Reclassificar hardware não classificado

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Reclassifique o hardware não classificado atualizando as regras de pesquisa de IC.

    Antes de Iniciar

    Função necessária: sn_sec_cmn.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Se o Mecanismo de identificação e reconciliação (IRE) estiver ativado, a opção de reclassificação de Itens descobertos não será compatível.

    Procedimento

    1. Navegar até Todos > Resposta a vulnerabilidades > Mapas de importação de host.
    2. Selecione uma origem.
    3. Na lista Campo de destino, selecione Nome.
      A caixa de seleção Usar script se torna visível.
      Nota:
      • O script estará disponível somente se Nome for selecionado na lista Campo de destino.
      • Para adicionar um script para outras opções na lista do campo de destino, você deve desabilitar a política de IU:
        • Desabilitando o "Definir script de uso falso".
        • Desativação de "Mostrar ou ocultar script de uso".
        • Removendo a condição "campo de destino é nome" na "política Mostrar ou ocultar script".
      • A tabela Mapas de importação de host foi atualizada com duas novas colunas: Script e Usar script.
    4. Marque a caixa de seleção Usar script.
    5. Para aplicar o script a registros duplicados mais antigos, faça o seguinte:
      1. Navegar até Todos > Resposta a vulnerabilidades > Itens Descobertos.
      2. Selecione os registros duplicados.
      3. Na lista Ação em linhas selecionadas, selecione Reaplicar regras de pesquisa de IC.
        Mostra uma correspondência com um ativo existente.
    6. Para aplicar o script para Tenable.io, faça o seguinte:
      1. Navegar até Resposta a vulnerabilidades Mapas de importação de host.
      2. Selecione o script para a linha com os nomes NetBIOS, HOSTNAMES e FQDNS como o campo Origem.
      3. Atualize o script para cada elemento.
      Nota:
      Para Tenable.io, o scanner retorna uma matriz para nomes NetBIOS, HOSTNAMES e FQDNS, para os quais o script não funciona conforme o esperado.

      Como o Mapa de importação de host para Tenable.io contém netbios_name no campo Origem, você deve gravar um script. Durante a pesquisa, outro campo de origem NETBIOS é usado, que tem uma matriz de valores. Portanto, uma nova linha é adicionada à tabela e a mesma lógica deve ser gravada em um loop no script. Da mesma forma, para FQDNS e HOSTNAMES.

    7. Para aplicar o script para Rapid7, faça o seguinte:
      1. Navegar até Todos > Resposta a vulnerabilidades Mapas de importação de host.
      2. Para linhas Rapid7 com FQDN e HostName, atualize o Método de pesquisa para Script.
      Nota:
      Para Rapid7, o método Pesquisa de IC é definido como Correspondência de campo para FQDN e Nome do host, o que ajuda a impedir que ele use o script.