Tenable.io
Integrationsversion: 9.0
Anwendungsbereiche
Elemente anreichern
Tenable.io-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://cloud.tenable.com/ | Ja | API-Stamm der Tenable Vulnerability Management-Instanz. |
| Geheimer Schlüssel | Passwort | – | Ja | Secret-Schlüssel der Tenable Vulnerability Management-Instanz |
| Zugriffsschlüssel | Passwort | – | Ja | Zugriffsschlüssel der Tenable Vulnerability Management-Instanz |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Tenable Vulnerability Management-Server gültig ist. |
Secret- und Zugriffsschlüssel generieren
Weitere Informationen finden Sie unter API-Schlüssel generieren.
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Tenable Vulnerability Management mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Entitäten anreichern
Beschreibung
Entitäten mit Informationen aus Tenable Vulnerability Management anreichern Unterstützte Einheiten: IP-Adresse, Hostname.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"id": "6fd54284-7f0a-4cd2-afd5-49b847416e94",
"has_agent": false,
"created_at": "2020-07-29T09:36:39.253Z",
"updated_at": "2021-07-06T10:21:33.889Z",
"first_seen": "2020-07-29T09:36:25.336Z",
"last_seen": "2021-07-06T10:21:31.194Z",
"last_scan_target": "172.30.202.208",
"last_authenticated_scan_date": null,
"last_licensed_scan_date": "2021-07-06T10:21:31.194Z",
"last_scan_id": "0dec9fa1-dccf-41d7-acd8-b5c0f2c17618",
"last_schedule_id": "template-6e1a45e4-aee8-3c16-b1d0-d2c911747440267fa5001a36e72d",
"sources": [
{
"name": "NESSUS_SCAN",
"first_seen": "2020-07-29T09:36:25.336Z",
"last_seen": "2021-07-06T10:21:31.194Z"
}
],
"tags": [],
"interfaces": [
{
"name": "UNKNOWN",
"fqdn": [],
"mac_address": [
"00:50:56:a2:04:db"
],
"ipv4": [
"172.30.202.208"
],
"ipv6": []
}
],
"network_id": [
"00000000-0000-0000-0000-000000000000"
],
"ipv4": [
"172.30.202.208"
],
"ipv6": [],
"fqdn": [],
"mac_address": [
"00:50:56:a2:04:db"
],
"netbios_name": [],
"operating_system": [
"Linux Kernel 4.4 on Ubuntu 16.04 (xenial)"
],
"system_type": [
"general-purpose"
],
"tenable_uuid": [],
"hostname": [],
"agent_name": [],
"bios_uuid": [],
"aws_ec2_instance_id": [],
"aws_ec2_instance_ami_id": [],
"aws_owner_id": [],
"aws_availability_zone": [],
"aws_region": [],
"aws_vpc_id": [],
"aws_ec2_instance_group_name": [],
"aws_ec2_instance_state_name": [],
"aws_ec2_instance_type": [],
"aws_subnet_id": [],
"aws_ec2_product_code": [],
"aws_ec2_name": [],
"azure_vm_id": [],
"azure_resource_id": [],
"gcp_project_id": [],
"gcp_zone": [],
"gcp_instance_id": [],
"ssh_fingerprint": [],
"mcafee_epo_guid": [],
"mcafee_epo_agent_guid": [],
"qualys_asset_id": [],
"qualys_host_id": [],
"servicenow_sysid": [],
"installed_software": [
"cpe:/a:openbsd:openssh:7.2"
],
"bigfix_asset_id": [],
"security_protection_level": null,
"security_protections": [],
"exposure_confidence_value": null
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| has_agent | Wenn in JSON verfügbar |
| last_seen | Wenn in JSON verfügbar |
| Tags | Wenn in JSON verfügbar |
| IPv4 | Wenn in JSON verfügbar |
| ipv6 | Wenn in JSON verfügbar |
| netbios_name | Wenn in JSON verfügbar |
| Hostname | Wenn in JSON verfügbar |
| Betriebssystem | Wenn in JSON verfügbar |
| mac_address | Wenn in JSON verfügbar |
| system_type | Wenn in JSON verfügbar |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn keine Daten für eine (is_success=true) verfügbar sind: „Die Aktion konnte die folgenden Einheiten nicht mit Informationen aus Tenable Vulnerability Management anreichern: {entity.identifier}“ . Wenn keine Daten für alle verfügbar sind (is_success=false): Keine der bereitgestellten Einheiten wurde angereichert. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Case Wall-Tabelle |
Titel: {entity.identifier} | Entität |
Plug-in-Familien auflisten
Beschreibung
Listet die verfügbaren Plug-in-Familien aus Tenable Vulnerability Management auf.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Filterlogik | DDL | Gleich DDL Gleich Enthält |
Nein | Geben Sie an, welche Filterlogik angewendet werden soll. |
| Filterwert | String | – | Nein | Geben Sie an, welcher Wert im Filter verwendet werden soll. Wenn „Gleich“ ausgewählt ist, wird versucht, die genaue Übereinstimmung unter den Datensatztypen zu finden. Wenn „Enthält“ ausgewählt ist, wird versucht, Elemente zu finden, die diese Teilzeichenfolge enthalten. Wenn für diesen Parameter nichts angegeben wird, wird der Filter nicht angewendet. |
| Maximale Anzahl zurückzugebender Plugin-Familien | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Plugin-Familien zurückgegeben werden sollen. Standard: 50. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
[
{
"count": 11396,
"name": "AIX Local Security Checks",
"id": 27
},
{
"count": 1986,
"name": "Amazon Linux Local Security Checks",
"id": 28
},
{
"count": 121,
"name": "Backdoors",
"id": 9
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen. Wenn nichts gefunden wurde(is_succees=true): „No plugin families were found based on the provided criteria in Tenable Vulnerability Management“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
| Fall-Repository | Name:Verfügbare Plug-in-Familien Spalten: Name Anzahl |
Allgemein |
Details zu Sicherheitslücken abrufen
Beschreibung
Details zu Sicherheitslücken aus Tenable Vulnerability Management abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Plug‑in-IDs | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Plugin-IDs an, für die Sie Details zurückgeben möchten. |
| Insight erstellen | Kästchen | Nicht aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zu allen verarbeiteten Plugin-IDs erstellt. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"plugin_id": {plugin_id},
"count": 1,
"vuln_count": 27,
"recasted_count": 0,
"accepted_count": 0,
"description": "The remote service accepts connections encrypted using TLS 1.0. TLS 1.0 has a number of cryptographic design flaws. Modern implementations of TLS 1.0 mitigate these problems, but newer versions of TLS like 1.2 and 1.3 are designed against these flaws and should be used whenever possible.\n\nAs of March 31, 2020, Endpoints that aren't enabled for TLS 1.2 and higher will no longer function properly with major web browsers and major vendors.\n\nPCI DSS v3.2 requires that TLS 1.0 be disabled entirely by June 30, 2018, except for POS POI terminals (and the SSL/TLS termination points to which they connect) that can be verified as not being susceptible to any known exploits.",
"synopsis": "The remote service encrypts traffic using an older version of TLS.",
"solution": "Enable support for TLS 1.2 and 1.3, and disable support for TLS 1.0.",
"discovery": {
"seen_first": "2020-07-29T10:29:04.991Z",
"seen_last": "2021-07-06T10:11:11.706Z"
},
"severity": "Medium",
"plugin_details": {
"family": "Service detection",
"modification_date": "2020-03-31T00:00:00Z",
"name": "TLS Version 1.0 Protocol Detection",
"publication_date": "2017-11-22T00:00:00Z",
"type": "remote",
"version": "1.9",
"severity": "Medium"
},
"reference_information": [],
"risk_information": {
"risk_factor": "Medium",
"cvss_vector": "AV:N/AC:H/Au:N/C:C/I:P/A:N",
"cvss_base_score": "6.1",
"cvss_temporal_vector": null,
"cvss_temporal_score": null,
"cvss3_vector": "AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N",
"cvss3_base_score": "6.5",
"cvss3_temporal_vector": null,
"cvss3_temporal_score": null,
"stig_severity": null
},
"see_also": [
"https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-00"
],
"vulnerability_information": {
"vulnerability_publication_date": null,
"exploited_by_malware": null,
"patch_publication_date": null,
"exploit_available": null,
"exploitability_ease": null,
"asset_inventory": "True",
"default_account": null,
"exploited_by_nessus": null,
"in_the_news": null,
"malware": null,
"unsupported_by_vendor": null,
"cpe": null,
"exploit_frameworks": []
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Playbook-Ausführung nicht stoppen: Wenn keine Daten für mindestens eine (is_success = true): „Die Aktion konnte keine Informationen zu den folgenden Sicherheitslücken in Tenable Vulnerability Management abrufen: {plugin id} Wenn keine Daten für alle (is_success = false): „Es wurden keine Informationen zu den angegebenen Sicherheitslücken gefunden.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
| Fall-Repository | Name:Details zur Sicherheitslücke Spalten: ID Schweregrad Zusammenfassung Lösung Familie |
Allgemein |
Richtlinien auflisten
Beschreibung
Verfügbare Richtlinien in Tenable Vulnerability Management auflisten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Filterlogik | DDL | Gleich DDL Gleich Enthält |
Nein | Geben Sie an, welche Filterlogik angewendet werden soll. |
| Filterwert | String | – | Nein | Geben Sie an, welcher Wert im Filter verwendet werden soll. Wenn „Gleich“ ausgewählt ist, wird versucht, eine genaue Übereinstimmung unter den Elementen zu finden. Wenn „Enthält“ ausgewählt ist, wird versucht, Elemente zu finden, die diese Teilzeichenfolge enthalten. Wenn für diesen Parameter nichts angegeben wird, wird der Filter nicht angewendet. |
| Maximale Anzahl zurückzugebender Richtlinien | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Richtlinien zurückgegeben werden sollen. Standard: 50. Max.: 100 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"policies": [
{
"no_target": "false",
"template_uuid": "731a8e52-3ea6-a291-ec0a-d2ff0619c19d7bd788d6be818b65",
"description": null,
"name": "Koko",
"owner": "dana@siemplify.co",
"visibility": "private",
"shared": 0,
"user_permissions": 128,
"last_modification_date": 1625744218,
"creation_date": 1625744218,
"owner_id": 2,
"id": 73
},
{
"no_target": "false",
"template_uuid": "731a8e52-3ea6-a291-ec0a-d2ff0619c19d7bd788d6be818b65",
"description": null,
"name": "Koko_01",
"owner": "dana@siemplify.co",
"visibility": "private",
"shared": 0,
"user_permissions": 128,
"last_modification_date": 1625744230,
"creation_date": 1625744230,
"owner_id": 2,
"id": 74
}
]
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion sollte nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: Wenn keine Ergebnisse gefunden wurden (is_success = true): „Für die angegebenen Kriterien wurden in Tenable Vulnerability Management keine Richtlinien gefunden. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden |
Allgemein |
| Fall-Repository | Name:Verfügbare Richtlinien Spalten: Name Sichtbarkeit Beschreibung |
Allgemein |
Endpunktsicherheitslücken auflisten
Beschreibung
Endpunktsicherheitslücken in Tenable Vulnerability Management auflisten. Unterstützte Einheiten: IP-Adresse, Hostname.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Niedrigster abzurufender Schweregrad | DDL | Info Mögliche Werte: Info, |
Nein | Geben Sie den niedrigsten Schweregrad an, der zum Abrufen von Sicherheitslücken verwendet wird. |
| Maximale Anzahl zurückzugebender Sicherheitslücken | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Sicherheitslücken pro Entität zurückgegeben werden sollen. Standard: 50. Maximum: 200. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"count": 1,
"plugin_family": "Windows",
"plugin_id": 22313,
"plugin_name": "Microsoft Exchange Server Unsupported Version Detection",
"vulnerability_state": "New",
"accepted_count": 0,
"recasted_count": 0,
"counts_by_severity": [
{
"count": 1,
"value": 4
}
],
"severity": Critical
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen. Wenn ein Endpunkt nicht gefunden wurde (is_success = true): „Die Aktion konnte die folgenden Endpunkte in Tenable Vulnerability Management nicht finden: {entity.identifier} Wenn keine Daten für mindestens einen Endpunkt vorhanden sind (is_success = true): „Für die folgenden Endpunkte wurden keine Sicherheitslücken gefunden: {entity.identifier}“ Wenn keine Daten für alle (is_success = true): „Für die angegebenen Endpunkte wurden keine Sicherheitslücken gefunden. Wenn keine Endpunkte gefunden wurden (is_success = false): „Die angegebenen Endpunkte wurden in Tenable Vulnerability Management nicht gefunden.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden |
Allgemein |
| Fall-Repository | Spalten: ID Name Schweregrad Familie |
Entität |
Endpunkte scannen
Beschreibung
Scannen von Endpunkten in Tenable Vulnerability Management starten Unterstützte Einheiten: IP-Adresse, Hostname.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Scanname | String | – | Ja | Geben Sie den Namen des Scans an. |
| Richtlinienname | String | – | Ja | Geben Sie den Namen der Richtlinie an, die für den Scan verwendet werden soll. Hinweis: In der Benutzeroberfläche werden diese Richtlinien unter „Scan-Vorlagen“ angezeigt. |
| Scannername | String | – | Nein | Geben Sie den Namen des Scanners an, der verwendet werden soll. Wenn nichts angegeben ist, wird der Standardscanner aus der Konfiguration verwendet. |
| Bericht senden an | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste der E-Mail-Adressen an, an die der Scanbericht gesendet werden soll. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"info": {
"owner": "dana@siemplify.co",
"name": "ScanWindows5",
"no_target": false,
"folder_id": 4,
"control": true,
"user_permissions": 128,
"schedule_uuid": "template-c3f64881-a8b7-fea6-47c7-97e9b1bd50cb34fff961031c193c",
"edit_allowed": false,
"scanner_name": "scanner-name",
"policy": "Advanced Network Scan",
"shared": null,
"object_id": 58,
"tag_targets": null,
"acls": [
{
"permissions": 0,
"owner": null,
"display_name": null,
"name": null,
"uuid": null,
"id": null,
"type": "default"
},
{
"permissions": 128,
"owner": 1,
"display_name": "dana@siemplify.co",
"name": "dana@siemplify.co",
"uuid": "3385d69a-8829-4ee7-bfc3-0362c74fbc90",
"id": 2,
"type": "user"
}
],
"hostcount": 1,
"uuid": "e87030dd-41e8-4598-8dc0-06e4be3aeda5",
"status": "completed",
"scan_type": "remote",
"targets": "172.30.202.196",
"alt_targets_used": false,
"pci-can-upload": false,
"scan_start": 1625565548,
"timestamp": 1625566340,
"is_archived": false,
"reindexing": false,
"scan_end": 1625566340,
"haskb": true,
"hasaudittrail": false,
"scanner_start": null,
"scanner_end": null
},
"hosts": [
{
"asset_id": 2,
"host_id": 2,
"uuid": "d84f2b72-19b6-4b8d-b6fc-ea4d1de25ea0",
"hostname": "172.30.202.196",
"progress": "100-100/200-200",
"scanprogresscurrent": 100,
"scanprogresstotal": 100,
"numchecksconsidered": 100,
"totalchecksconsidered": 100,
"severitycount": {
"item": [
{
"count": 236,
"severitylevel": 0
},
{
"count": 1,
"severitylevel": 1
},
{
"count": 27,
"severitylevel": 2
},
{
"count": 0,
"severitylevel": 3
},
{
"count": 0,
"severitylevel": 4
}
]
},
"severity": 264,
"score": 2946,
"info": 236,
"low": 1,
"medium": 27,
"high": 0,
"critical": 0,
"host_index": 0
}
],
"vulnerabilities": [
{
"count": 63,
"plugin_id": 10736,
"plugin_name": "DCE Services Enumeration",
"severity": "High",
"plugin_family": "Windows",
"vuln_index": 1
}
],
"comphosts": [],
"compliance": [],
"history": [
{
"history_id": 14167191,
"owner_id": 2,
"creation_date": 1625565548,
"last_modification_date": 1625566340,
"uuid": "e87030dd-41e8-4598-8dc0-06e4be3aeda5",
"type": "remote",
"status": "completed",
"scheduler": 0,
"alt_targets_used": false,
"is_archived": false
}
],
"notes": [],
"remediations": {
"num_cves": 8,
"num_hosts": 1,
"num_remediated_cves": 0,
"num_impacted_hosts": 0,
"remediations": []
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden: Wenn der Scan abgeschlossen ist und ein Endpunkt nicht gefunden wurde (is_success = true): „Die Aktion konnte die folgenden Endpunkte in Tenable Vulnerability Management nicht finden: {entity.identifier} Wenn keine Endpunkte gefunden wurden (is_success = false): „Die angegebenen Endpunkte wurden in Tenable Vulnerability Management nicht gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: „Fehler beim Ausführen der Aktion ‚Endpunkte scannen‘. Grund: {0}''.format(error.Stacktrace) Wenn die Richtlinie nicht gefunden wird: „Fehler beim Ausführen der Aktion ‚Endpunkte scannen‘. Grund: Die Richtlinie „{policy name}“ wurde in Tenable Vulnerability Management nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.“ Wenn der Scanner nicht gefunden wird: „Fehler beim Ausführen der Aktion ‚Endpunkte scannen‘. Grund: Der Scanner „{scan name}“ wurde in Tenable Vulnerability Management nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.“ Bei Zeitüberschreitung: „Fehler beim Ausführen der Aktion ‚Endpunkte scannen‘. Grund: Zeitlimit erreicht. Aktueller Status: {status}.“ Wenn der Status „aborted“ (abgebrochen), „canceled“ (abgebrochen), „paused“ (pausiert) oder „stopped“ (beendet) ist: „Error executing action ‚Scan Endpoints‘“ (Fehler beim Ausführen der Aktion „Scan Endpoints“). Grund: Der Scan war „{status}“. |
Allgemein |
| Fall-Repository | Name: Scan Results Spalten: ID Name Schweregrad Familie Anzahl |
Allgemein |
Scanner auflisten
Beschreibung
Verfügbare Scanner in Tenable Vulnerability Management auflisten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Filterlogik | DDL | Gleich DDL Gleich Enthält |
Nein | Geben Sie an, welche Filterlogik angewendet werden soll. |
| Filterwert | String | – | Nein | Geben Sie an, welcher Wert im Filter verwendet werden soll. Wenn „Gleich“ ausgewählt ist, wird versucht, eine genaue Übereinstimmung unter den Elementen zu finden. Wenn „Enthält“ ausgewählt ist, wird versucht, Elemente zu finden, die diese Teilzeichenfolge enthalten. Wenn für diesen Parameter nichts angegeben wird, wird der Filter nicht angewendet. |
| Maximale Anzahl der zurückzugebenden Scanner | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Scanner zurückgegeben werden sollen. Standard: 50. Max.: 100 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"scanners": [
{
"creation_date": 1627296891,
"distro": "es7-x86-64",
"engine_version": "18.15.0",
"group": false,
"hostname": "scaner",
"id": 200394,
"ip_addresses": [
"172.30.202.207"
],
"key": "6201c49ba806af3cdc8611973b7831145c73ab3d31eb680c5709f3d16eca03e5",
"last_connect": 1627299143,
"last_modification_date": 1627298226,
"linked": 1,
"loaded_plugin_set": "202107260512",
"name": "scanner-name",
"network_name": "Default",
"num_hosts": 0,
"num_scans": 0,
"num_sessions": 0,
"num_tcp_sessions": 0,
"owner": "system",
"owner_id": 1,
"owner_name": "system",
"owner_uuid": "3a15b6cd-9412-4274-9801-2c4848dff142",
"platform": "LINUX",
"pool": false,
"scan_count": 0,
"shared": 1,
"source": "service",
"status": "on",
"timestamp": 1627298226,
"type": "managed",
"ui_build": "271",
"ui_version": "8.15.0",
"user_permissions": 128,
"uuid": "3b984f25-6e4b-4d1f-8ad7-8ac403ab8552",
"remote_uuid": "c5a26121-c728-5986-1077-2eb50f187e31fb69854e12682a88",
"supports_remote_logs": true,
"supports_webapp": false
}
]
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion sollte nicht fehlschlagen oder die Ausführung eines Playbooks beenden: Wenn keine Ergebnisse gefunden wurden (is_success = true): „Für die angegebenen Kriterien wurden in Tenable Vulnerability Management keine Scanner gefunden. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server oder anderen: „Fehler beim Ausführen der Aktion ‚Scanner auflisten‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Fall-Repository | Name:Verfügbare Scanner Spalten: Name Typ Status |
Allgemein |
Connector
Tenable IO – Vulnerabilities Connector
Beschreibung
Sicherheitslücken aus Tenable Vulnerability Management abrufen
Tenable IO – Vulnerabilities Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | event_type | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 300 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://cloud.tenable.com | API-Stammverzeichnis der Tenable Vulnerability Management-Instanz. | |
| Zugriffsschlüssel | Passwort | Ja | Zugriffsschlüssel der Tenable Vulnerability Management-Instanz. | |
| Geheimer Schlüssel | Passwort | Ja | Secret-Schlüssel der Tenable Vulnerability Management-Instanz. | |
| Niedrigster abzurufender Schweregrad | String | Mittel | Nein | Der niedrigste Schweregrad, der zum Abrufen von Sicherheitslücken verwendet wird. Wenn nichts angegeben ist, ruft der Connector alle Sicherheitslücken ab. Mögliche Werte: Info Niedrig Mittel Hoch Kritisch |
| Statusfilter | CSV | offen, wieder geöffnet. | Nein | Statusfilter für den Connector. Es funktioniert mit kommagetrennten Werten. Wenn nichts angegeben wird, werden vom Connector Sicherheitslücken mit den Status „open“ (offen) und „reopened“ (wieder geöffnet) erfasst. Mögliche Werte: „open“, „reopened“, „fixed“ |
| Max. Tage rückwärts | Ganzzahl | 30 | Nein | Anzahl der Tage, ab denen Schwachstellen abgerufen werden sollen. Standard: 30 Tage. Hinweis: Dieser Parameter gibt Sicherheitslücken zurück, die im Zeitraum, der in „Max Days Backwards“ (Maximale Anzahl von Tagen rückwärts) angegeben ist, geöffnet, wieder geöffnet oder behoben wurden. |
| Gruppierungsmechanismus | String | Host | Ja | Gruppierungsmechanismus, der zum Erstellen von Google SecOps-Benachrichtigungen verwendet wird. Mögliche Werte: „Host“, „Vulnerability“, „None“. Wenn „Host“ angegeben ist, erstellt der Connector eine Google SecOps-Benachrichtigung mit allen Sicherheitslücken pro Chunk, die sich auf den Host beziehen. Wenn „Vulnerability“ angegeben ist, erstellt der Connector eine Google SecOps-Benachrichtigung mit Informationen zu allen Hosts, die diese Sicherheitslücke im Bereich eines Chunks aufweisen. Wenn „None“ oder ein ungültiger Wert angegeben wird, erstellt der Connector für jede separate Sicherheitslücke pro Host eine neue Google SecOps-Benachrichtigung. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Tenable Vulnerability Management-Server gültig ist. |
| Proxyserveradresse | String | Nein | Die Adresse des zu verwendenden Proxyservers. | |
| Proxy-Nutzername | String | Nein | Der Proxy-Nutzername für die Authentifizierung. | |
| Proxy-Passwort | Passwort | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten