Rapid7 InsightVM
통합 버전: 9.0
Google Security Operations에서 Rapid7 InsightVM 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | 해당 사항 없음 | 예 | Rapid7 InsightVM 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Rapid7 InsightVM API 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Rapid7 InsightVM API 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 Rapid7 InsightVM 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
작업
애셋 보강
설명
애셋을 보강합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
| id | JSON 결과에 존재하는 경우에 반환 |
| name | JSON 결과에 존재하는 경우에 반환 |
| userGroups | JSON 결과에 존재하는 경우에 반환 |
| hostName | JSON 결과에 존재하는 경우에 반환 |
| source | JSON 결과에 존재하는 경우에 반환 |
| addresses | JSON 결과에 존재하는 경우에 반환 |
| ip | JSON 결과에 존재하는 경우에 반환 |
| mac | JSON 결과에 존재하는 경우에 반환 |
| links | JSON 결과에 존재하는 경우에 반환 |
| href | JSON 결과에 존재하는 경우에 반환 |
| rel | JSON 결과에 존재하는 경우에 반환 |
| assessedForPolicies | JSON 결과에 존재하는 경우에 반환 |
| 제품 | JSON 결과에 존재하는 경우에 반환 |
| vendor | JSON 결과에 존재하는 경우에 반환 |
| 설명 | JSON 결과에 존재하는 경우에 반환 |
| 계열 | JSON 결과에 존재하는 경우에 반환 |
| systemName | JSON 결과에 존재하는 경우에 반환 |
| 유형 | JSON 결과에 존재하는 경우에 반환 |
| riskScore | JSON 결과에 존재하는 경우에 반환 |
| rawRiskScore | JSON 결과에 존재하는 경우에 반환 |
| 보통 | JSON 결과에 존재하는 경우에 반환 |
| vulnerabilities | JSON 결과에 존재하는 경우에 반환 |
| 익스플로잇 | JSON 결과에 존재하는 경우에 반환 |
| malwareKits | JSON 결과에 존재하는 경우에 반환 |
| 심각 | JSON 결과에 존재하는 경우에 반환 |
| 심각 | JSON 결과에 존재하는 경우에 반환 |
| total 속성 | JSON 결과에 존재하는 경우에 반환 |
| configurations | JSON 결과에 존재하는 경우에 반환 |
| 날짜 | JSON 결과에 존재하는 경우에 반환 |
| ScanId | JSON 결과에 존재하는 경우에 반환 |
| 버전 | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스캔 결과 가져오기
설명
ID별로 스캔 결과를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 스캔 ID | 문자열 | 해당 사항 없음 | 예 | 스캔의 ID입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
스캔 실행
설명
특정 사이트의 검사를 시작합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 스캔 이름 | 문자열 | 해당 사항 없음 | 아니요 | 스캔 이름입니다. |
| 스캔 엔진 | 문자열 | 해당 사항 없음 | 예 | 검색에 사용할 엔진의 이름입니다. |
| 스캔 템플릿 | 문자열 | 해당 사항 없음 | 예 | 스캔에 사용할 템플릿의 이름입니다. |
| 사이트 이름 | 문자열 | 해당 사항 없음 | 예 | 스캔을 실행할 사이트의 이름입니다. |
| 결과 가져오기 | 체크박스 | 선택 해제 | 아니요 | 검색이 완료되고 결과를 가져올 때까지 기다릴지 여부입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| scan_id | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 상태 | JSON 결과에 존재하는 경우에 반환 |
| scanType | JSON 결과에 존재하는 경우에 반환 |
| 애셋 | JSON 결과에 존재하는 경우에 반환 |
| links | JSON 결과에 존재하는 경우에 반환 |
| href | JSON 결과에 존재하는 경우에 반환 |
| rel | JSON 결과에 존재하는 경우에 반환 |
| vulnerabilities | JSON 결과에 존재하는 경우에 반환 |
| 심각 | JSON 결과에 존재하는 경우에 반환 |
| total 속성 | JSON 결과에 존재하는 경우에 반환 |
| 심각 | JSON 결과에 존재하는 경우에 반환 |
| 보통 | JSON 결과에 존재하는 경우에 반환 |
| startTime | JSON 결과에 존재하는 경우에 반환 |
| 기간 | JSON 결과에 존재하는 경우에 반환 |
| engineName | JSON 결과에 존재하는 경우에 반환 |
| endTime | JSON 결과에 존재하는 경우에 반환 |
| id | JSON 결과에 존재하는 경우에 반환 |
| scanName | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스캔 나열
설명
스캔을 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 일 전 | 문자열 | 해당 사항 없음 | 예 | 스캔을 가져올 이전 일수입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
항목 보강
해당 사항 없음
통계
해당 사항 없음
핑
설명
연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
커넥터
Rapid7 InsightVM - 취약점 커넥터
설명
Rapid7 InsightVM에서 애셋 취약점에 관한 정보를 가져옵니다.
Google SecOps에서 Rapid7 InsightVM - 취약점 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | riskEventType | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 500 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://{ip}:3780 | 예 | Rapid7 InsightVM 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Rapid7 InsightVM 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Rapid7 InsightVM 계정의 비밀번호입니다. |
| 가져올 가장 낮은 심각도 | 문자열 | 보통 | 아니요 | 취약점을 가져오는 데 사용해야 하는 가장 낮은 심각도입니다. 가능한 값: Moderate, Severe, Critical 아무것도 제공하지 않으면 커넥터가 모든 심각도의 취약점을 가져옵니다. |
| 처리할 최대 애셋 수 | 정수 | 5 | 아니요 | 커넥터 반복당 처리해야 하는 애셋 수입니다. 참고: 커넥터에서 제한 시간이 발생하기 쉬우므로 이 매개변수의 값을 늘리지 않는 것이 좋습니다. |
| 그룹화 메커니즘 | 문자열 | 호스트 | 아니요 | Google SecOps 알림을 만드는 데 사용되는 그룹화 메커니즘입니다. 가능한 값: 호스트, 없음 '호스트'가 제공되면 커넥터는 호스트와 관련된 모든 취약점이 포함된 Google SecOps 알림을 하나 만듭니다. 'None' 또는 잘못된 값이 제공되면 커넥터는 호스트별로 별도의 취약점에 대해 새로운 Google SecOps 알림을 생성합니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Rapid7 InsightVM 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.