Rapid7 InsightVM

Versión de integración: 9.0

Configura la integración de Rapid7 InsightVM en Google Security Operations

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Raíz de la API String N/A Es la raíz de la API de la instancia de Rapid7 InsightVM.
Nombre de usuario String N/A Es el nombre de usuario de la API de Rapid7 InsightVM.
Contraseña Contraseña N/A Contraseña de la API de Rapid7 InsightVM.
Verificar SSL Casilla de verificación Desmarcado Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Rapid7 InsightVM sea válido.

Acciones

Enriquece el recurso

Descripción

Enriquece un recurso.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
{
    "10.0.0.100": {
        "users": [{
            "id": 500,
            "name": "Administrator"
        },{
            "id": 503,
            "name": "DefaultAccount"
        },{
            "id": 501,
            "name": "Guest"
        }],
        "userGroups": [{
            "id": 7,
            "name": "ANONYMOUS LOGON"
        },{
            "id": 579,
            "name": "Access Control Assistance Operators"
        },{
            "id": 544,
            "name": "Administrators"
        }],
        "hostNames": [{
            "source": "netbios",
            "name": "WS-HUNULULU"
        },{
            "source": "dns",
            "name": "ws-chaimsky.siemplify.local"
        }],
        "addresses": [{
            "ip": "1.1.1.1",
            "mac": "48:4D:7E:B8:3B:A4"
        }],
        "links": [{
            "href": "https://1.1.1.1:3780/api/3/assets/1",
            "rel": "self"
        },{
            "href": "https://1.1.1.1:3780/api/3/assets/1/software",
            "rel": "Software"
        },{
            "href": "https://1.1.1.1:3780/api/3/assets/1/files",
            "rel": "Files"
        }],
        "assessedForPolicies": false,
        "ip": "1.1.1.1",
        "hostName": "ws-chaimsky.siemplify.local",
        "osFingerprint": {
            "product": "Windows Server 2016",
            "vendor": "Microsoft",
            "description": "Microsoft Windows Server 2016",
            "family": "Windows",
            "systemName": "Microsoft Windows",
            "type": "General",
            "id": 8
        },
        "riskScore": 8270.22559,
        "mac": "48:4D:7E:B8:3B:A4",
        "rawRiskScore": 8270.22559,
        "vulnerabilities": {
            "moderate": 6,
            "exploits": 1,
            "malwareKits": 0,
            "severe": 12,
            "critical": 0,
            "total": 18
        },
        "services": [{
            "protocol": "tcp",
            "name": "DCE Endpoint Resolution",
            "links": [{
                "href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
                "rel": "self"
            },{
                "href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
                "rel": "Configurations"
            },{
                "href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
                "rel": "Databases"
            }],
            "port": 135
        },{
            "name": "CIFS Name Service",
            "protocol": "udp",
            "port": 137,
            "links": [{
                "href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
                "rel": "self"
            },{
                "href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
                "rel": "Configurations"
            },{
                "href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
                "rel": "Databases"
            }],
            "configurations": [{
                "name": "advertised-name-1",
                "value": "SIEMPLIFY (Domain Name)"
            },{
                "name": "advertised-name-2",
                "value": "WS-CHAIMSKY (File Server Service)"
            },{
                "name": "advertised-name-3",
                "value": "WS-CHAIMSKY (Computer Name)"
            }]}, {
                "product": "Windows 10 Enterprise N 2016 LTSB 6.3",
                "protocol": "tcp",
                "name": "CIFS",
                "links": [{
                    "href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
                    "rel": "self"
                },{
                    "href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
                    "rel": "Configurations"
                },{
                    "href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
                    "rel": "Databases"
                }],
                "port": 139,
                "configurations": [{
                    "name": "domain",
                    "value": "SIEMPLIFY"
                },{
                    "name": "password-mode",
                    "value": "encrypt"
                },{
                    "name": "security-mode",
                    "value": "user"
                }]}],
        "assessedForVulnerabilities": true,
        "os": "Microsoft Windows Server 2016",
        "id": 1,
        "history": [{
            "date": "2019-03-25T04:25:46.333Z",
            "scanId": 1,
            "version": 1,
            "type": "SCAN"
        },{
            "date": "2019-03-25T06:58:49.450Z",
            "scanId": 2,
            "version": 2,
            "type": "SCAN"
        },{
            "date": "2019-03-26T03:58:44.859Z",
            "scanId": 5,
            "version": 3,
            "type": "SCAN"
        }]
    }
}
Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: Cuándo aplicar
usuarios Devuelve si existe en el resultado JSON.
id Devuelve si existe en el resultado JSON.
nombre Devuelve si existe en el resultado JSON.
userGroups Devuelve si existe en el resultado JSON.
hostName Devuelve si existe en el resultado JSON.
source Devuelve si existe en el resultado JSON.
addresses Devuelve si existe en el resultado JSON.
ip Devuelve si existe en el resultado JSON.
mac Devuelve si existe en el resultado JSON.
vínculos Devuelve si existe en el resultado JSON.
href Devuelve si existe en el resultado JSON.
rel Devuelve si existe en el resultado JSON.
assessedForPolicies Devuelve si existe en el resultado JSON.
producto Devuelve si existe en el resultado JSON.
vendor Devuelve si existe en el resultado JSON.
descripción Devuelve si existe en el resultado JSON.
Familia Devuelve si existe en el resultado JSON.
systemName Devuelve si existe en el resultado JSON.
tipo Devuelve si existe en el resultado JSON.
riskScore Devuelve si existe en el resultado JSON.
rawRiskScore Devuelve si existe en el resultado JSON.
moderada Devuelve si existe en el resultado JSON.
vulnerabilidades Devuelve si existe en el resultado JSON.
exploits Devuelve si existe en el resultado JSON.
malwareKits Devuelve si existe en el resultado JSON.
grave Devuelve si existe en el resultado JSON.
crítico Devuelve si existe en el resultado JSON.
total Devuelve si existe en el resultado JSON.
configurations Devuelve si existe en el resultado JSON.
fecha Devuelve si existe en el resultado JSON.
ScanId Devuelve si existe en el resultado JSON.
Versión Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Obtener resultados del análisis

Descripción

Obtiene los resultados del análisis por ID.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de análisis String N/A Es el ID del análisis.

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Resultado de JSON
{
    "STATUS": {
        "STATE": "Finished"
    },
    "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
    "TITLE": "Scan scan/1533110666.07264 Report",
    "USER_LOGIN": "sempf3mh",
    "OUTPUT_FORMAT": "PDF",
    "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
    "TYPE": "Scan",
    "ID": "775111",
    "SIZE": "22.17 KB"
}
Enriquecimiento de entidades

N/A

Estadísticas

N/A

Inicia análisis

Descripción

Inicia un análisis de un sitio específico.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del análisis String N/A No Es el nombre del análisis.
Motor de análisis String N/A Es el nombre del motor que se usará en el análisis.
Plantilla de análisis String N/A Nombre de la plantilla que se usará en el análisis.
Nombre del sitio String N/A Es el nombre del sitio en el que se ejecutará el análisis.
Recuperar resultados Casilla de verificación Desmarcado No Indica si se debe esperar a que finalice el análisis y obtener sus resultados.

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
scan_id N/A N/A
Resultado de JSON
{
    "status": "finished",
    "scanType": "Manual",
    "assets": 1,
    "links": [{
        "href": "https://1.1.1.1:3780/api/3/scans/8",
        "rel": "self"
    }],
    "vulnerabilities": {
        "severe": 12,
        "total": 18,
        "critical": 0,
        "moderate": 6
    },
    "startTime": "2019-04-11T07:44:00.095Z",
    "duration": "PT7M58.298S",
    "engineName": "Local scan engine",
    "endTime": "2019-04-11T07:51:58.393Z",
    "id": 8,
    "scanName": "siemplify_20190411-104353"
}
Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: Cuándo aplicar
estado Devuelve si existe en el resultado JSON.
scanType Devuelve si existe en el resultado JSON.
recursos Devuelve si existe en el resultado JSON.
vínculos Devuelve si existe en el resultado JSON.
href Devuelve si existe en el resultado JSON.
rel Devuelve si existe en el resultado JSON.
vulnerabilidades Devuelve si existe en el resultado JSON.
grave Devuelve si existe en el resultado JSON.
total Devuelve si existe en el resultado JSON.
crítico Devuelve si existe en el resultado JSON.
moderada Devuelve si existe en el resultado JSON.
startTime Devuelve si existe en el resultado JSON.
duración Devuelve si existe en el resultado JSON.
engineName Devuelve si existe en el resultado JSON.
endTime Devuelve si existe en el resultado JSON.
id Devuelve si existe en el resultado JSON.
scanName Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Enumera los análisis

Descripción

Enumera los análisis.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Días hacia atrás String N/A Cantidad de días hacia atrás desde los que se recuperarán los análisis.

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "status": "finished",
        "scanType": "Manual",
        "assets": 1,
        "links": [{
            "href": "https://1.1.1.1:3780/api/3/scans/8",
            "rel": "self"
        }],
        "vulnerabilities": {
            "severe": 12,
            "total": 18,
            "critical": 0,
            "moderate": 6
        },
        "startTime": "2019-04-11T07:44:00.095Z",
        "duration": "PT7M58.298S",
        "engineName": "Local scan engine",
        "endTime": "2019-04-11T07:51:58.393Z",
        "id": 8,
        "scanName": "siemplify_20190411-104353"
    }
]

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Ping

Descripción

Prueba la conectividad.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A
Enriquecimiento de entidades

N/A

Estadísticas

N/A

Conectores

Conector de vulnerabilidades de Rapid7 InsightVM

Descripción

Extrae información sobre las vulnerabilidades de los activos de Rapid7 InsightVM.

Configura el conector de vulnerabilidades de Rapid7 InsightVM en Google SecOps

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del campo del producto String Nombre del producto Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento String riskEventType Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno String "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo del entorno, se usa el entorno predeterminado.

Patrón de expresión regular del entorno String .* No

Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno".

El valor predeterminado es .* para capturar todo y devolver el valor sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex.

Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.

Tiempo de espera de la secuencia de comandos (segundos) Número entero 500 Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API String https://{ip}:3780 Es la raíz de la API de la instancia de Rapid7 InsightVM.
Nombre de usuario String N/A Nombre de usuario de la cuenta de Rapid7 InsightVM.
Contraseña Contraseña N/A Contraseña de la cuenta de Rapid7 InsightVM.
Gravedad más baja que se recuperará String Moderado No

Es el nivel de gravedad más bajo que se debe usar para recuperar vulnerabilidades.

Los valores posibles son: Moderate, Severe y Critical.

Si no se proporciona nada, el conector recupera vulnerabilidades con todos los niveles de gravedad.

Cantidad máxima de recursos para procesar Número entero 5 No

Es la cantidad de recursos que se deben procesar en cada iteración del conector.

Nota: No se recomienda aumentar el valor de este parámetro, ya que el conector será más propenso a los tiempos de espera.

Mecanismo de agrupación String Host No

Es el mecanismo de agrupación que se usa para crear alertas de SecOps de Google.

Los valores posibles son Host y None.

Si se proporciona "Host", el conector crea una alerta de Google SecOps que contiene todas las vulnerabilidades relacionadas con el host.

Si se proporciona el valor "None" o un valor no válido, el conector crea una nueva alerta de Google SecOps para cada vulnerabilidad independiente por host.

Usar la lista blanca como lista negra Casilla de verificación Desmarcado Si está habilitado, la lista de entidades permitidas se usa como lista de entidades bloqueadas.
Verificar SSL Casilla de verificación Marcado Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Rapid7 InsightVM sea válido.
Dirección del servidor proxy String N/A No Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy String N/A No Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy Contraseña N/A No Contraseña del proxy para la autenticación.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.