Rapid7 InsightVM
Versão da integração: 9.0
Configurar a integração do Rapid7 InsightVM no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | N/A | Sim | Raiz da API da instância do Rapid7 InsightVM. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da API InsightVM do Rapid7. |
| Senha | Senha | N/A | Sim | Senha da API Rapid7 InsightVM. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor Rapid7 InsightVM é válido. |
Ações
Enriquecer recurso
Descrição
Enriqueça um recurso.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| usuários | Retorna se ele existe no resultado JSON |
| ID | Retorna se ele existe no resultado JSON |
| nome | Retorna se ele existe no resultado JSON |
| userGroups | Retorna se ele existe no resultado JSON |
| hostName | Retorna se ele existe no resultado JSON |
| source | Retorna se ele existe no resultado JSON |
| addresses | Retorna se ele existe no resultado JSON |
| ip | Retorna se ele existe no resultado JSON |
| mac | Retorna se ele existe no resultado JSON |
| links | Retorna se ele existe no resultado JSON |
| href | Retorna se ele existe no resultado JSON |
| rel | Retorna se ele existe no resultado JSON |
| assessedForPolicies | Retorna se ele existe no resultado JSON |
| produto | Retorna se ele existe no resultado JSON |
| fornecedor | Retorna se ele existe no resultado JSON |
| descrição | Retorna se ele existe no resultado JSON |
| Família | Retorna se ele existe no resultado JSON |
| systemName | Retorna se ele existe no resultado JSON |
| tipo | Retorna se ele existe no resultado JSON |
| riskScore | Retorna se ele existe no resultado JSON |
| rawRiskScore | Retorna se ele existe no resultado JSON |
| moderate | Retorna se ele existe no resultado JSON |
| vulnerabilidades | Retorna se ele existe no resultado JSON |
| ataques | Retorna se ele existe no resultado JSON |
| malwareKits | Retorna se ele existe no resultado JSON |
| grave | Retorna se ele existe no resultado JSON |
| crítica | Retorna se ele existe no resultado JSON |
| total | Retorna se ele existe no resultado JSON |
| configurações | Retorna se ele existe no resultado JSON |
| data | Retorna se ele existe no resultado JSON |
| ScanId | Retorna se ele existe no resultado JSON |
| Versão | Retorna se ele existe no resultado JSON |
Insights
N/A
Receber resultados da verificação
Descrição
Receba os resultados da verificação por ID.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID de verificação | String | N/A | Sim | O ID da verificação. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
Enriquecimento de entidades
N/A
Insights
N/A
Iniciar verificações
Descrição
Iniciar uma verificação em um site específico.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da verificação | String | N/A | Não | O nome da verificação. |
| Mecanismo de verificação | String | N/A | Sim | O nome do mecanismo a ser usado na verificação. |
| Modelo de verificação | String | N/A | Sim | O nome do modelo a ser usado na verificação. |
| Nome do site | String | N/A | Sim | O nome do site em que a verificação será executada. |
| Buscar resultados | Caixa de seleção | Desmarcado | Não | Indica se é necessário aguardar a conclusão da verificação e receber os resultados. |
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| scan_id | N/A | N/A |
Resultado do JSON
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| status | Retorna se ele existe no resultado JSON |
| scanType | Retorna se ele existe no resultado JSON |
| recursos | Retorna se ele existe no resultado JSON |
| links | Retorna se ele existe no resultado JSON |
| href | Retorna se ele existe no resultado JSON |
| rel | Retorna se ele existe no resultado JSON |
| vulnerabilidades | Retorna se ele existe no resultado JSON |
| grave | Retorna se ele existe no resultado JSON |
| total | Retorna se ele existe no resultado JSON |
| crítica | Retorna se ele existe no resultado JSON |
| moderate | Retorna se ele existe no resultado JSON |
| startTime | Retorna se ele existe no resultado JSON |
| duration | Retorna se ele existe no resultado JSON |
| engineName | Retorna se ele existe no resultado JSON |
| endTime | Retorna se ele existe no resultado JSON |
| ID | Retorna se ele existe no resultado JSON |
| scanName | Retorna se ele existe no resultado JSON |
Insights
N/A
Listar verificações
Descrição
Listar verificações.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Dias para trás | String | N/A | Sim | Número de dias anteriores para buscar verificações. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
Enriquecimento de entidades
N/A
Insights
N/A
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Conectores
Rapid7 InsightVM: conector de vulnerabilidades
Descrição
Extrai informações sobre vulnerabilidades de recursos do Rapid7 InsightVM.
Configurar o conector de vulnerabilidades do Rapid7 InsightVM no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | riskEventType | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 500 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{ip}:3780 | Sim | Raiz da API da instância do Rapid7 InsightVM. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Rapid7 InsightVM. |
| Senha | Senha | N/A | Sim | Senha da conta do Rapid7 InsightVM. |
| Menor gravidade a ser buscada | String | Moderado | Não | A menor gravidade que precisa ser usada para buscar vulnerabilidades. Valores possíveis: Moderada, Grave, Crítica. Se nada for fornecido, o conector vai buscar vulnerabilidades com todas as gravidades. |
| Máximo de recursos a serem processados | Número inteiro | 5 | Não | Quantidade de recursos que precisam ser processados por uma iteração do conector. Observação:não é recomendável aumentar o valor desse parâmetro, porque o conector fica mais propenso a tempos limite. |
| Mecanismo de agrupamento | String | Host | Não | Mecanismo de agrupamento usado para criar alertas do Google SecOps. Valores possíveis: "Host" e "None". Se "Host" for fornecido, o conector vai criar um alerta do Google SecOps com todas as vulnerabilidades relacionadas ao host. Se "Nenhum" ou um valor inválido for fornecido, o conector vai criar um novo alerta do Google SecOps para cada vulnerabilidade separada por host. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor Rapid7 InsightVM é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.