Reclassificar hardware não classificado

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Reclassifique o hardware não classificado atualizando as regras de pesquisa de IC.

    Antes de Iniciar

    Função necessária: sn_sec_cmn.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A tabela Mapa de importação de host [sn_sec_cmn_src_cmdb_map] exibe as variáveis de entrada da carga útil e suas atribuições correspondentes na tabela Itens descobertos. Ocasionalmente, discrepâncias nas convenções de nomenclatura entre o scanner e o Discovery podem fazer com que o hardware seja deixado sem classificação. Ao criar um novo IC de hardware não classificado, certifique-se de que o nome na carga útil contenha somente o nome do host. Posteriormente, quando o Discovery identificar o ativo, ele poderá ser reclassificado na classe de IC apropriada. Se necessário, um script pode ser gravado para gerar um valor derivado que se alinhe ao nome dos ICs no Discovery e no Configuration Management Database (CMDB).

    Se o mecanismo de Identificação e Reconciliação (IRE) estiver ativado, a opção de reclassificação de Itens descobertos não será compatível.

    Procedimento

    1. Navegar até Todos > Vulnerability Response > Mapas de importação de host.
    2. Selecione uma origem.
    3. Na lista Campo de destino, selecione Nome.
      A caixa de seleção Usar script se torna visível.
      Nota:
      • O script estará disponível somente se Nome for selecionado na lista Campo de destino.
      • Para adicionar um script para outras opções na lista do campo de destino, você deve desabilitar a política de IU:
        • Desabilitando o "Definir script de uso falso".
        • Desabilitando "Mostrar ou Ocultar Usar Script".
        • Removendo a condição "o campo de destino é o nome" na política "Mostrar ou ocultar script".
      • A tabela Mapas de importação de host é atualizada com duas novas colunas: Script e Usar script.
    4. Marque a caixa de seleção Usar script.
      O campo Script exibe o script padrão, mas você tem a opção de criar um personalizado. Nesse campo, você pode especificar os valores de origem e derivados para alinhar com a convenção de nomenclatura do banco de dados. O valor gerado pelo script é armazenado em sourcePayload['DERIVED'][rule.source_field]. Certifique-se de que as regras de pesquisa de IC sejam ajustadas para utilizar a carga útil de origem, os valores de atributo derivados e de destino ao fazer o check-in das tabelas correspondentes.
    5. Para aplicar o script a registros duplicados mais antigos, faça o seguinte:
      1. Navegar até Todos > Vulnerability Response Itens descobertos.
      2. Selecione os registros duplicados.
      3. Na lista Ação nas linhas selecionadas, selecione Reaplicar regras de pesquisa de IC.
        Ele mostra uma correspondência com um ativo existente.
    6. Para aplicar o script para Tenable.io, faça o seguinte:
      1. Navegar até Vulnerability Response Mapas de importação de host.
      2. Selecione o script para a linha com o nome NetBIOS, HOSTNAMES e FQDNS como o campo Origem.
      3. Atualize o script para cada elemento.
      Nota:
      Para Tenable.io, o scanner retorna uma matriz para NetBIOS, HOSTNAMES e nome FQDNS, para o qual o script não funciona conforme o esperado.

      Como o Mapa de importação de host para Tenable.io contém netbios_name no campo Origem, você deve gravar um script. Durante a pesquisa, outro campo de origem NETBIOS é usado, que tem uma matriz de valores. Portanto, uma nova linha é adicionada à tabela e a mesma lógica deve ser gravada em um loop no script. Da mesma forma, para FQDNS e HOSTNAMES.

    7. Para aplicar o script para Rapid7, faça o seguinte:
      1. Navegar até Todos > Vulnerability Response Mapas de importação de host.
      2. Para Rapid7 linhas com FQDN e HostName, atualize o Método de pesquisa para Script.
      Nota:
      Para Rapid7, o método Pesquisa de IC é definido como Correspondência de campo para FQDN e Nome do host, o que ajuda a impedir que ele use o script.