Reclassificar hardware não classificado

  • Versão de lançamento: Yokohama
  • Atualizado 5 de fev. de 2025
  • 2 min. de leitura

    • Reclassifique o hardware não classificado atualizando as regras de pesquisa de IC.

    Antes de Iniciar

    Função necessária: sn_sec_cmn.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A tabela Mapa de importação de host [sn_sec_cmn_src_cmdb_map] exibe as variáveis de entrada da carga útil e suas atribuições correspondentes na tabela Itens descobertos. Ocasionalmente, discrepâncias nas convenções de nomenclatura entre o scanner e a Descoberta podem fazer com que o hardware seja deixado sem classificação. Ao criar um novo IC de hardware não classificado, certifique-se de que o nome na carga útil contenha somente o nome do host. Posteriormente, quando a Descoberta identificar o ativo, ele poderá ser reclassificado na classe de IC apropriada. Se necessário, um script pode ser gravado para gerar um valor derivado que se alinhe com o nome dos ICs na Descoberta e no Configuration Management Database (CMDB).

    Se o Mecanismo de identificação e reconciliação (IRE) estiver ativado, a opção de reclassificação de Itens descobertos não será compatível.

    Procedimento

    1. Navegue até a tabela Mapas de importação de host [sn_sec_cmn_src_cmdb_map].
    2. Selecione uma origem.
    3. Na lista Campo de destino, selecione Nome.
      A caixa de seleção Usar script se torna visível.
      Nota:
      • O script estará disponível somente se Nome for selecionado na lista Campo de destino.
      • Para adicionar um script para outras opções na lista do campo de destino, você deve desabilitar a política de IU:
        • Desabilitando o "Definir script de uso falso".
        • Desativação de "Mostrar ou ocultar script de uso".
        • Removendo a condição "campo de destino é nome" na "política Mostrar ou ocultar script".
      • A tabela Mapas de importação de host foi atualizada com duas novas colunas: Script e Usar script.
    4. Marque a caixa de seleção Usar script.
      O campo Script exibe o script padrão, mas você tem a opção de criar um personalizado. Neste campo, você pode especificar os valores de origem e derivados para alinhar com a convenção de nomenclatura do banco de dados. O valor gerado pelo script é armazenado em sourcePayload['DERIVED'][rule.source_field]. Certifique-se de que as regras de pesquisa de IC estejam ajustadas para utilizar carga de origem, valores de atributo derivados e de destino ao fazer check-in das tabelas correspondentes.
    5. Para aplicar o script a registros duplicados mais antigos, faça o seguinte:
      1. Navegar até Tudo > Resposta a vulnerabilidades > Itens Descobertos.
      2. Selecione os registros duplicados.
      3. Na lista Ação em linhas selecionadas, selecione Reaplicar regras de pesquisa de IC.
        Mostra uma correspondência com um ativo existente.
    6. Para aplicar o script para Tenable.io, faça o seguinte:
      1. Navegar até Resposta a vulnerabilidades Mapas de importação de host.
      2. Selecione o script para a linha com os nomes NetBIOS, HOSTNAMES e FQDNS como o campo Origem.
      3. Atualize o script para cada elemento.
      Nota:
      Para Tenable.io, o scanner retorna uma matriz para nomes NetBIOS, HOSTNAMES e FQDNS, para os quais o script não funciona conforme o esperado.

      Como o Mapa de importação de host para Tenable.io contém netbios_name no campo Origem, você deve gravar um script. Durante a pesquisa, outro campo de origem NETBIOS é usado, que tem uma matriz de valores. Portanto, uma nova linha é adicionada à tabela e a mesma lógica deve ser gravada em um loop no script. Da mesma forma, para FQDNS e HOSTNAMES.

    7. Para aplicar o script para Rapid7, faça o seguinte:
      1. Navegar até Tudo > Resposta a vulnerabilidades Mapas de importação de host.
      2. Para linhas Rapid7 com FQDN e HostName, atualize o Método de pesquisa para Script.
      Nota:
      Para Rapid7, o método Pesquisa de IC é definido como Correspondência de campo para FQDN e Nome do host, o que ajuda a impedir que ele use o script.