Rapid7 InsightVM
Versão da integração: 9.0
Configure a integração do Rapid7 InsightVM no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | N/A | Sim | Raiz da API da instância do Rapid7 InsightVM. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da API Rapid7 InsightVM. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da API Rapid7 InsightVM. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor do Rapid7 InsightVM é válido. |
Ações
Enriqueça o recurso
Descrição
Enriqueça um recurso.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| utilizadores | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
| nome | Devolve se existir no resultado JSON |
| userGroups | Devolve se existir no resultado JSON |
| hostName | Devolve se existir no resultado JSON |
| fonte | Devolve se existir no resultado JSON |
| moradas | Devolve se existir no resultado JSON |
| ip | Devolve se existir no resultado JSON |
| mac | Devolve se existir no resultado JSON |
| links | Devolve se existir no resultado JSON |
| href | Devolve se existir no resultado JSON |
| rel | Devolve se existir no resultado JSON |
| assessedForPolicies | Devolve se existir no resultado JSON |
| produto | Devolve se existir no resultado JSON |
| fornecedor | Devolve se existir no resultado JSON |
| descrição | Devolve se existir no resultado JSON |
| Família | Devolve se existir no resultado JSON |
| systemName | Devolve se existir no resultado JSON |
| escrever | Devolve se existir no resultado JSON |
| riskScore | Devolve se existir no resultado JSON |
| rawRiskScore | Devolve se existir no resultado JSON |
| moderada | Devolve se existir no resultado JSON |
| vulnerabilidades | Devolve se existir no resultado JSON |
| explorações | Devolve se existir no resultado JSON |
| malwareKits | Devolve se existir no resultado JSON |
| grave | Devolve se existir no resultado JSON |
| crítico | Devolve se existir no resultado JSON |
| total | Devolve se existir no resultado JSON |
| configurações | Devolve se existir no resultado JSON |
| data | Devolve se existir no resultado JSON |
| ScanId | Devolve se existir no resultado JSON |
| Versão | Devolve se existir no resultado JSON |
Estatísticas
N/A
Obtenha resultados da análise
Descrição
Obtenha resultados da análise por ID.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da análise | String | N/A | Sim | O ID da análise. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
Enriquecimento de entidades
N/A
Estatísticas
N/A
Inicie análises
Descrição
Inicie uma análise para um site específico.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da análise | String | N/A | Não | O nome da análise. |
| Motor de análise | String | N/A | Sim | O nome do motor a usar na análise. |
| Modelo de análise | String | N/A | Sim | O nome do modelo a usar na análise. |
| Nome do site | String | N/A | Sim | O nome do site no qual executar a análise. |
| Obter resultados | Caixa de verificação | Desmarcado | Não | Se deve aguardar a conclusão da análise e obter os respetivos resultados ou não. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| scan_id | N/A | N/A |
Resultado JSON
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| estado | Devolve se existir no resultado JSON |
| scanType | Devolve se existir no resultado JSON |
| recursos | Devolve se existir no resultado JSON |
| links | Devolve se existir no resultado JSON |
| href | Devolve se existir no resultado JSON |
| rel | Devolve se existir no resultado JSON |
| vulnerabilidades | Devolve se existir no resultado JSON |
| grave | Devolve se existir no resultado JSON |
| total | Devolve se existir no resultado JSON |
| crítico | Devolve se existir no resultado JSON |
| moderada | Devolve se existir no resultado JSON |
| startTime | Devolve se existir no resultado JSON |
| duração | Devolve se existir no resultado JSON |
| engineName | Devolve se existir no resultado JSON |
| endTime | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
| scanName | Devolve se existir no resultado JSON |
Estatísticas
N/A
Apresentar análises
Descrição
Listar exames.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Dias para trás | String | N/A | Sim | Número de dias anteriores a partir dos quais obter as análises. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
Enriquecimento de entidades
N/A
Estatísticas
N/A
Tchim-tchim
Descrição
Testar conetividade.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Conetores
Rapid7 InsightVM - Vulnerabilities Connector
Descrição
Extraia informações sobre vulnerabilidades de recursos do Rapid7 InsightVM.
Configure o conetor de vulnerabilidades do Rapid7 InsightVM no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | riskEventType | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 500 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{ip}:3780 | Sim | Raiz da API da instância do Rapid7 InsightVM. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Rapid7 InsightVM. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do Rapid7 InsightVM. |
| Gravidade mais baixa a obter | String | Moderada | Não | A gravidade mais baixa que tem de ser usada para obter vulnerabilidades. Valores possíveis: Moderate, Severe, Critical. Se não for fornecido nada, o conector obtém vulnerabilidades com todas as gravidades. |
| Máximo de recursos a processar | Número inteiro | 5 | Não | Quantidade de recursos que têm de ser processados por uma iteração do conector. Nota: não é recomendado aumentar o valor deste parâmetro, uma vez que o conector fica mais propenso a limites de tempo. |
| Mecanismo de agrupamento | String | Anfitrião | Não | Mecanismo de agrupamento usado para criar alertas do Google SecOps. Valores possíveis: Host, None. Se for fornecido o "Anfitrião", o conector cria um alerta do Google SecOps que contém todas as vulnerabilidades relacionadas com o anfitrião. Se for fornecido o valor "Nenhum" ou um valor inválido, o conector cria um novo alerta do Google SecOps para cada vulnerabilidade separada por anfitrião. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor Rapid7 InsightVM é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.