Reclassifier le matériel non classé

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Reclasser le matériel non classé en mettant à jour les règles de recherche de CI.

    Avant de commencer

    Rôle requis : sn_sec_cmn.admin

    Pourquoi et quand exécuter cette tâche

    Si le moteur Identification et rapprochement (IRE) est activé, l’option de reclassification des éléments détectés n’est pas prise en charge.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Mappages d'importations d'hôtes.
    2. Sélectionnez une source.
    3. Dans la liste Champ cible, sélectionnez Nom.
      La case à cocher Utiliser un script devient visible.
      Remarque :
      • Le script n’est disponible que si Nom est sélectionné dans la liste Champ cible.
      • Pour ajouter un script pour d’autres options dans la liste Champ Cible, vous devez désactiver la politique d’interface utilisateur en :
        • Désactivation de l’option « Définir l’utilisation d’un script faux ».
        • Désactivation de l’option « Afficher ou masquer le script d’utilisation ».
        • Suppression de la condition « le champ cible est nom » dans « Afficher ou masquer la politique de script »
      • La table Cartes d’importation d’hôte est mise à jour avec deux nouvelles colonnes : Script et Script d’utilisation.
    4. Cochez la case Utiliser un script .
    5. Pour appliquer le script à des enregistrements en double plus anciens, procédez comme suit :
      1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments détectés.
      2. Sélectionnez les enregistrements en double.
      3. Dans la liste Action sur les lignes sélectionnées, sélectionnez Réappliquer les règles de recherche de CI.
        Il affiche une correspondance avec un actif existant.
    6. Pour appliquer le script de Tenable.io, procédez comme suit :
      1. Accédez à la Réponse aux vulnérabilités Mappages d’importation d’hôtes.
      2. Sélectionnez le script pour la ligne avec NetBIOS, HOSTNAMES et le nom FQDNS comme champ Source .
      3. Mettre à jour le script pour chaque élément.
      Remarque :
      Pour Tenable.io, le scanner renvoie un tableau pour NetBIOS, HOSTNAMES et FQDNS name, pour lesquels le script ne fonctionne pas comme prévu.

      Étant donné que la carte d’importation d’hôte contient Tenable.ionetbios_name dans le champ Source , vous devez écrire un script. Lors de la recherche, un autre champ source, NETBIOS , est utilisé, qui contient un tableau de valeurs. Une nouvelle ligne est donc ajoutée dans la table, et la même logique doit être écrite en boucle dans le script. Il en va de même pour les noms de domaine complets et les noms d’hôte.

    7. Pour appliquer le script de Rapid7, procédez comme suit :
      1. Accédez à la Tout > Réponse aux vulnérabilités Mappages d’importation d’hôtes.
      2. Pour Rapid7 les lignes avec FQDN et HostName, mettez à jour la méthode de recherche sur Script.
      Remarque :
      Pour Rapid7, la méthode de recherche de CI est définie sur Correspondance de champ pour le nom de domaine complet et le nom d’hôte, ce qui permet de l’empêcher d’utiliser le script.