Admin MPCZ
9b791ce19a
10 exceptions documentees au 2026-04-24 : - 3 resolues (svp* exclu de ENV-TST/EQT-SRV, Qualys natifs reconnus, POS-DMZ suggere si zone DMZ) - 4 a fixer (POS-BI/POS-GES/POS-INF a affiner avec exclusions, ajouter operatingSystem.category2:Server) - 3 workaround (OS-LIN-SRV patterns app, ges legacy) Section tags legacy a nettoyer post-migration (Production, Linux Server, VRF_INCONNUE, etc.) Workflow de mise a jour documente.
5.1 KiB
5.1 KiB
Exceptions et anomalies — Nomenclature Qualys V3 SANEF
Suivi des cas où la règle V3 produit un résultat incorrect (faux positif/négatif) et nécessite un ajustement de la QQL ou du nommage. À traiter par batch lors des cleanups Qualys.
Légende statut
- 🔴 À fixer : action attendue côté Qualys (modif règle QQL) ou côté SANEF (renommage)
- 🟡 Workaround : contournement appliqué dans l'app décodeur ou doc, fix Qualys pas encore fait
- 🟢 Résolu : règle V3 modifiée, plus de souci
Exceptions
| # | Date | Tag | Asset / Pattern | Problème | Cause | Fix proposé | Statut |
|---|---|---|---|---|---|---|---|
| 1 | 2026-04-22 | ENV-TST |
svp* (Superviseur Péage) |
Postes Windows 11 Client tagués Test | Préfixe sv* matche svp* |
Exclusion and not asset.name:svp* ajoutée à la QQL |
🟢 |
| 2 | 2026-04-22 | EQT-SRV |
svp* |
Postes workstation détectés comme serveurs physiques | Préfixe s* matche svp* |
Exclusion and not asset.name:svp* ajoutée |
🟢 |
| 3 | 2026-04-24 | POS-BI |
VPAPTAPSH1.SANEF.GROUPE (Win 10) |
Workstation taggée POS-BI | Préfixe vpapt* dans QQL POS-BI matche aussi vpapta* (Apta gestion = POS-GES). De plus c'est un poste, pas un serveur |
1) Ajouter and operatingSystem.category2:"Server" à POS-BI2) Exclure vpapta* de POS-BI (= POS-GES) |
🔴 |
| 4 | 2026-04-24 | POS-BI POS-GES POS-INF POS-FL POS-PEA POS-TRA NOM-LEGACY |
Tous les POS-* | Postes de travail susceptibles d'être tagués POS-* à tort | Les règles QQL POS-* ne filtrent pas par OS Server | Ajouter and operatingSystem.category2:"Server" à toutes les règles POS-* |
🔴 |
| 5 | 2026-04-24 | OS-LIN-SRV |
Ubuntu / Oracle Linux / SUSE / Rocky / Alma / Fedora / Amazon Linux | App montre 723 vs Qualys 730 (-7) | Décodeur app ne reconnaît que red hat, centos, debian comme Linux |
Étendre patterns Linux dans _filter_os_only (côté app uniquement) |
🟡 |
| 6 | 2026-04-24 | POS-BI vs POS-GES |
vpapt* vs vpapta* / vrapt* vs vrapta* |
Préfixe vpapt* dans POS-BI englobe vpapta* (Apta = POS-GES) |
Pas d'exclusion mutuelle dans QQL | Modifier POS-BI pour exclure les apta* : vpapt* and not (asset.name:vpapta* or asset.name:vrapta*) |
🔴 |
| 7 | 2026-04-24 | POS-INF vs POS-GES |
aii* vs aiiat* / dsi* vs dsiat* |
Préfixes courts (aii, dsi) dans POS-INF englobent aiiat/dsiat (Aide pilotage / Reporting DSI = POS-GES) |
Pas d'exclusion mutuelle | Modifier POS-INF pour exclure les aiiat*/dsiat* : ... and not (asset.name:vpaiiat* or asset.name:vraiiat* or asset.name:vrdsiat*) |
🔴 |
| 8 | 2026-04-24 | POS-INF vs POS-GES |
ges* (Gestion fichiers POS-INF) vs gesb* (Gestion budgets POS-GES) |
Le préfixe générique ges* n'existe pas dans POS-INF V3 mais le décodeur app l'avait avec POS-INF (legacy "Gestion fichiers") |
Décodeur app : ges mappé POS-INF (legacy) |
Si pas de cas réel vpges* autre que vpgesb*, retirer la map ges→POS-INF du décodeur app |
🟡 |
| 9 | 2026-04-24 | Tags Qualys natifs (Cloud Agent*, Obsolete, Active...) | Tous assets | Affichés comme "Hors V3" dans le décodeur de l'app | Pas reconnus comme natifs | Liste QUALYS_BUILTIN_EXACT + QUALYS_BUILTIN_PREFIX ajoutée dans server_decoder.py |
🟢 |
| 10 | 2026-04-24 | POS-DMZ |
Assets en zone DMZ | Suggéré "Hors V3" alors qu'utilisé légitimement | POS-DMZ pas dans la liste V3 dynamique mais utilisé en STAT manuel | Décodeur app : suggère POS-DMZ si zone Excel = "DMZ" | 🟢 |
Tags Qualys legacy à nettoyer (concurrence avec V3)
À supprimer ou désactiver une fois la transition V3 validée :
| Tag legacy | Remplacé par V3 | Statut migration |
|---|---|---|
Production |
ENV-PRD |
À supprimer |
Recette |
ENV-REC |
À supprimer |
Linux Server |
OS-LIN-SRV |
À supprimer |
Windows Server |
OS-WIN-SRV |
À supprimer |
flux_libre, Flux Libre, FreeFlow |
POS-FL |
À fusionner/supprimer |
DEX |
À déterminer | À analyser |
DSI |
POS-INF (partiellement) |
À analyser |
VRF_INCONNUE |
VRF-* (à créer) |
Configurer VRF métier |
TAG-SRVEXPOSEINTERNET |
TAG-SED |
À fusionner |
Workflow de mise à jour
- Constat anomalie : ajouter une ligne dans le tableau ci-dessus avec date, tag, asset, problème
- Validation Khalid : décider du fix (Qualys QQL, app décodeur, ou les deux)
- Implémentation :
- Si fix QQL : modifier la règle dans console Qualys + mettre à jour
C:\Claude\sanef\QL\gen_xlsx.pypour la doc - Si fix app : modifier
C:\Claude\sanef\sanef-qualys-manager\server_decoder.py
- Si fix QQL : modifier la règle dans console Qualys + mettre à jour
- Test : recharger les tags dans la console Qualys, vérifier le delta sur 5-10 assets témoins
- Statut : passer à 🟢 dans le tableau
Contacts / liens utiles
- Console Qualys : https://qualysguard.qualys.eu > VMDR > Assets > Tags
- Référentiel V3 :
C:\Claude\sanef\QL\docs\SANEF_Qualys_Tags_V3_RuleTypes_v2.xlsx - Décodeur app :
C:\Claude\sanef\sanef-qualys-manager\server_decoder.py - Mémoire détaillée :
C:\Users\netadmin\.claude\projects\C--Users-netadmin\memory\qualys.md