Nicht klassifizierte Hardware

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Wenn ein Asset in den Configuration Management Database (CMDB) nach CI-Suchregeln keine Übereinstimmung findet, wird das Asset als nicht klassifizierte Hardware bezeichnet.

    Wenn Daten aus ServiceNow -Integrationen importiert werden, verwendet Vulnerability Response automatisch Hostdaten, um nach Übereinstimmungen in CMDBzu suchen. Die CI-Suchregeln werden verwendet, um Configuration Items (CIs) zu identifizieren und dem Datensatz des angreifbaren Elements hinzuzufügen, um die Nachbesserung zu unterstützen. Wenn die Assets nicht in CMDBzu finden sind, führt die Engine „Identifizierung und Abgleich“ (Identification and Reconciliation Engine, IRE) ihre eigenen Identifizierungsregeln aus, die für die Hardwareklasse und alle untergeordneten Elemente definiert sind, und erstellt ein CI unter einer nicht klassifizierten Hardwareklasse. Wenn Discovery dieses Asset findet, wird die vorhandene nicht klassifizierte Hardware nicht neu klassifiziert, sondern es wird ein CI erstellt. Dies liegt daran, dass die Identifizierungsregel auf dem Namen des Hardware-CI basiert.

    Wenn die Engine „Identifizierung und Abgleich“ (Identification and Reconciliation Engine, IRE) aktiviert ist, wird die Option zum erneuten Klassifizieren von erkannten Elementen nicht unterstützt.

    Die folgenden Auszüge zeigen die IRE-Nutzlast zum Erstellen von CIs in nicht klassifizierter Hardware über Vulnerability Response bzw. Discovery. 
    "className": "cmdb_ci_unclassed_hardware",

"values": {
        "name": "asset01.company.com",//from NetBios,
        "mac_address": "1a:5e:2c:0e:42:f3",
        "fqdn": "asset01.company.com",
        "ip_address": "133.10.3.123"
    }

"settings": {
        "updateWithoutSwitch": true
    }

    "className": "cmdb_ci_cmdb_ci_win_server"

"values": {
        "name": "asset01",
        "mac_address": "1a:5e:2c:0e:42:f3",
        "fqdn": "asset01.company.com",
        "ip_address": "133.10.3.123",
        "os_domain": "company"
    }

"settings": {
        "updateWithoutSwitch": false
    }

    In diesem Fall wird das vorhandene nicht klassifizierte Hardware-CI nicht in Windows-Server neu klassifiziert, sondern es wird ein neues CI unter Windows-Server erstellt. Der Grund dafür ist, dass die Identifizierungsregel auf dem Namen des Hardware-CI beruht. Wenn Sie die Nutzlasten beachten, ist der Name in der Nutzlast von Vulnerability Response mit FQDN/NETBIOS identisch, es ist jedoch nur der Hostname für die Nutzlast von Discovery.