Rapid7 InsightIDR ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、Rapid7 InsightIDR からの JSON 形式と SYSLOG 形式の両方のログを処理します。フィールドを抽出し、UDM に正規化し、CVSS スコアやエクスプロイト情報など、脆弱性データの特定のロジックを実行します。JSON 形式と syslog 形式の両方を個別に処理します。また、認証の試行とセッション イベントを適切な UDM イベントタイプにマッピングします。
始める前に
- Google SecOps インスタンスがあることを確認します。
- InsightIDR 管理コンソールに特権アクセス権があることを確認します。
Rapid7 InsightIDR で API キーを構成する
- InsightIDR Command Platform にログインします。
- [管理] をクリックします。
- [API キー] をクリックします。
- [組織の鍵] タブに移動します。
- [New Organization Key](新しい組織キー)をクリックします。
- 組織を選択し、鍵の名前を指定します(例: Google SecOps)。
- 鍵を生成します。
生成されたキーを表示する新しいウィンドウからキーをコピーします。
Rapid7 InsightIDR のログを取り込むように Google SecOps でフィードを構成する
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: InsightIDR ログ)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Rapid7 Insight] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- 認証 HTTP ヘッダー:
X-Api-Key:<value>形式で以前に生成されたトークン(X-Api-Key:AAAABBBBCCCC111122223333 など)。 - API エンドポイント: [vulnerabilities] または [assets] を入力します。
- API ホスト名: Rapid7 API エンドポイントの FQDN(完全修飾ドメイン名)。
[region].api.insight.rapid7.com形式です。 - アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- 認証 HTTP ヘッダー:
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
added |
vulnerabilities.first_found |
added フィールドはタイムスタンプに変換され、vulnerabilities.first_found にマッピングされます。 |
Authentication |
security_result.detection_fields.value |
元のログの Authentication の値は、security_result.detection_fields 内の value フィールドにマッピングされます。対応する key は「Authentication」に設定されています。 |
critical_vulnerabilities |
asset.attribute.labels.value |
critical_vulnerabilities の値は、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「重大な脆弱性」に設定されています。 |
cves |
vulnerabilities.cve_id |
cves の値は vulnerabilities.cve_id にマッピングされます。 |
cvss_v2_access_complexity |
asset.attribute.labels.value |
cvss_v2_access_complexity の値は、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「Access Complexity(Ac)」に設定されています。 |
cvss_v2_availability_impact |
asset.attribute.labels.value |
cvss_v2_availability_impact の値は、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「可用性への影響(A)」に設定されます。 |
cvss_v2_confidentiality_impact |
asset.attribute.labels.value |
cvss_v2_confidentiality_impact の値は、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「機密性への影響(C)」に設定されます。 |
cvss_v2_integrity_impact |
asset.attribute.labels.value |
cvss_v2_integrity_impact の値は、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「整合性への影響(I)」に設定されます。 |
cvss_v2_score |
vulnerabilities.cvss_base_score |
cvss_v2_score の値は文字列に変換され、浮動小数点数に変換されて vulnerabilities.cvss_base_score にマッピングされます。 |
cvss_v2_vector |
vulnerabilities.cvss_vector |
cvss_v2_vector の値は vulnerabilities.cvss_vector にマッピングされます。 |
cvss_v3_availability_impact |
asset.attribute.labels.value |
cvss_v3_availability_impact の値は、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「可用性への影響(A)」に設定されます。 |
cvss_v3_score |
vulnerabilities.cvss_base_score |
cvss_v3_score の値は文字列に変換され、浮動小数点数に変換されて vulnerabilities.cvss_base_score にマッピングされます。 |
cvss_v3_vector |
vulnerabilities.cvss_vector |
cvss_v3_vector の値は vulnerabilities.cvss_vector にマッピングされます。 |
description |
vulnerabilities.description |
未加工ログの description の値は vulnerabilities.description にマッピングされます。 |
exploits |
asset.attribute.labels.value |
exploits の値は文字列に変換され、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は、exploits オブジェクト内に「rank」フィールドがあるかどうかに応じて、「Number of Exploits」または「Rank of Exploit」のいずれかになります。 |
host_name |
asset.hostname |
host_name の値は asset.hostname にマッピングされます。host_name が空で、ip と mac の両方が空の場合、代わりに id の値が使用されます。 |
id |
asset.product_object_id |
id の値は asset.product_object_id にマッピングされます。host_name が空で、ip と mac の両方が空の場合、asset.hostname には id の値が使用されます。 |
ip |
asset.ip、entity.asset.ip |
ip の値は asset.ip と entity.asset.ip の両方にマッピングされます。 |
last_assessed_for_vulnerabilities |
vulnerabilities.scan_end_time |
last_assessed_for_vulnerabilities フィールドはタイムスタンプに変換され、vulnerabilities.scan_end_time にマッピングされます。 |
last_scan_end |
vulnerabilities.last_found |
last_scan_end フィールドはタイムスタンプに変換され、vulnerabilities.last_found にマッピングされます。 |
last_scan_start |
vulnerabilities.first_found |
last_scan_start フィールドはタイムスタンプに変換され、vulnerabilities.first_found にマッピングされます。 |
links |
vulnerabilities.cve_id、vulnerabilities.vendor_knowledge_base_article_id |
links 内の id フィールドは vulnerabilities.cve_id にマッピングされ、links 内の href フィールドは vulnerabilities.vendor_knowledge_base_article_id にマッピングされます。 |
mac |
asset.mac、entity.asset.mac |
mac の値は小文字に変換され、asset.mac と entity.asset.mac の両方にマッピングされます。 |
MessageSourceAddress |
principal.ip、principal.asset.ip |
MessageSourceAddress から抽出された IP アドレスは、principal.ip と principal.asset.ip にマッピングされます。 |
Method |
network.http.method |
Method の値は network.http.method にマッピングされます。 |
moderate_vulnerabilities |
asset.attribute.labels.value |
moderate_vulnerabilities の値は文字列に変換され、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「Moderate Vulnerabilities(中程度の脆弱性)」に設定されています。 |
os_architecture |
asset.hardware.cpu_platform |
os_architecture の値は asset.hardware.cpu_platform にマッピングされます。 |
os_description |
asset.platform_software.platform_version |
os_description の値は asset.platform_software.platform_version にマッピングされます。 |
os_family |
asset.platform_software.platform |
os_family の値は大文字に変換され、asset.platform_software.platform にマッピングされます。「MAC OS X」、「IOS」、「WINDOWS」、「MAC」、「LINUX」に対して特別な処理が行われます。いずれにも一致しない場合は、「UNKNOWN_PLATFORM」に設定されます。 |
Port |
principal.port |
Port の値は principal.port にマッピングされ、整数に変換されます。 |
Principal |
principal.user.email_addresses |
Principal がメールアドレスの場合、principal.user.email_addresses にマッピングされます。 |
product_event_type |
metadata.product_event_type |
product_event_type の値は metadata.product_event_type にマッピングされます。 |
Protocol |
network.application_protocol |
Protocol が「HTTP」または「HTTPS」の場合、network.application_protocol にマッピングされます。 |
published |
vulnerabilities.last_found |
published フィールドはタイムスタンプに変換され、vulnerabilities.last_found にマッピングされます。 |
Referer |
network.http.referral_url |
Referer の値は network.http.referral_url にマッピングされます。 |
risk_score |
asset.attribute.labels.value |
risk_score の値は文字列に変換され、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「リスクスコア」に設定されています。 |
security_result_summary |
security_result.summary |
security_result_summary の値は security_result.summary にマッピングされます。「プリンシパルの合計セッション数: security_result.detection_fields 内のキー「セッション数」を持つ別のラベルにマッピングされます。 |
Session |
network.session_id |
Session の値は network.session_id にマッピングされます。 |
severe_vulnerabilities |
asset.attribute.labels.value |
severe_vulnerabilities の値は文字列に変換され、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「重大な脆弱性」に設定されています。 |
severity |
vulnerabilities.severity、security_result.severity |
severity の値は大文字に変換されます。「HIGH」、「LOW」、「CRITICAL」、「MEDIUM」の場合は、vulnerabilities.severity にマッピングされます。syslog メッセージの場合、「Info」の場合は security_result.severity の「INFORMATIONAL」にマッピングされます。「Error」の場合は、security_result.severity の「ERROR」にマッピングされます。 |
severity_score |
asset.attribute.labels.value |
severity_score の値は文字列に変換され、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「重大度スコア」に設定されます。 |
SiloID |
security_result.detection_fields.value |
SiloID の値は、security_result.detection_fields 内の value フィールドにマッピングされます。対応する key は「Silo ID」に設定されます。 |
SourceModuleName |
target.resource.name |
引用符が削除された SourceModuleName の値は target.resource.name にマッピングされます。 |
SourceModuleType |
observer.application |
引用符と閉じ括弧を削除した SourceModuleType の値は observer.application にマッピングされます。 |
Status |
network.http.response_code |
Status の値は network.http.response_code にマッピングされ、整数に変換されます。 |
tags |
asset.attribute.labels |
tags 配列内の各要素について、type フィールドは key にマッピングされ、name フィールドは asset.attribute.labels 内の value にマッピングされます。 |
Thread |
security_result.detection_fields.value |
Thread の値は、security_result.detection_fields 内の value フィールドにマッピングされます。対応する key は「Thread」に設定されています。 |
timestamp |
event.timestamp、metadata.collected_timestamp、read_only_udm.metadata.event_timestamp |
timestamp フィールドはタイムスタンプに変換され、JSON ログの場合は event.timestamp、エンティティ イベントの場合は metadata.collected_timestamp にマッピングされます。Syslog メッセージの場合、read_only_udm.metadata.event_timestamp にマッピングされます。 |
title |
vulnerabilities.description |
title の値は vulnerabilities.description にマッピングされます。 |
total_vulnerabilities |
asset.attribute.labels.value |
total_vulnerabilities の値は文字列に変換され、asset.attribute.labels 内の value フィールドにマッピングされます。対応する key は「Total Vulnerabilities」に設定されています。 |
URI |
security_result.detection_fields.value |
URI の値は、security_result.detection_fields 内の value フィールドにマッピングされます。対応する key は「URI」に設定されます。 |
User-Agent |
network.http.user_agent、network.http.parsed_user_agent |
User-Agent の値は network.http.user_agent にマッピングされます。また、network.http.parsed_user_agent にマッピングされ、解析されたユーザー エージェント オブジェクトに変換されます。「Rapid7 Insight」にハードコードされました。「Rapid7 Insight」にハードコードされました。JSON ログの場合は「ASSET」にハードコードされています。最初は「GENERIC_EVENT」に設定され、他のフィールドに基づいて「PROCESS_UNCATEGORIZED」、「STATUS_UPDATE」、「USER_LOGIN」に変更される可能性があります。「USER_LOGIN」イベントの場合は「AUTHTYPE_UNSPECIFIED」に設定します。product_event_type に基づいて「ALLOW」または「BLOCK」に設定します。syslog メッセージの場合は「RAPID7_INSIGHT」にハードコードされています。 |
username |
principal.user.user_display_name |
username の値は、引用符が削除され、メールアドレスとして解析される可能性のある値が principal.user.user_display_name にマッピングされます。抽出されたメールアドレス(存在する場合)は principal.user.email_addresses にマッピングされます。 |
変更点
2024-05-13
- 新しい形式の SYSLOG+KV ログのサポートを追加しました。
2023-05-05
- 強化
- 「tags.type」を「asset.attribute.labels.key」にマッピングしました。
- 「tags.name」を「asset.attribute.labels.value」にマッピングしました。
2022-12-15
- 強化
- パーサーを強化して、Syslog 形式のアプリケーション ログを解析できるようにしました。
- タイプが「Session created」、「Session destroyed」、「Authentication attempt succeeded」、「Authentication attempt failed」のログに Grok パターンを追加しました。