收集 Rapid7 InsightIDR 記錄
支援的國家/地區:
Google SecOps
SIEM
這個剖析器會處理 Rapid7 InsightIDR 的 JSON 和 SYSLOG 格式記錄。這項服務會擷取欄位、將欄位正規化為 UDM,並針對安全漏洞資料執行特定邏輯,包括 CVSS 分數和安全漏洞資訊,分別處理 JSON 和系統記錄格式。此外,也會將驗證嘗試和工作階段事件對應至適當的 UDM 事件類型。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- InsightIDR 管理主控台的特殊存取權。
在 Rapid7 InsightIDR 中設定 API 金鑰
- 登入 InsightIDR Command Platform。
- 按一下「管理」。
- 點選「API 金鑰」。
- 前往「機構金鑰」分頁。
- 按一下「New Organization Key」。
- 選取機構並提供金鑰名稱 (例如「Google SecOps」)。
- 產生金鑰。
在顯示產生金鑰的新視窗中複製金鑰。
設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如「Rapid7 InsightIDR Logs」。
- 選取「第三方 API」做為「來源類型」。
- 選取「Rapid7 Insight」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 驗證 HTTP 標頭:先前以
X-Api-Key:<value>格式產生的權杖 (例如 X-Api-Key:AAAABBBBCCCC111122223333)。 - API 端點:輸入「vulnerabilities」或「assets」。
- API 主機名稱:Rapid7 API 端點的完整網域名稱 (FQDN),格式為
[region].api.insight.rapid7.com。
- 驗證 HTTP 標頭:先前以
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
added |
vulnerabilities.first_found |
added 欄位會轉換為時間戳記,並對應至 vulnerabilities.first_found。 |
Authentication |
security_result.detection_fields.value |
原始記錄中的 Authentication 值會對應至 security_result.detection_fields 內的 value 欄位。對應的 key 設為「驗證」。 |
critical_vulnerabilities |
asset.attribute.labels.value |
critical_vulnerabilities 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「重大安全漏洞」。 |
cves |
vulnerabilities.cve_id |
cves 的值會對應至 vulnerabilities.cve_id。 |
cvss_v2_access_complexity |
asset.attribute.labels.value |
cvss_v2_access_complexity 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 設為「存取複雜度(Ac)」。 |
cvss_v2_availability_impact |
asset.attribute.labels.value |
cvss_v2_availability_impact 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 設為「空房狀況影響 (A)」。 |
cvss_v2_confidentiality_impact |
asset.attribute.labels.value |
cvss_v2_confidentiality_impact 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「機密性影響 (C)」。 |
cvss_v2_integrity_impact |
asset.attribute.labels.value |
cvss_v2_integrity_impact 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「完整性影響 (I)」。 |
cvss_v2_score |
vulnerabilities.cvss_base_score |
cvss_v2_score 的值會先轉換為字串,再轉換為浮點數,然後對應至 vulnerabilities.cvss_base_score。 |
cvss_v2_vector |
vulnerabilities.cvss_vector |
cvss_v2_vector 的值會對應至 vulnerabilities.cvss_vector。 |
cvss_v3_availability_impact |
asset.attribute.labels.value |
cvss_v3_availability_impact 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 設為「空房狀況影響 (A)」。 |
cvss_v3_score |
vulnerabilities.cvss_base_score |
cvss_v3_score 的值會先轉換為字串,再轉換為浮點數,然後對應至 vulnerabilities.cvss_base_score。 |
cvss_v3_vector |
vulnerabilities.cvss_vector |
cvss_v3_vector 的值會對應至 vulnerabilities.cvss_vector。 |
description |
vulnerabilities.description |
原始記錄中的 description 值會對應至 vulnerabilities.description。 |
exploits |
asset.attribute.labels.value |
exploits 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。如果 exploits 物件中存在「rank」欄位,對應的 key 則為「Number of Exploits」或「Rank of Exploit」。 |
host_name |
asset.hostname |
host_name 的值會對應至 asset.hostname。如果 host_name 為空,且 ip 和 mac 皆為空,系統會改用 id 的值。 |
id |
asset.product_object_id |
id 的值會對應至 asset.product_object_id。如果 host_name 為空,且 ip 和 mac 皆為空,系統會使用 id 的值做為 asset.hostname 的值。 |
ip |
asset.ip、entity.asset.ip |
ip 的值會同時對應至 asset.ip 和 entity.asset.ip。 |
last_assessed_for_vulnerabilities |
vulnerabilities.scan_end_time |
last_assessed_for_vulnerabilities 欄位會轉換為時間戳記,並對應至 vulnerabilities.scan_end_time。 |
last_scan_end |
vulnerabilities.last_found |
last_scan_end 欄位會轉換為時間戳記,並對應至 vulnerabilities.last_found。 |
last_scan_start |
vulnerabilities.first_found |
last_scan_start 欄位會轉換為時間戳記,並對應至 vulnerabilities.first_found。 |
links |
vulnerabilities.cve_id、vulnerabilities.vendor_knowledge_base_article_id |
links 內的 id 欄位會對應至 vulnerabilities.cve_id,links 內的 href 欄位則會對應至 vulnerabilities.vendor_knowledge_base_article_id。 |
mac |
asset.mac、entity.asset.mac |
mac 的值會轉換為小寫,並對應至 asset.mac 和 entity.asset.mac。 |
MessageSourceAddress |
principal.ip、principal.asset.ip |
從 MessageSourceAddress 擷取的 IP 位址會對應至 principal.ip 和 principal.asset.ip。 |
Method |
network.http.method |
Method 的值會對應至 network.http.method。 |
moderate_vulnerabilities |
asset.attribute.labels.value |
moderate_vulnerabilities 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「中度安全漏洞」。 |
os_architecture |
asset.hardware.cpu_platform |
os_architecture 的值會對應至 asset.hardware.cpu_platform。 |
os_description |
asset.platform_software.platform_version |
os_description 的值會對應至 asset.platform_software.platform_version。 |
os_family |
asset.platform_software.platform |
os_family 的值會轉換為大寫,並對應至 asset.platform_software.platform。系統會特別處理「MAC OS X」、「IOS」、「WINDOWS」、「MAC」和「LINUX」。如果與上述任一平台都不相符,系統會將其設為「UNKNOWN_PLATFORM」。 |
Port |
principal.port |
Port 的值會對應至 principal.port,並轉換為整數。 |
Principal |
principal.user.email_addresses |
如果 Principal 是電子郵件地址,則會對應至 principal.user.email_addresses。 |
product_event_type |
metadata.product_event_type |
product_event_type 的值會對應至 metadata.product_event_type。 |
Protocol |
network.application_protocol |
如果 Protocol 是「HTTP」或「HTTPS」,則會對應至 network.application_protocol。 |
published |
vulnerabilities.last_found |
published 欄位會轉換為時間戳記,並對應至 vulnerabilities.last_found。 |
Referer |
network.http.referral_url |
Referer 的值會對應至 network.http.referral_url。 |
risk_score |
asset.attribute.labels.value |
risk_score 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「風險評分」。 |
security_result_summary |
security_result.summary |
security_result_summary 的值會對應至 security_result.summary。如果符合「Total sessions for principal: security_result.detection_fields 中對應至以「Session Count」為鍵的個別標籤。 |
Session |
network.session_id |
Session 的值會對應至 network.session_id。 |
severe_vulnerabilities |
asset.attribute.labels.value |
severe_vulnerabilities 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 設為「嚴重安全漏洞」。 |
severity |
vulnerabilities.severity、security_result.severity |
severity 的值會轉換為大寫。如果為「HIGH」、「LOW」、「CRITICAL」或「MEDIUM」,則會對應至 vulnerabilities.severity。如果是 Syslog 訊息,如果為「Info」,則會對應至 security_result.severity 中的「INFORMATIONAL」。如果是「Error」,則會對應至 security_result.severity 中的「ERROR」。 |
severity_score |
asset.attribute.labels.value |
severity_score 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「嚴重程度分數」。 |
SiloID |
security_result.detection_fields.value |
SiloID 的值會對應至 security_result.detection_fields 中的 value 欄位。對應的 key 會設為「筒倉 ID」。 |
SourceModuleName |
target.resource.name |
移除引號的 SourceModuleName 值會對應至 target.resource.name。 |
SourceModuleType |
observer.application |
系統會將移除引號和右方括號的 SourceModuleType 值對應至 observer.application。 |
Status |
network.http.response_code |
Status 的值會對應至 network.http.response_code,並轉換為整數。 |
tags |
asset.attribute.labels |
在 asset.attribute.labels 中,tags 陣列中的每個元素都會將 type 欄位對應至 key,並將 name 欄位對應至 value。 |
Thread |
security_result.detection_fields.value |
Thread 的值會對應至 security_result.detection_fields 中的 value 欄位。對應的 key 會設為「Thread」。 |
timestamp |
event.timestamp、metadata.collected_timestamp、read_only_udm.metadata.event_timestamp |
timestamp 欄位會轉換為時間戳記,並對應至 JSON 記錄的 event.timestamp 和實體事件的 metadata.collected_timestamp。如果是系統記錄檔訊息,則會對應至 read_only_udm.metadata.event_timestamp。 |
title |
vulnerabilities.description |
title 的值會對應至 vulnerabilities.description。 |
total_vulnerabilities |
asset.attribute.labels.value |
total_vulnerabilities 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「總弱點」。 |
URI |
security_result.detection_fields.value |
URI 的值會對應至 security_result.detection_fields 中的 value 欄位。對應的 key 設為「URI」。 |
User-Agent |
network.http.user_agent、network.http.parsed_user_agent |
User-Agent 的值會對應至 network.http.user_agent。這也會對應至 network.http.parsed_user_agent,並轉換為已剖析的使用者代理程式物件。已硬式編碼為「Rapid7 Insight」。已硬式編碼為「Rapid7 Insight」。JSON 記錄會硬式編碼為「ASSET」。一開始設為「GENERIC_EVENT」,然後根據其他欄位,可能變更為「PROCESS_UNCATEGORIZED」、「STATUS_UPDATE」或「USER_LOGIN」。如果是「USER_LOGIN」事件,請設為「AUTHTYPE_UNSPECIFIED」。根據 product_event_type 設為「ALLOW」或「BLOCK」。系統記錄檔訊息會硬式編碼為「RAPID7_INSIGHT」。 |
username |
principal.user.user_display_name |
username 的值 (移除引號,並可能剖析電子郵件地址) 會對應至 principal.user.user_display_name。如果存在,系統會將擷取的電子郵件地址對應至 principal.user.email_addresses。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。