Rapid7 InsightVM
Versión de integración: 9.0
Configurar la integración de Rapid7 InsightVM en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | N/A | Sí | Raíz de la API de la instancia de Rapid7 InsightVM. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la API de Rapid7 InsightVM. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la API de Rapid7 InsightVM. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor Rapid7 InsightVM sea válido. |
Acciones
Enriquecer recurso
Descripción
Enriquece un recurso.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| users | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| name | Devuelve si existe en el resultado JSON. |
| userGroups | Devuelve si existe en el resultado JSON. |
| hostName | Devuelve si existe en el resultado JSON. |
| fuente | Devuelve si existe en el resultado JSON. |
| addresses | Devuelve si existe en el resultado JSON. |
| ip | Devuelve si existe en el resultado JSON. |
| mac | Devuelve si existe en el resultado JSON. |
| links | Devuelve si existe en el resultado JSON. |
| href | Devuelve si existe en el resultado JSON. |
| rel | Devuelve si existe en el resultado JSON. |
| assessedForPolicies | Devuelve si existe en el resultado JSON. |
| producto | Devuelve si existe en el resultado JSON. |
| vendor | Devuelve si existe en el resultado JSON. |
| description | Devuelve si existe en el resultado JSON. |
| Familia | Devuelve si existe en el resultado JSON. |
| systemName | Devuelve si existe en el resultado JSON. |
| tipo | Devuelve si existe en el resultado JSON. |
| riskScore | Devuelve si existe en el resultado JSON. |
| rawRiskScore | Devuelve si existe en el resultado JSON. |
| moderate | Devuelve si existe en el resultado JSON. |
| vulnerabilities | Devuelve si existe en el resultado JSON. |
| exploits | Devuelve si existe en el resultado JSON. |
| malwareKits | Devuelve si existe en el resultado JSON. |
| grave | Devuelve si existe en el resultado JSON. |
| críticos | Devuelve si existe en el resultado JSON. |
| total | Devuelve si existe en el resultado JSON. |
| configurations | Devuelve si existe en el resultado JSON. |
| fecha | Devuelve si existe en el resultado JSON. |
| ScanId | Devuelve si existe en el resultado JSON. |
| Versión | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Obtener resultados de análisis
Descripción
Obtener resultados de análisis por ID.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de análisis | Cadena | N/A | Sí | ID del análisis. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Iniciar análisis
Descripción
Iniciar un análisis de un sitio específico.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del análisis | Cadena | N/A | No | Nombre del análisis. |
| Motor de análisis | Cadena | N/A | Sí | Nombre del motor que se va a usar en el análisis. |
| Plantilla de análisis | Cadena | N/A | Sí | Nombre de la plantilla que se va a usar en el análisis. |
| Nombre del sitio | Cadena | N/A | Sí | Nombre del sitio en el que se va a ejecutar el análisis. |
| Obtener resultados | Casilla | Desmarcada | No | Indica si se debe esperar a que se complete el análisis para obtener los resultados. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| scan_id | N/A | N/A |
Resultado de JSON
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| status | Devuelve si existe en el resultado JSON. |
| scanType | Devuelve si existe en el resultado JSON. |
| recursos | Devuelve si existe en el resultado JSON. |
| links | Devuelve si existe en el resultado JSON. |
| href | Devuelve si existe en el resultado JSON. |
| rel | Devuelve si existe en el resultado JSON. |
| vulnerabilities | Devuelve si existe en el resultado JSON. |
| grave | Devuelve si existe en el resultado JSON. |
| total | Devuelve si existe en el resultado JSON. |
| críticos | Devuelve si existe en el resultado JSON. |
| moderate | Devuelve si existe en el resultado JSON. |
| startTime | Devuelve si existe en el resultado JSON. |
| duración | Devuelve si existe en el resultado JSON. |
| engineName | Devuelve si existe en el resultado JSON. |
| endTime | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| scanName | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
List Scans
Descripción
Mostrar análisis.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Días hacia atrás | Cadena | N/A | Sí | Número de días hacia atrás desde los que se obtendrán las búsquedas. |
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Ping
Descripción
Prueba de conectividad.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Conectores
Conector de vulnerabilidades de Rapid7 InsightVM
Descripción
Extrae información sobre las vulnerabilidades de los recursos de Rapid7 InsightVM.
Configurar el conector de vulnerabilidades de Rapid7 InsightVM en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | riskEventType | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 500 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{ip}:3780 | Sí | Raíz de la API de la instancia de Rapid7 InsightVM. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Rapid7 InsightVM. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Rapid7 InsightVM. |
| Gravedad mínima que se va a obtener | Cadena | Moderada | No | La gravedad más baja que se debe usar para obtener vulnerabilidades. Valores posibles: Moderate, Severe y Critical. Si no se proporciona nada, el conector obtiene vulnerabilidades de todas las gravedades. |
| Número máximo de recursos que se pueden procesar | Entero | 5 | No | Cantidad de recursos que se deben procesar por cada iteración del conector. Nota: No se recomienda aumentar el valor de este parámetro, ya que el conector será más propenso a agotar el tiempo de espera. |
| Mecanismo de agrupación | Cadena | Host | No | Mecanismo de agrupación que se usa para crear alertas de Google SecOps. Valores posibles: Host, None. Si se proporciona "Host", el conector crea una alerta de Google SecOps que contiene todas las vulnerabilidades relacionadas con el host. Si se proporciona el valor "None" o un valor no válido, el conector crea una alerta de Google SecOps por cada vulnerabilidad independiente por host. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si se habilita, la lista de permitidos se usa como lista de bloqueo. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Rapid7 InsightVM sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.