From fcc0c34bca48f3e57822f9d572d01ae0eaf83b96 Mon Sep 17 00:00:00 2001 From: Admin MPCZ Date: Sat, 25 Apr 2026 12:02:34 +0200 Subject: [PATCH] docs(exceptions_v3): #21 asset doublon vpameatra1 (zombie 2023, ID 155999641) - exclure par IP en QQL --- docs/exceptions_v3.md | 1 + 1 file changed, 1 insertion(+) diff --git a/docs/exceptions_v3.md b/docs/exceptions_v3.md index ad46316..113b7e2 100644 --- a/docs/exceptions_v3.md +++ b/docs/exceptions_v3.md @@ -34,6 +34,7 @@ Suivi des cas où la règle V3 produit un résultat incorrect (faux positif/nég | 18 | 2026-04-24 | `TAG-OBS` | OS obsolètes manquants | Liste TAG-OBS incomplète | Manquaient : Win Server 2008 R2, Win7 (sans espace, embedded), RHEL 7 (EOL juin 2024), Oracle Linux 5/6, SLES 11/12, Solaris 10, AIX 6.1 + typo "Server 5" double espace | **Audit obsolescence incomplet** : assets EOL non détectés → risque sécu non remonté | Liste étendue dans `gen_xlsx.py` + typo fixée (à appliquer en console Qualys) | 🟡 | (gen_xlsx fait, console à faire) | | 19 | 2026-04-24 | `POS-DMZ` vs `TAG-SED`/`TAG-SEI` | 7 assets en désaccord audit DMZ | 3 en POS-DMZ sans SED/SEI + 4 avec SED/SEI hors POS-DMZ | Tags STAT manuels non synchronisés à la création/modif d'assets DMZ | **Trou audit sécurité** : assets DMZ non classifiés en exposition directe/indirecte → mauvaise priorisation patch/scan | Rectification finale 2026-04-25 : 3 ajouts à SED/SEI (`vppintaweb1` SED, `vppintaweb2` SED, `vrameased1` SEI) + 1 retrait `vpdecasas4` (n'aurait pas dû être en SEI) + 3 confirmés légitimement hors DMZ (LAN exposé via NAT : `vpdsiawsus1` SED, `vppeaabst3` SEI, `vpvpnaems1` SED Ubuntu). Total cohérent : POS-DMZ=48, SED+SEI=48 | 🟢 | 2026-04-25 | | 20 | 2026-04-25 | `POS-INF` trop restrictif | 5 assets seulement | API Qualys live confirme 5 (vpbipamod1, vpsimasvp1, vraptbjup1, vraiiavid1/2) | **La rule active dans la console Qualys = `C:\Claude\sanef\inputs\pos-inf.txt`** (seulement 6 préfixes : vpsimas*, vpppear*, vpppeas*, vpbipa*, vraiia*, vraptb*) au lieu de la rule v3 cible **`C:\Claude\sanef\QL\inputs\dom_inf_rule_v2.txt`** (91 préfixes). Le brouillon initial des exclusions a été appliqué à la place de la vraie rule. | **Périmètre Infrastructure totalement faux** : 5 assets au lieu d'~80-100 attendus. DSI sous-estime largement la surface d'attaque infra. | Console Qualys : éditer POS-INF → coller la QQL complète de `dom_inf_rule_v2.txt` (91 préfixes + exclusions Gestion) → Re-evaluate. Vérifier aussi le rule_type (`Asset Inventory` = Asset Search). | 🔴 | À fixer (QQL console) | +| 21 | 2026-04-25 | Asset doublon Qualys | `vpameatra1.sanef.groupe` (2 entrées Qualys avec même hostname) | Le zombie : IP `10.43.192.17`, last updated **Feb 24, 2023** (≈3 ans sans contact), Asset ID `155999641`. Le vivant a une autre IP et check-in régulier. | Asset jamais nettoyé après changement IP/réinstallation/migration → reste en doublon dans Qualys. Aucune purge auto. | **Risque de double-comptage dans toutes les rules** matchant `vpameatra1` (POS-TRA, ENV-PRD, OS-LIN-SRV, etc.) → KPI gonflés artificiellement, et stats vuln peuvent être fausses (le zombie a des vulns figées 2023). | Exclure le zombie via IP dans les rules concernées : `and not asset.interface:(address:10.43.192.17)`. **Note** : `asset.hostID:X`, `asset.id:X` et `asset.lastUpdated:[date..now]` ne marchent PAS en Tag rule (uniquement en Asset Search interactive). À long terme, demander purge à Qualys ou retirer le Cloud Agent zombie. | 🟡 | Workaround par IP (à appliquer sur toutes les rules touchées) | ---