Rapid7 InsightVM
Integrationsversion: 9.0
Rapid7 InsightVM-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | – | Ja | API-Stammverzeichnis der Rapid7 InsightVM-Instanz. |
| Nutzername | String | – | Ja | Rapid7 InsightVM API-Nutzername. |
| Passwort | Passwort | – | Ja | Rapid7 InsightVM API-Passwort. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Rapid7 InsightVM-Server gültig ist. |
Aktionen
Asset anreichern
Beschreibung
Asset anreichern.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| userGroups | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| hostName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| source | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| addresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| mac | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Links | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| href | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| rel | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| assessedForPolicies | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Produkt | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| vendor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Beschreibung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Familie | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| systemName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Typ | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| riskScore | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| rawRiskScore | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| mäßig | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| vulnerabilities | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Exploits | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| malwareKits | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| schwerwiegend | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| kritisch | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| total | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| configurations | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Datum | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ScanId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scanergebnisse abrufen
Beschreibung
Scanergebnisse nach ID abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Scan-ID | String | – | Ja | Die ID des Scans. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
Entitätsanreicherung
–
Statistiken
–
Scans starten
Beschreibung
Scans für bestimmte Websites starten
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Scanname | String | – | Nein | Der Name des Scans. |
| Scan-Engine | String | – | Ja | Der Name der Engine, die im Scan verwendet werden soll. |
| Scanvorlage | String | – | Ja | Der Name der Vorlage, die für den Scan verwendet werden soll. |
| Name der Website | String | – | Ja | Der Name der Website, auf der der Scan ausgeführt werden soll. |
| Ergebnisse abrufen | Kästchen | Deaktiviert | Nein | Gibt an, ob auf den Abschluss des Scans und die Ergebnisse gewartet werden soll. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| scan_id | – | – |
JSON-Ergebnis
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| scanType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Assets | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Links | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| href | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| rel | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| vulnerabilities | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| schwerwiegend | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| total | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| kritisch | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| mäßig | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| startTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Dauer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| engineName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| endTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| scanName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scans auflisten
Beschreibung
Scans auflisten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Tage zurück | String | – | Ja | Anzahl der Tage, die zurückliegen sollen, um Scans abzurufen. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
Entitätsanreicherung
–
Statistiken
–
Ping
Beschreibung
Verbindung testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Connectors
Rapid7 InsightVM – Vulnerabilities Connector
Beschreibung
Informationen zu Asset-Sicherheitslücken aus Rapid7 InsightVM abrufen.
Rapid7 InsightVM – Vulnerabilities Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | riskEventType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 500 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{ip}:3780 | Ja | API-Stammverzeichnis der Rapid7 InsightVM-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Rapid7 InsightVM-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort für das Rapid7 InsightVM-Konto. |
| Niedrigster abzurufender Schweregrad | String | Mittel | Nein | Der niedrigste Schweregrad, der zum Abrufen von Sicherheitslücken verwendet werden muss. Mögliche Werte: „Mittel“, „Schwer“, „Kritisch“ Wenn nichts angegeben ist, ruft der Connector Sicherheitslücken mit allen Schweregraden ab. |
| Maximale Anzahl der zu verarbeitenden Assets | Ganzzahl | 5 | Nein | Anzahl der Assets, die pro Connector-Iteration verarbeitet werden müssen. Hinweis:Es wird nicht empfohlen, den Wert dieses Parameters zu erhöhen, da der Connector dann anfälliger für Zeitüberschreitungen ist. |
| Gruppierungsmechanismus | String | Host | Nein | Gruppierungsmechanismus, der zum Erstellen von Google SecOps-Benachrichtigungen verwendet wird. Mögliche Werte: Host, None. Wenn „Host“ angegeben ist, erstellt der Connector eine Google SecOps-Benachrichtigung mit allen Sicherheitslücken, die mit dem Host zusammenhängen. Wenn „None“ oder ein ungültiger Wert angegeben wird, erstellt der Connector für jede separate Sicherheitslücke pro Host eine neue Google SecOps-Benachrichtigung. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Rapid7 InsightVM-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten