Rapid7 InsightVM
統合バージョン: 9.0
Google Security Operations で Rapid7 InsightVM の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | なし | はい | Rapid7 InsightVM インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | Rapid7 InsightVM API のユーザー名。 |
| パスワード | パスワード | なし | はい | Rapid7 InsightVM API パスワード。 |
| SSL を確認する | チェックボックス | オフ | はい | 有効にすると、Rapid7 InsightVM サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
操作
アセットを拡充する
説明
アセットを拡充します。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| ユーザー | JSON の結果に存在する場合に返す |
| id | JSON の結果に存在する場合に返す |
| name | JSON の結果に存在する場合に返す |
| userGroups | JSON の結果に存在する場合に返す |
| hostName | JSON の結果に存在する場合に返す |
| ソース | JSON の結果に存在する場合に返す |
| addresses | JSON の結果に存在する場合に返す |
| ip | JSON の結果に存在する場合に返す |
| mac | JSON の結果に存在する場合に返す |
| links | JSON の結果に存在する場合に返す |
| href | JSON の結果に存在する場合に返す |
| rel | JSON の結果に存在する場合に返す |
| assessedForPolicies | JSON の結果に存在する場合に返す |
| product | JSON の結果に存在する場合に返す |
| vendor | JSON の結果に存在する場合に返す |
| 説明 | JSON の結果に存在する場合に返す |
| ファミリー | JSON の結果に存在する場合に返す |
| systemName | JSON の結果に存在する場合に返す |
| type | JSON の結果に存在する場合に返す |
| riskScore | JSON の結果に存在する場合に返す |
| rawRiskScore | JSON の結果に存在する場合に返す |
| 中程度 | JSON の結果に存在する場合に返す |
| vulnerabilities | JSON の結果に存在する場合に返す |
| 脆弱性利用型不正プログラム | JSON の結果に存在する場合に返す |
| malwareKits | JSON の結果に存在する場合に返す |
| 重大 | JSON の結果に存在する場合に返す |
| critical | JSON の結果に存在する場合に返す |
| total が double 型に | JSON の結果に存在する場合に返す |
| configurations | JSON の結果に存在する場合に返す |
| 日付 | JSON の結果に存在する場合に返す |
| ScanId | JSON の結果に存在する場合に返す |
| バージョン | JSON の結果に存在する場合に返す |
分析情報
なし
スキャン結果を取得する
説明
ID でスキャン結果を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| スキャン ID | 文字列 | なし | はい | スキャンの ID。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
エンティティ拡充
なし
分析情報
なし
スキャンを開始する
説明
特定のサイトのスキャンを開始します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| スキャン名 | 文字列 | なし | いいえ | スキャン名。 |
| スキャン エンジン | 文字列 | なし | はい | スキャンで使用するエンジンの名前。 |
| スキャン テンプレート | 文字列 | なし | はい | スキャンで使用するテンプレートの名前。 |
| サイト名 | 文字列 | なし | はい | スキャンを実行するサイトの名前。 |
| 結果を取得 | チェックボックス | オフ | いいえ | スキャンが完了して結果を取得するまで待つかどうか。 |
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| scan_id | なし | なし |
JSON の結果
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| ステータス | JSON の結果に存在する場合に返す |
| scanType | JSON の結果に存在する場合に返す |
| アセット | JSON の結果に存在する場合に返す |
| links | JSON の結果に存在する場合に返す |
| href | JSON の結果に存在する場合に返す |
| rel | JSON の結果に存在する場合に返す |
| vulnerabilities | JSON の結果に存在する場合に返す |
| 重大 | JSON の結果に存在する場合に返す |
| total が double 型に | JSON の結果に存在する場合に返す |
| critical | JSON の結果に存在する場合に返す |
| 中程度 | JSON の結果に存在する場合に返す |
| startTime | JSON の結果に存在する場合に返す |
| duration | JSON の結果に存在する場合に返す |
| engineName | JSON の結果に存在する場合に返す |
| endTime | JSON の結果に存在する場合に返す |
| id | JSON の結果に存在する場合に返す |
| scanName | JSON の結果に存在する場合に返す |
分析情報
なし
スキャンの一覧表示
説明
スキャンを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 遡る日数 | 文字列 | なし | はい | スキャンを遡って取得する対象日数。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
エンティティ拡充
なし
分析情報
なし
Ping
説明
接続をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
コネクタ
Rapid7 InsightVM - Vulnerabilities Connector
説明
Rapid7 InsightVM からアセットの脆弱性に関する情報を pull します。
Google SecOps で Rapid7 InsightVM - Vulnerabilities Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | riskEventType | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | Integer | 500 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{ip}:3780 | はい | Rapid7 InsightVM インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | Rapid7 InsightVM アカウントのユーザー名。 |
| パスワード | パスワード | なし | はい | Rapid7 InsightVM アカウントのパスワード。 |
| 取得する最も低い重大度 | 文字列 | 中 | いいえ | 脆弱性を取得するために使用する必要がある最も低い重大度。 有効な値: Moderate、Severe、Critical。 何も指定しないと、コネクタはすべての重大度の脆弱性を取得します。 |
| 処理するアセットの最大数 | Integer | 5 | いいえ | 1 回のコネクタのイテレーションで処理する必要があるアセットの量。 注: このパラメータの値を大きくすると、コネクタがタイムアウトしやすくなるため、おすすめしません。 |
| グループ化メカニズム | 文字列 | ホスト | いいえ | Google SecOps アラートの作成に使用されるグループ化メカニズム。 可能な値: Host、None。 「ホスト」が指定されている場合、コネクタはホストに関連するすべての脆弱性を含む Google SecOps アラートを 1 つ作成します。 「なし」または無効な値が指定された場合、コネクタはホストごとに個別の脆弱性に対して新しい Google SecOps アラートを作成します。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オン | はい | 有効にすると、Rapid7 InsightVM サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。