Nicht klassifizierte Hardware neu klassifizieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Klassifizieren Sie nicht klassifizierte Hardware neu, indem Sie die CI-Suchregeln aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_cmn.admin

    Warum und wann dieser Vorgang ausgeführt wird

    In der Tabelle „Hostimportzuordnung“ [sn_sec_cmn_src_cmdb_map] werden die eingehenden Variablen der Nutzlast und ihre entsprechenden Zuweisungen in der Tabelle „Erkannte Elemente“ angezeigt. Gelegentlich können Diskrepanzen in den Namenskonventionen zwischen Scanner und Discovery dazu führen, dass die Hardware nicht klassifiziert wird. Stellen Sie beim Erstellen eines neuen nicht klassifizierten Hardware-CI sicher, dass der Name in der Nutzlast nur den Hostnamen enthält. Später, wenn Discovery das Asset identifiziert, kann es in die entsprechende CI-Klasse neu klassifiziert werden. Bei Bedarf kann ein Skript geschrieben werden, um einen abgeleiteten Wert zu generieren, der mit dem CI-Namen in Discovery und der Configuration Management Database (CMDB) übereinstimmt.

    Wenn die Identification and Reconciliation Engine (IRE) aktiviert ist, wird die Option zum erneuten Klassifizieren von erkannten Elementen nicht unterstützt.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Hostimportzuordnungen.
    2. Wählen Sie eine Quelle aus.
    3. Wählen Sie in der Liste Zielfeld die Option Nameaus.
      Die Checkbox Skript verwenden wird sichtbar.
      Hinweis:
      • Das Skript ist nur verfügbar, wenn Name aus der Liste Zielfeld ausgewählt wird.
      • Um ein Skript für andere Optionen in der Zielfeldliste hinzuzufügen, müssen Sie die UI-Richtlinie wie folgt deaktivieren:
        • Deaktivierung von „Set Use script false“ (Verwendungsskript auf „falsch“ festlegen).
        • Deaktivierung von „Verwendungsskript anzeigen oder ausblenden“.
        • Entfernen der Bedingung „Zielfeld ist Name“ in „Skriptrichtlinie anzeigen oder ausblenden“.
      • Die Tabelle „Hostimportzuordnungen“ wird mit zwei neuen Spalten aktualisiert: Skript und Skript verwenden.
    4. Aktivieren Sie das Kontrollkästchen Skript verwenden.
      Im Feld Skript wird das Standardskript angezeigt, Sie haben jedoch die Möglichkeit, ein benutzerdefiniertes Skript zu erstellen. In diesem Feld können Sie die Quell- und abgeleiteten Werte angeben, um sie an der Benennungskonvention der Datenbank auszurichten. Der vom Skript generierte Wert wird in sourcePayload['Derived'][rule.source_field] gespeichert. Stellen Sie sicher, dass die CI-Suchregeln so angepasst sind, dass beim Einchecken der entsprechenden Tabellen Quellnutzlast-, abgeleitete und Zielattributwerte verwendet werden.
    5. Gehen Sie wie folgt vor, um das Skript auf ältere doppelte Datensätze anzuwenden:
      1. Navigieren zu Alle > Vulnerability Response Erkannte Elemente
      2. Wählen Sie die doppelten Datensätze aus.
      3. Wählen Sie in der Liste Aktion für ausgewählte Zeilen die Option CI-Suchregeln erneut anwenden aus.
        Zeigt eine Übereinstimmung mit einem vorhandenen Asset an.
    6. Gehen Sie wie folgt vor, um das Skript für Tenable.ioanzuwenden:
      1. Navigieren zu Vulnerability Response Hostimportzuordnungen.
      2. Wählen Sie das Skript für die Zeile mit NetBIOS-, HOSTNAMES- und FQDNS-Namen als Quellfeld aus.
      3. Aktualisieren Sie das Skript für jedes Element.
      Hinweis:
      Für Tenable.iogibt der Scanner ein Array für NetBIOS, HOSTNAMES und FQDNS-Namen zurück, für das das Skript nicht wie erwartet funktioniert.

      Da die Host-Importzuordnung für Tenable.ionetBIOS_name im Feld Quelle enthält, müssen Sie ein Skript schreiben. Während der Suche wird ein anderes Quellfeld, NETBIOS, verwendet, das ein Array von Werten enthält. Daher wird der Tabelle eine neue Zeile hinzugefügt, und dieselbe Logik muss in eine Schleife im Skript geschrieben werden. Ebenso für FQDNS und HOSTNAMES.

    7. Gehen Sie wie folgt vor, um das Skript für Rapid7anzuwenden:
      1. Navigieren zu Alle > Vulnerability Response Hostimportzuordnungen.
      2. Aktualisieren Sie für Rapid7 Zeilen mit FQDN und Hostname die Suchmethode auf Skript.
      Hinweis:
      Für Rapid7wird die CI-Suchmethode auf Feld für FQDN und Hostname festgelegt, wodurch verhindert wird, dass das Skript verwendet wird.