Rapid7 InsightVM
Version de l'intégration : 9.0
Configurer l'intégration de Rapid7 InsightVM dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | N/A | Oui | Racine de l'API de l'instance Rapid7 InsightVM. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur de l'API Rapid7 InsightVM. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe de l'API Rapid7 InsightVM. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Rapid7 InsightVM est valide. |
Actions
Enrichir un composant
Description
Enrichissez un composant.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| utilisateurs | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| userGroups | Renvoie la valeur si elle existe dans le résultat JSON. |
| hostName | Renvoie la valeur si elle existe dans le résultat JSON. |
| source | Renvoie la valeur si elle existe dans le résultat JSON. |
| addresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| ip | Renvoie la valeur si elle existe dans le résultat JSON. |
| mac | Renvoie la valeur si elle existe dans le résultat JSON. |
| links | Renvoie la valeur si elle existe dans le résultat JSON. |
| href | Renvoie la valeur si elle existe dans le résultat JSON. |
| rel | Renvoie la valeur si elle existe dans le résultat JSON. |
| assessedForPolicies | Renvoie la valeur si elle existe dans le résultat JSON. |
| produit | Renvoie la valeur si elle existe dans le résultat JSON. |
| vendor | Renvoie la valeur si elle existe dans le résultat JSON. |
| description | Renvoie la valeur si elle existe dans le résultat JSON. |
| Famille | Renvoie la valeur si elle existe dans le résultat JSON. |
| systemName | Renvoie la valeur si elle existe dans le résultat JSON. |
| type | Renvoie la valeur si elle existe dans le résultat JSON. |
| riskScore | Renvoie la valeur si elle existe dans le résultat JSON. |
| rawRiskScore | Renvoie la valeur si elle existe dans le résultat JSON. |
| modéré | Renvoie la valeur si elle existe dans le résultat JSON. |
| vulnerabilities | Renvoie la valeur si elle existe dans le résultat JSON. |
| exploits | Renvoie la valeur si elle existe dans le résultat JSON. |
| malwareKits | Renvoie la valeur si elle existe dans le résultat JSON. |
| sévère | Renvoie la valeur si elle existe dans le résultat JSON. |
| critique | Renvoie la valeur si elle existe dans le résultat JSON. |
| total | Renvoie la valeur si elle existe dans le résultat JSON. |
| configurations | Renvoie la valeur si elle existe dans le résultat JSON. |
| date | Renvoie la valeur si elle existe dans le résultat JSON. |
| ScanId | Renvoie la valeur si elle existe dans le résultat JSON. |
| Version | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Obtenir les résultats de l'analyse
Description
Obtenez les résultats d'analyse par ID.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'analyse | Chaîne | N/A | Oui | ID de l'analyse. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
Enrichissement d'entités
N/A
Insights
N/A
Lancer des analyses
Description
Lancez une analyse pour un site spécifique.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'analyse | Chaîne | N/A | Non | Nom de l'analyse. |
| Moteur d'analyse | Chaîne | N/A | Oui | Nom du moteur à utiliser dans l'analyse. |
| Modèle d'analyse | Chaîne | N/A | Oui | Nom du modèle à utiliser dans l'analyse. |
| Nom du site | Chaîne | N/A | Oui | Nom du site sur lequel exécuter l'analyse. |
| Récupérer les résultats | Case à cocher | Décochée | Non | Indique s'il faut attendre la fin de l'analyse pour obtenir les résultats. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| scan_id | N/A | N/A |
Résultat JSON
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| état | Renvoie la valeur si elle existe dans le résultat JSON. |
| scanType | Renvoie la valeur si elle existe dans le résultat JSON. |
| éléments | Renvoie la valeur si elle existe dans le résultat JSON. |
| links | Renvoie la valeur si elle existe dans le résultat JSON. |
| href | Renvoie la valeur si elle existe dans le résultat JSON. |
| rel | Renvoie la valeur si elle existe dans le résultat JSON. |
| vulnerabilities | Renvoie la valeur si elle existe dans le résultat JSON. |
| sévère | Renvoie la valeur si elle existe dans le résultat JSON. |
| total | Renvoie la valeur si elle existe dans le résultat JSON. |
| critique | Renvoie la valeur si elle existe dans le résultat JSON. |
| modéré | Renvoie la valeur si elle existe dans le résultat JSON. |
| startTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| duration | Renvoie la valeur si elle existe dans le résultat JSON. |
| engineName | Renvoie la valeur si elle existe dans le résultat JSON. |
| endTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| scanName | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Lister les analyses
Description
Répertorier les analyses
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Jours en arrière | Chaîne | N/A | Oui | Nombre de jours en arrière à partir desquels récupérer les analyses. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
Enrichissement d'entités
N/A
Insights
N/A
Ping
Description
Testez la connectivité.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Connecteurs
Connecteur Rapid7 InsightVM – Failles
Description
Extrayez des informations sur les failles des composants à partir de Rapid7 InsightVM.
Configurer le connecteur de vulnérabilités Rapid7 InsightVM dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | riskEventType | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 500 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://{ip}:3780 | Oui | Racine de l'API de l'instance Rapid7 InsightVM. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Rapid7 InsightVM. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Rapid7 InsightVM. |
| Gravité la plus faible à récupérer | Chaîne | Modéré | Non | Niveau de gravité le plus bas à utiliser pour récupérer les failles. Valeurs possibles : "Modérée", "Sévère", "Critique". Si aucune valeur n'est fournie, le connecteur récupère les failles de sécurité de tous les niveaux de gravité. |
| Nombre maximal de composants à traiter | Integer | 5 | Non | Nombre d'éléments à traiter par itération de connecteur. Remarque : Il n'est pas recommandé d'augmenter la valeur de ce paramètre, car le connecteur sera plus sujet aux délais d'expiration. |
| Mécanisme de regroupement | Chaîne | Hôte | Non | Mécanisme de regroupement utilisé pour créer des alertes Google SecOps. Valeurs possibles : "Hôte" ou "Aucun". Si "Hôte" est fourni, le connecteur crée une alerte Google SecOps contenant toutes les failles liées à l'hôte. Si la valeur "Aucune" ou une valeur non valide est fournie, le connecteur crée une alerte Google SecOps pour chaque vulnérabilité distincte par hôte. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche est utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Rapid7 InsightVM est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.