Rapid7 InsightVM
整合版本:9.0
在 Google Security Operations 中設定 Rapid7 InsightVM 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根目錄 | 字串 | 不適用 | 是 | Rapid7 InsightVM 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Rapid7 InsightVM API 使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Rapid7 InsightVM API 密碼。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用,系統會驗證連線至 Rapid7 InsightVM 伺服器的 SSL 憑證是否有效。 |
動作
充實資產
說明
豐富素材資源。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 使用者 | 如果 JSON 結果中存在該值,則傳回該值 |
| id | 如果 JSON 結果中存在該值,則傳回該值 |
| 名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| userGroups | 如果 JSON 結果中存在該值,則傳回該值 |
| hostName | 如果 JSON 結果中存在該值,則傳回該值 |
| 來源 | 如果 JSON 結果中存在該值,則傳回該值 |
| addresses | 如果 JSON 結果中存在該值,則傳回該值 |
| ip | 如果 JSON 結果中存在該值,則傳回該值 |
| mac | 如果 JSON 結果中存在該值,則傳回該值 |
| links | 如果 JSON 結果中存在該值,則傳回該值 |
| href | 如果 JSON 結果中存在該值,則傳回該值 |
| rel | 如果 JSON 結果中存在該值,則傳回該值 |
| assessedForPolicies | 如果 JSON 結果中存在該值,則傳回該值 |
| 產品 | 如果 JSON 結果中存在該值,則傳回該值 |
| vendor | 如果 JSON 結果中存在該值,則傳回該值 |
| 說明 | 如果 JSON 結果中存在該值,則傳回該值 |
| 系列 | 如果 JSON 結果中存在該值,則傳回該值 |
| systemName | 如果 JSON 結果中存在該值,則傳回該值 |
| 類型 | 如果 JSON 結果中存在該值,則傳回該值 |
| riskScore | 如果 JSON 結果中存在該值,則傳回該值 |
| rawRiskScore | 如果 JSON 結果中存在該值,則傳回該值 |
| 中等 | 如果 JSON 結果中存在該值,則傳回該值 |
| vulnerabilities | 如果 JSON 結果中存在該值,則傳回該值 |
| 漏洞 | 如果 JSON 結果中存在該值,則傳回該值 |
| malwareKits | 如果 JSON 結果中存在該值,則傳回該值 |
| 嚴重 | 如果 JSON 結果中存在該值,則傳回該值 |
| 重大 | 如果 JSON 結果中存在該值,則傳回該值 |
| 總計 | 如果 JSON 結果中存在該值,則傳回該值 |
| configurations | 如果 JSON 結果中存在該值,則傳回該值 |
| 日期 | 如果 JSON 結果中存在該值,則傳回該值 |
| ScanId | 如果 JSON 結果中存在該值,則傳回該值 |
| 版本 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
取得掃描結果
說明
依 ID 取得掃描結果。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 掃描 ID | 字串 | 不適用 | 是 | 掃描的 ID。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
實體擴充
不適用
深入分析
不適用
啟動掃描
說明
開始掃描特定網站。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 掃描作業名稱 | 字串 | 不適用 | 否 | 掃描名稱。 |
| 掃描引擎 | 字串 | 不適用 | 是 | 掃描時要使用的引擎名稱。 |
| 掃描範本 | 字串 | 不適用 | 是 | 掃描時要使用的範本名稱。 |
| 網站名稱 | 字串 | 不適用 | 是 | 要執行掃描的網站名稱。 |
| 擷取結果 | 核取方塊 | 已取消勾選 | 否 | 是否要等待掃描完成並取得結果。 |
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| scan_id | 不適用 | 不適用 |
JSON 結果
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 狀態 | 如果 JSON 結果中存在該值,則傳回該值 |
| scanType | 如果 JSON 結果中存在該值,則傳回該值 |
| 資產 | 如果 JSON 結果中存在該值,則傳回該值 |
| links | 如果 JSON 結果中存在該值,則傳回該值 |
| href | 如果 JSON 結果中存在該值,則傳回該值 |
| rel | 如果 JSON 結果中存在該值,則傳回該值 |
| vulnerabilities | 如果 JSON 結果中存在該值,則傳回該值 |
| 嚴重 | 如果 JSON 結果中存在該值,則傳回該值 |
| 總計 | 如果 JSON 結果中存在該值,則傳回該值 |
| 重大 | 如果 JSON 結果中存在該值,則傳回該值 |
| 中等 | 如果 JSON 結果中存在該值,則傳回該值 |
| startTime | 如果 JSON 結果中存在該值,則傳回該值 |
| 持續時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| engineName | 如果 JSON 結果中存在該值,則傳回該值 |
| endTime | 如果 JSON 結果中存在該值,則傳回該值 |
| id | 如果 JSON 結果中存在該值,則傳回該值 |
| scanName | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
列出掃描
說明
列出掃描項目。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 倒轉天數 | 字串 | 不適用 | 是 | 要從幾天前開始擷取掃描結果。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
實體擴充
不適用
深入分析
不適用
乒乓
說明
測試連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
連接器
Rapid7 InsightVM - Vulnerabilities 連接器
說明
從 Rapid7 InsightVM 提取資產安全漏洞資訊。
在 Google SecOps 中設定 Rapid7 InsightVM - Vulnerabilities Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | riskEventType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 500 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://{ip}:3780 | 是 | Rapid7 InsightVM 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Rapid7 InsightVM 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Rapid7 InsightVM 帳戶的密碼。 |
| 要擷取的最低嚴重程度 | 字串 | 中 | 否 | 用於擷取安全漏洞的最低嚴重程度。 可能的值:中度、嚴重、重大。 如果未提供任何內容,連接器會擷取所有嚴重程度的安全性弱點。 |
| 要處理的資產數量上限 | 整數 | 5 | 否 | 每個連接器疊代需要處理的資產數量。 注意:不建議增加這個參數的值,因為連接器會更容易發生逾時問題。 |
| 分組機制 | 字串 | 主機 | 否 | 用於建立 Google SecOps 快訊的分組機制。 可能的值:Host、None。 如果提供「主機」,連接器會建立一則 Google SecOps 快訊,其中包含與主機相關的所有安全漏洞。 如果提供「無」或無效值,連線器會為每個主機的個別安全漏洞建立新的 Google SecOps 快訊。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將許可清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,系統會驗證連至 Rapid7 InsightVM 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。