Reclassifier le matériel non classé

  • Rversion finale: Yokohama
  • Mis à jour 5 févr. 2025
  • 3 minutes de lecture

    • Reclassifiez le matériel non classé en mettant à jour les règles de recherche de CI.

    Avant de commencer

    Rôle requis : sn_sec_cmn.admin

    Pourquoi et quand exécuter cette tâche

    La table Carte d’importation d’hôte [sn_sec_cmn_src_cmdb_map] affiche les variables entrantes de la charge utile et leurs affectations correspondantes dans la table Éléments détectés. Parfois, des différences dans les conventions de dénomination entre le scanner et Discovery peuvent conduire à ce que le matériel ne soit pas classifié. Lors de la création d’un nouveau CI matériel non classé, assurez-vous que le nom dans la charge utile contient uniquement le nom d’hôte. Plus tard, lorsque la découverte identifie l’actif, il peut être reclassé dans la classe de CI appropriée. Si nécessaire, un script peut être écrit pour générer une valeur dérivée qui s’aligne sur le nom des CI à la fois dans Découverte et dans la Base de données de gestion des configurations (CMDB).

    Si le moteur Identification et réconciliation (IRE) est activé, l’option de reclassification des éléments détectés n’est pas prise en charge.

    Procédure

    1. Accédez à la table Cartes d’importation d’hôte [sn_sec_cmn_src_cmdb_map].
    2. Sélectionnez une source.
    3. Dans la liste des champs Cible, sélectionnez Nom.
      La case à cocher Utiliser le script devient visible.
      Remarque :
      • Le script n’est disponible que si le nom est sélectionné dans la liste des champs cibles.
      • Pour ajouter un script pour d’autres options dans la liste du champ Cible, vous devez désactiver la politique d’interface utilisateur en :
        • Désactiver « Définir l’utilisation du script comme faux ».
        • Désactiver « Afficher ou masquer le script d’utilisation ».
        • Suppression de la condition « le champ cible est le nom » dans « Afficher ou masquer la politique de script ».
      • La table Cartes d’importation d’hôte est mise à jour avec deux nouvelles colonnes : Script et Utiliser un script.
    4. Cochez la case Utiliser le script .
      Le champ Script affiche le script par défaut, mais vous pouvez en créer un personnalisé. Dans ce champ, vous pouvez spécifier la source et les valeurs dérivées pour qu’elles s’alignent sur la convention de dénomination de la base de données. La valeur générée par le script est stockée dans sourcePayload['DERIVED'][rule.source_field]. Assurez-vous que les règles de recherche de CI sont ajustées pour utiliser les valeurs de charge utile source, dérivées et d’attributs ciblés lors de l’archivage dans les tables correspondantes.
    5. Pour appliquer le script à des enregistrements en double plus anciens, procédez comme suit :
      1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments détectés.
      2. Sélectionnez les enregistrements en double.
      3. Dans la liste Action sur les lignes sélectionnées, sélectionnez Réappliquer les règles de recherche de CI.
        Cela indique une correspondance avec un actif existant.
    6. Pour appliquer le script pour Tenable.io, procédez comme suit :
      1. Accédez à la Réponse aux vulnérabilités Cartes d’importation d’hôtes.
      2. Sélectionnez le script de la ligne avec le nom NetBIOS, HOSTNAMES et FQDNS comme champ Source .
      3. Mettez à jour le script pour chaque élément.
      Remarque :
      Pour Tenable.io, le scanner renvoie un tableau pour NetBIOS, HOSTNAMES et FQDNS, pour lesquels le script ne fonctionne pas comme prévu.

      Étant donné que la carte d’importation d’hôte contient Tenable.ionetbios_name dans le champ Source , vous devez écrire un script. Lors de la recherche, un autre champ source, NETBIOS , est utilisé, qui contient un tableau de valeurs. Ainsi, une nouvelle ligne est ajoutée dans la table, et la même logique doit être écrite en boucle dans le script. De même, pour les FQDN et les HOSTNAMES.

    7. Pour appliquer le script pour Rapid7, procédez comme suit :
      1. Accédez à la Tout > Réponse aux vulnérabilités Cartes d’importation d’hôtes.
      2. Pour Rapid7 les lignes avec FQDN et HostName, mettez à jour la méthode de recherche sur Script.
      Remarque :
      Pour Rapid7, la méthode de recherche de CI est définie sur Correspondance de champ pour le nom de domaine complet et le nom d’hôte, ce qui permet d’empêcher l’utilisation du script.