분류되지 않은 하드웨어 재분류

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • CI 조회 규칙을 업데이트하여 분류되지 않은 하드웨어를 재분류합니다.

    시작하기 전에

    필요한 역할: sn_sec_cmn.admin

    이 태스크 정보

    호스트 임포트 맵 [sn_sec_cmn_src_cmdb_map] 테이블에는 페이로드의 수신 변수와 검색된 항목 테이블에 해당하는 할당이 표시됩니다. 경우에 따라 스캐너와 Discovery 간의 명명 규칙이 일치하지 않아 하드웨어가 분류되지 않은 상태로 남을 수 있습니다. 새 분류되지 않은 하드웨어 CI를 생성할 때 페이로드의 이름에 호스트 이름만 포함되어 있는지 확인하십시오. 나중에 Discovery에서 자산을 식별하면 적절한 CI 클래스로 다시 분류할 수 있습니다. 필요한 경우 스크립트를 작성하여 Discovery 및 CMDB(Configuration Management Database)의 CI 이름과 일치하는 파생 값을 생성할 수 있습니다.

    IRE(식별 및 조정 엔진)가 활성화된 경우 검색된 항목의 재분류 옵션은 지원되지 않습니다.

    프로시저

    1. 다음으로 이동 모두 > Vulnerability Response > 호스트 임포트 맵레이블이 표시됩니다.
    2. 소스를 선택합니다.
    3. 대상 필드 목록에서 이름을 선택합니다.
      스크립트 사용 확인란이 표시됩니다.
      주:
      • 이 스크립트는 대상 필드 목록에서 이름을 선택한 경우에만 사용할 수 있습니다.
      • 대상 필드 목록의 다른 옵션에 대한 스크립트를 추가하려면 다음과 같이 UI 정책을 비활성화해야 합니다.
        • '스크립트 사용 설정 false'를 비활성화합니다.
        • '사용 스크립트 표시 또는 숨기기' 비활성화.
        • "스크립트 표시 또는 숨기기 정책"에서 "대상 필드는 이름" 조건을 제거합니다.
      • 호스트 임포트 맵 테이블이 스크립트와 스크립트 사용이라는 두 개의 새 열로 업데이트됩니다.
    4. 스크립트 사용 확인란을 선택합니다.
      스크립트 필드에는 기본 스크립트가 표시되지만 사용자 지정 스크립트를 생성할 수 있는 옵션이 있습니다. 이 필드에서는 데이터베이스의 명명 규칙에 맞게 원본 및 파생 값을 지정할 수 있습니다. 스크립트에 의해 생성된 값은 sourcePayload['DERIVED'][rule.source_field]에 저장됩니다. 해당 테이블을 체크인할 때 소스 페이로드, 파생 및 대상 속성 값을 활용하도록 CI 조회 규칙이 조정되었는지 확인합니다.
    5. 오래된 중복 기록에 스크립트를 적용하려면 다음을 수행합니다.
      1. 다음으로 이동 모두 > Vulnerability Response 검색된 항목.
      2. 중복 기록을 선택합니다.
      3. 선택한 행에 대한 작업 목록에서 CI 조회 규칙 다시 적용을 선택합니다.
        기존 자산과의 일치 항목을 보여줍니다.
    6. 에 대한 Tenable.io스크립트를 적용하려면 다음을 수행합니다.
      1. 다음으로 이동 Vulnerability Response 호스트 임포트 맵.
      2. NetBIOS, HOSTNAMES 및 FQDNS 이름이 소스 필드인 행의 스크립트를 선택합니다.
      3. 각 요소에 대한 스크립트를 업데이트합니다.
      주:
      의 경우 Tenable.io스캐너는 스크립트가 예상대로 작동하지 않는 NetBIOS, HOSTNAMES 및 FQDNS 이름에 대한 배열을 반환합니다.

      에 대한 Tenable.io 호스트 임포트 맵의 소스 필드에 netbios_name 포함되어 있기 때문에 스크립트를 작성해야 합니다. 조회하는 동안 값 배열이 있는 다른 원본 필드 NETBIOS 가 사용됩니다. 따라서 테이블에 새 행이 추가되고 스크립트의 루프에 동일한 논리를 작성해야 합니다. 마찬가지로 FQDNSHOSTNAMES의 경우입니다.

    7. 에 대한 Rapid7스크립트를 적용하려면 다음을 수행합니다.
      1. 다음으로 이동 모두 > Vulnerability Response 호스트 임포트 맵.
      2. FQDN 및 HostName이 있는 행의 경우 Rapid7 조회 방법을 스크립트로 업데이트합니다.
      주:
      의 경우 Rapid7CI 조회 방법이 FQDN 및 호스트 이름에 대한 필드 일치로 설정되어 있어 스크립트를 사용하지 않도록 하는 데 도움이 됩니다.