un tableau de valeurs. Ainsi, une nouvelle ligne est ajoutée dans la table, et la même logique doit être écrite dans une boucle dans le script. Il en va de même pour les noms de domaine complets et les noms d’hôtes.

    7. Pour appliquer le script de Rapid7, procédez comme suit :
      1. Accédez à la Tous > Réponse aux vulnérabilités Cartes d’importations d’hôtes.
      2. Pour Rapid7 les lignes avec FQDN et HostName, mettez à jour la méthode de recherche dans Script.
      Remarque :
      Pour Rapid7, la méthode de recherche de CI est définie sur Correspondance de champ pour le nom de domaine complet et le nom d’hôte, ce qui permet d’empêcher l’utilisation du script.