未分類のハードウェアの再分類

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • CI ルックアップルールを更新して、未分類のハードウェアを再分類します。

    始める前に

    必要なロール:sn_sec_cmn.admin

    このタスクについて

    ホストインポートマップ [sn_sec_cmn_src_cmdb_map] テーブルでは、ペイロードの受信変数とそれに対応する割り当てが [検出されたアイテム] テーブルに表示されます。スキャナーと Discovery の間で命名規則に不一致があると、ハードウェアが未分類のままになることがあります。新しい未分類のハードウェア CI を作成する際には、ペイロードの名前にホスト名のみが含まれていることを確認してください。後で Discovery が資産を識別すると、適切な CI クラスに再分類できます。必要に応じて、Discovery と Configuration Management Database (CMDB) の両方の CI 名と一致する派生値を生成するスクリプトを記述することができます。

    識別および調整エンジン (IRE) がアクティブ化されている場合、[検出されたアイテム] からの再分類オプションはサポートされません。

    手順

    1. 移動先 すべて > Vulnerability Response > ホストインポートマップ.
    2. ソースを選択します。
    3. ターゲットフィールドリストから、[名前] を選択します。
      [スクリプトを使用] チェックボックスが表示されます。
      注:
      • スクリプトは、 ターゲットフィールドリストから [名前] が選択されている場合にのみ使用できます。
      • ターゲットフィールドリストの他のオプションのスクリプトを追加するには、次の方法で UI ポリシーを無効にする必要があります。
        • [使用スクリプトを false に設定 (Set Use script false)] を無効にする。
        • [使用スクリプトを表示または非表示 (Show or Hide Use Script)] を無効にする。
        • [スクリプトポリシーを表示または非表示 (Show or Hide Script policy)] の条件 [ターゲットフィールドは名前 (target field is name)] を削除する。
      • [ホストインポートマップ] テーブルが、[スクリプト] と [スクリプトを使用] の 2 つの新しい列で更新されます。
    4. [スクリプトを使用] チェックボックスをオンにします。
      [ スクリプト ] フィールドにはデフォルトのスクリプトが表示されますが、カスタムスクリプトを作成することもできます。このフィールドでは、データベースの命名規則に合わせてソース値と派生値を指定できます。スクリプトによって生成された値は、sourcePayload['DERIVED'][rule.source_field] に格納されます。対応するテーブルをチェックインするときに、ソースペイロード、派生、およびターゲット属性の値を使用するように CI ルックアップルールが調整されていることを確認してください。
    5. 古い重複レコードにスクリプトを適用するには、次の操作を行います。
      1. 移動先 すべて > Vulnerability Response 検出されたアイテム
      2. 重複レコードを選択します。
      3. [選択した行のアクション] リストで、[ CI ルックアップルールを再適用] を選択します。
        既存の資産との一致が表示されます。
    6. Tenable.io のスクリプトを適用するには、次の操作を行います。
      1. 移動先 Vulnerability Response ホストインポートマップ
      2. [ソース] フィールドとして NetBIOS、ホスト名、および FQDNS 名を含む行のスクリプトを選択します。
      3. 各要素のスクリプトを更新します。
      注:
      の場合 Tenable.io、スキャナーは NetBIOS、ホスト名、および FQDNS 名のアレイを返しますが、スクリプトは期待どおりに機能しません。

      Tenable.io のホストインポートマップの [ソースフィールド] には netBIOS_name が含まれているため、スクリプトを記述する必要があります。ルックアップ中は、値のアレイを持つ別のソースフィールド [NETBIOS] が使用されます。したがって、新しい行がテーブルに追加され、同じロジックをスクリプトのループに記述する必要があります。[FQDNS][HOSTNAMES] に対しても同じようにします。

    7. Rapid7 のスクリプトを適用するには、次の操作を行います。
      1. 移動先 すべて > Vulnerability Response ホストインポートマップ
      2. Rapid7 の行に FQDN と HostName が指定されている 場合は、[ルックアップメソッド] を [スクリプト] に更新します。
      注:
      の場合 Rapid7、CI ルックアップメソッドは [FQDN とホスト名に一致するフィールド] に設定され、スクリプトが使用されないようにするのに役立ちます。