Rapid7 InsightVM
Versión de integración: 9.0
Configura la integración de Rapid7 InsightVM en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Raíz de la API | String | N/A | Sí | Es la raíz de la API de la instancia de Rapid7 InsightVM. |
Nombre de usuario | String | N/A | Sí | Es el nombre de usuario de la API de Rapid7 InsightVM. |
Contraseña | Contraseña | N/A | Sí | Contraseña de la API de Rapid7 InsightVM. |
Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Rapid7 InsightVM sea válido. |
Acciones
Enriquece el recurso
Descripción
Enriquece un recurso.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
Enriquecimiento de entidades
Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
---|---|
usuarios | Devuelve si existe en el resultado JSON. |
id | Devuelve si existe en el resultado JSON. |
nombre | Devuelve si existe en el resultado JSON. |
userGroups | Devuelve si existe en el resultado JSON. |
hostName | Devuelve si existe en el resultado JSON. |
source | Devuelve si existe en el resultado JSON. |
addresses | Devuelve si existe en el resultado JSON. |
ip | Devuelve si existe en el resultado JSON. |
mac | Devuelve si existe en el resultado JSON. |
vínculos | Devuelve si existe en el resultado JSON. |
href | Devuelve si existe en el resultado JSON. |
rel | Devuelve si existe en el resultado JSON. |
assessedForPolicies | Devuelve si existe en el resultado JSON. |
producto | Devuelve si existe en el resultado JSON. |
vendor | Devuelve si existe en el resultado JSON. |
descripción | Devuelve si existe en el resultado JSON. |
Familia | Devuelve si existe en el resultado JSON. |
systemName | Devuelve si existe en el resultado JSON. |
tipo | Devuelve si existe en el resultado JSON. |
riskScore | Devuelve si existe en el resultado JSON. |
rawRiskScore | Devuelve si existe en el resultado JSON. |
moderada | Devuelve si existe en el resultado JSON. |
vulnerabilidades | Devuelve si existe en el resultado JSON. |
exploits | Devuelve si existe en el resultado JSON. |
malwareKits | Devuelve si existe en el resultado JSON. |
grave | Devuelve si existe en el resultado JSON. |
crítico | Devuelve si existe en el resultado JSON. |
total | Devuelve si existe en el resultado JSON. |
configurations | Devuelve si existe en el resultado JSON. |
fecha | Devuelve si existe en el resultado JSON. |
ScanId | Devuelve si existe en el resultado JSON. |
Versión | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Obtener resultados del análisis
Descripción
Obtiene los resultados del análisis por ID.
Parámetros
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
ID de análisis | String | N/A | Sí | Es el ID del análisis. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
correcto | Verdadero/Falso | success:False |
Resultado de JSON
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Inicia análisis
Descripción
Inicia un análisis de un sitio específico.
Parámetros
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Nombre del análisis | String | N/A | No | Es el nombre del análisis. |
Motor de análisis | String | N/A | Sí | Es el nombre del motor que se usará en el análisis. |
Plantilla de análisis | String | N/A | Sí | Nombre de la plantilla que se usará en el análisis. |
Nombre del sitio | String | N/A | Sí | Es el nombre del sitio en el que se ejecutará el análisis. |
Recuperar resultados | Casilla de verificación | Desmarcado | No | Indica si se debe esperar a que finalice el análisis y obtener sus resultados. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
scan_id | N/A | N/A |
Resultado de JSON
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
Enriquecimiento de entidades
Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
---|---|
estado | Devuelve si existe en el resultado JSON. |
scanType | Devuelve si existe en el resultado JSON. |
recursos | Devuelve si existe en el resultado JSON. |
vínculos | Devuelve si existe en el resultado JSON. |
href | Devuelve si existe en el resultado JSON. |
rel | Devuelve si existe en el resultado JSON. |
vulnerabilidades | Devuelve si existe en el resultado JSON. |
grave | Devuelve si existe en el resultado JSON. |
total | Devuelve si existe en el resultado JSON. |
crítico | Devuelve si existe en el resultado JSON. |
moderada | Devuelve si existe en el resultado JSON. |
startTime | Devuelve si existe en el resultado JSON. |
duración | Devuelve si existe en el resultado JSON. |
engineName | Devuelve si existe en el resultado JSON. |
endTime | Devuelve si existe en el resultado JSON. |
id | Devuelve si existe en el resultado JSON. |
scanName | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Enumera los análisis
Descripción
Enumera los análisis.
Parámetros
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Días hacia atrás | String | N/A | Sí | Cantidad de días hacia atrás desde los que se recuperarán los análisis. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Conectores
Conector de vulnerabilidades de Rapid7 InsightVM
Descripción
Extrae información sobre las vulnerabilidades de los activos de Rapid7 InsightVM.
Configura el conector de vulnerabilidades de Rapid7 InsightVM en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
Nombre del campo del evento | String | riskEventType | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 500 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
Raíz de la API | String | https://{ip}:3780 | Sí | Es la raíz de la API de la instancia de Rapid7 InsightVM. |
Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Rapid7 InsightVM. |
Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Rapid7 InsightVM. |
Gravedad más baja que se recuperará | String | Moderado | No | Es el nivel de gravedad más bajo que se debe usar para recuperar vulnerabilidades. Los valores posibles son: Moderate, Severe y Critical. Si no se proporciona nada, el conector recupera vulnerabilidades con todos los niveles de gravedad. |
Cantidad máxima de recursos para procesar | Número entero | 5 | No | Es la cantidad de recursos que se deben procesar en cada iteración del conector. Nota: No se recomienda aumentar el valor de este parámetro, ya que el conector será más propenso a los tiempos de espera. |
Mecanismo de agrupación | String | Host | No | Es el mecanismo de agrupación que se usa para crear alertas de SecOps de Google. Los valores posibles son Host y None. Si se proporciona "Host", el conector crea una alerta de Google SecOps que contiene todas las vulnerabilidades relacionadas con el host. Si se proporciona el valor "None" o un valor no válido, el conector crea una nueva alerta de Google SecOps para cada vulnerabilidad independiente por host. |
Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si está habilitado, la lista de entidades permitidas se usa como lista de entidades bloqueadas. |
Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Rapid7 InsightVM sea válido. |
Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.