Rapid7 InsightVM
集成版本:9.0
在 Google Security Operations 中配置 Rapid7 InsightVM 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | 不适用 | 是 | Rapid7 InsightVM 实例的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Rapid7 InsightVM API 用户名。 |
| 密码 | 密码 | 不适用 | 是 | Rapid7 InsightVM API 密码。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,则验证与 Rapid7 InsightVM 服务器的连接所用的 SSL 证书是否有效。 |
操作
丰富资产
说明
丰富资产。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 用户 | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| userGroups | 返回 JSON 结果中是否存在相应值 |
| hostName | 返回 JSON 结果中是否存在相应值 |
| 来源 | 返回 JSON 结果中是否存在相应值 |
| addresses | 返回 JSON 结果中是否存在相应值 |
| ip | 返回 JSON 结果中是否存在相应值 |
| mac | 返回 JSON 结果中是否存在相应值 |
| links | 返回 JSON 结果中是否存在相应值 |
| href | 返回 JSON 结果中是否存在相应值 |
| rel | 返回 JSON 结果中是否存在相应值 |
| assessedForPolicies | 返回 JSON 结果中是否存在相应值 |
| 产品 | 返回 JSON 结果中是否存在相应值 |
| vendor | 返回 JSON 结果中是否存在相应值 |
| 说明 | 返回 JSON 结果中是否存在相应值 |
| 家庭 | 返回 JSON 结果中是否存在相应值 |
| systemName | 返回 JSON 结果中是否存在相应值 |
| 类型 | 返回 JSON 结果中是否存在相应值 |
| riskScore | 返回 JSON 结果中是否存在相应值 |
| rawRiskScore | 返回 JSON 结果中是否存在相应值 |
| moderate | 返回 JSON 结果中是否存在相应值 |
| 漏洞 | 返回 JSON 结果中是否存在相应值 |
| 漏洞利用 | 返回 JSON 结果中是否存在相应值 |
| malwareKits | 返回 JSON 结果中是否存在相应值 |
| 严重 | 返回 JSON 结果中是否存在相应值 |
| 严重 | 返回 JSON 结果中是否存在相应值 |
| 总计 | 返回 JSON 结果中是否存在相应值 |
| configurations | 返回 JSON 结果中是否存在相应值 |
| 日期 | 返回 JSON 结果中是否存在相应值 |
| ScanId | 返回 JSON 结果中是否存在相应值 |
| 版本 | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
获取扫描结果
说明
按 ID 获取扫描结果。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 扫描 ID | 字符串 | 不适用 | 是 | 扫描的 ID。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
实体扩充
不适用
数据分析
不适用
启动扫描
说明
开始扫描特定网站。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 扫描名称 | 字符串 | 不适用 | 否 | 扫描名称。 |
| 扫描引擎 | 字符串 | 不适用 | 是 | 扫描中要使用的引擎的名称。 |
| 扫描模板 | 字符串 | 不适用 | 是 | 要在扫描中使用的模板的名称。 |
| 网站名称 | 字符串 | 不适用 | 是 | 要运行扫描的网站的名称。 |
| 提取结果 | 复选框 | 尚未核查 | 否 | 是否等待扫描完成并获取其结果。 |
使用场景
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| scan_id | 不适用 | 不适用 |
JSON 结果
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 状态 | 返回 JSON 结果中是否存在相应值 |
| scanType | 返回 JSON 结果中是否存在相应值 |
| 资产 | 返回 JSON 结果中是否存在相应值 |
| links | 返回 JSON 结果中是否存在相应值 |
| href | 返回 JSON 结果中是否存在相应值 |
| rel | 返回 JSON 结果中是否存在相应值 |
| 漏洞 | 返回 JSON 结果中是否存在相应值 |
| 严重 | 返回 JSON 结果中是否存在相应值 |
| 总计 | 返回 JSON 结果中是否存在相应值 |
| 严重 | 返回 JSON 结果中是否存在相应值 |
| moderate | 返回 JSON 结果中是否存在相应值 |
| startTime | 返回 JSON 结果中是否存在相应值 |
| 时长 | 返回 JSON 结果中是否存在相应值 |
| engineName | 返回 JSON 结果中是否存在相应值 |
| endTime | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| scanName | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
列出扫描
说明
列出扫描。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 向后天数 | 字符串 | 不适用 | 是 | 向后追溯的天数,用于提取扫描结果。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
实体扩充
不适用
数据分析
不适用
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
连接器
Rapid7 InsightVM - Vulnerabilities 连接器
说明
从 Rapid7 InsightVM 中提取有关资产漏洞的信息。
在 Google SecOps 中配置 Rapid7 InsightVM - 漏洞连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | riskEventType | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 500 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{ip}:3780 | 是 | Rapid7 InsightVM 实例的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Rapid7 InsightVM 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | Rapid7 InsightVM 账号的密码。 |
| 要提取的最低严重程度 | 字符串 | 中 | 否 | 用于提取漏洞的最低严重程度。 可能的值:中度、严重、危急。 如果未提供任何内容,连接器会提取所有严重程度的漏洞。 |
| 要处理的素材资源数量上限 | 整数 | 5 | 否 | 每次连接器迭代需要处理的资源数量。 注意:不建议增加此参数的值,因为连接器会更容易发生超时。 |
| 分组机制 | 字符串 | 主机 | 否 | 用于创建 Google SecOps 提醒的分组机制。 可能的值:Host、None。 如果提供了“主机”,连接器会创建一个 Google SecOps 提醒,其中包含与该主机相关的所有漏洞。 如果提供“无”或无效值,连接器会针对每个主机的每项单独的漏洞创建新的 Google SecOps 提醒。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Rapid7 InsightVM 服务器的连接所用的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。