收集 Rapid7 InsightIDR 記錄

支援的國家/地區:

這個剖析器會處理 Rapid7 InsightIDR 的 JSON 和 SYSLOG 格式記錄。這項服務會擷取欄位、將欄位正規化為 UDM,並針對安全漏洞資料執行特定邏輯,包括 CVSS 分數和安全漏洞資訊,分別處理 JSON 和系統記錄格式。此外,也會將驗證嘗試和工作階段事件對應至適當的 UDM 事件類型。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • InsightIDR 管理主控台的特殊存取權。

在 Rapid7 InsightIDR 中設定 API 金鑰

  1. 登入 InsightIDR Command Platform。
  2. 按一下「管理」
  3. 點選「API 金鑰」
  4. 前往「機構金鑰」分頁。
  5. 按一下「New Organization Key」
  6. 選取機構並提供金鑰名稱 (例如「Google SecOps」)。
  7. 產生金鑰。
  8. 在顯示產生金鑰的新視窗中複製金鑰。

設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱,例如「Rapid7 InsightIDR Logs」
  5. 選取「第三方 API」做為「來源類型」
  6. 選取「Rapid7 Insight」做為「記錄類型」
  7. 點選「下一步」
  8. 指定下列輸入參數的值:
    • 驗證 HTTP 標頭:先前以 X-Api-Key:<value> 格式產生的權杖 (例如 X-Api-Key:AAAABBBBCCCC111122223333)。
    • API 端點:輸入「vulnerabilities」或「assets」。
    • API 主機名稱:Rapid7 API 端點的完整網域名稱 (FQDN),格式為 [region].api.insight.rapid7.com
  9. 點選「下一步」
  10. 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」

UDM 對應表

記錄欄位 UDM 對應 邏輯
added vulnerabilities.first_found added 欄位會轉換為時間戳記,並對應至 vulnerabilities.first_found
Authentication security_result.detection_fields.value 原始記錄中的 Authentication 值會對應至 security_result.detection_fields 內的 value 欄位。對應的 key 設為「驗證」。
critical_vulnerabilities asset.attribute.labels.value critical_vulnerabilities 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「重大安全漏洞」。
cves vulnerabilities.cve_id cves 的值會對應至 vulnerabilities.cve_id
cvss_v2_access_complexity asset.attribute.labels.value cvss_v2_access_complexity 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 設為「存取複雜度(Ac)」。
cvss_v2_availability_impact asset.attribute.labels.value cvss_v2_availability_impact 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 設為「空房狀況影響 (A)」。
cvss_v2_confidentiality_impact asset.attribute.labels.value cvss_v2_confidentiality_impact 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「機密性影響 (C)」。
cvss_v2_integrity_impact asset.attribute.labels.value cvss_v2_integrity_impact 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「完整性影響 (I)」。
cvss_v2_score vulnerabilities.cvss_base_score cvss_v2_score 的值會先轉換為字串,再轉換為浮點數,然後對應至 vulnerabilities.cvss_base_score
cvss_v2_vector vulnerabilities.cvss_vector cvss_v2_vector 的值會對應至 vulnerabilities.cvss_vector
cvss_v3_availability_impact asset.attribute.labels.value cvss_v3_availability_impact 的值會對應至 asset.attribute.labels 中的 value 欄位。對應的 key 設為「空房狀況影響 (A)」。
cvss_v3_score vulnerabilities.cvss_base_score cvss_v3_score 的值會先轉換為字串,再轉換為浮點數,然後對應至 vulnerabilities.cvss_base_score
cvss_v3_vector vulnerabilities.cvss_vector cvss_v3_vector 的值會對應至 vulnerabilities.cvss_vector
description vulnerabilities.description 原始記錄中的 description 值會對應至 vulnerabilities.description
exploits asset.attribute.labels.value exploits 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。如果 exploits 物件中存在「rank」欄位,對應的 key 則為「Number of Exploits」或「Rank of Exploit」。
host_name asset.hostname host_name 的值會對應至 asset.hostname。如果 host_name 為空,且 ipmac 皆為空,系統會改用 id 的值。
id asset.product_object_id id 的值會對應至 asset.product_object_id。如果 host_name 為空,且 ipmac 皆為空,系統會使用 id 的值做為 asset.hostname 的值。
ip asset.ipentity.asset.ip ip 的值會同時對應至 asset.ipentity.asset.ip
last_assessed_for_vulnerabilities vulnerabilities.scan_end_time last_assessed_for_vulnerabilities 欄位會轉換為時間戳記,並對應至 vulnerabilities.scan_end_time
last_scan_end vulnerabilities.last_found last_scan_end 欄位會轉換為時間戳記,並對應至 vulnerabilities.last_found
last_scan_start vulnerabilities.first_found last_scan_start 欄位會轉換為時間戳記,並對應至 vulnerabilities.first_found
links vulnerabilities.cve_idvulnerabilities.vendor_knowledge_base_article_id links 內的 id 欄位會對應至 vulnerabilities.cve_idlinks 內的 href 欄位則會對應至 vulnerabilities.vendor_knowledge_base_article_id
mac asset.macentity.asset.mac mac 的值會轉換為小寫,並對應至 asset.macentity.asset.mac
MessageSourceAddress principal.ipprincipal.asset.ip MessageSourceAddress 擷取的 IP 位址會對應至 principal.ipprincipal.asset.ip
Method network.http.method Method 的值會對應至 network.http.method
moderate_vulnerabilities asset.attribute.labels.value moderate_vulnerabilities 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「中度安全漏洞」。
os_architecture asset.hardware.cpu_platform os_architecture 的值會對應至 asset.hardware.cpu_platform
os_description asset.platform_software.platform_version os_description 的值會對應至 asset.platform_software.platform_version
os_family asset.platform_software.platform os_family 的值會轉換為大寫,並對應至 asset.platform_software.platform。系統會特別處理「MAC OS X」、「IOS」、「WINDOWS」、「MAC」和「LINUX」。如果與上述任一平台都不相符,系統會將其設為「UNKNOWN_PLATFORM」。
Port principal.port Port 的值會對應至 principal.port,並轉換為整數。
Principal principal.user.email_addresses 如果 Principal 是電子郵件地址,則會對應至 principal.user.email_addresses
product_event_type metadata.product_event_type product_event_type 的值會對應至 metadata.product_event_type
Protocol network.application_protocol 如果 Protocol 是「HTTP」或「HTTPS」,則會對應至 network.application_protocol
published vulnerabilities.last_found published 欄位會轉換為時間戳記,並對應至 vulnerabilities.last_found
Referer network.http.referral_url Referer 的值會對應至 network.http.referral_url
risk_score asset.attribute.labels.value risk_score 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「風險評分」。
security_result_summary security_result.summary security_result_summary 的值會對應至 security_result.summary。如果符合「Total sessions for principal: 」模式,系統會擷取該數字,並在 security_result.detection_fields 中對應至以「Session Count」為鍵的個別標籤。
Session network.session_id Session 的值會對應至 network.session_id
severe_vulnerabilities asset.attribute.labels.value severe_vulnerabilities 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 設為「嚴重安全漏洞」。
severity vulnerabilities.severitysecurity_result.severity severity 的值會轉換為大寫。如果為「HIGH」、「LOW」、「CRITICAL」或「MEDIUM」,則會對應至 vulnerabilities.severity。如果是 Syslog 訊息,如果為「Info」,則會對應至 security_result.severity 中的「INFORMATIONAL」。如果是「Error」,則會對應至 security_result.severity 中的「ERROR」。
severity_score asset.attribute.labels.value severity_score 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「嚴重程度分數」。
SiloID security_result.detection_fields.value SiloID 的值會對應至 security_result.detection_fields 中的 value 欄位。對應的 key 會設為「筒倉 ID」。
SourceModuleName target.resource.name 移除引號的 SourceModuleName 值會對應至 target.resource.name
SourceModuleType observer.application 系統會將移除引號和右方括號的 SourceModuleType 值對應至 observer.application
Status network.http.response_code Status 的值會對應至 network.http.response_code,並轉換為整數。
tags asset.attribute.labels asset.attribute.labels 中,tags 陣列中的每個元素都會將 type 欄位對應至 key,並將 name 欄位對應至 value
Thread security_result.detection_fields.value Thread 的值會對應至 security_result.detection_fields 中的 value 欄位。對應的 key 會設為「Thread」。
timestamp event.timestampmetadata.collected_timestampread_only_udm.metadata.event_timestamp timestamp 欄位會轉換為時間戳記,並對應至 JSON 記錄的 event.timestamp 和實體事件的 metadata.collected_timestamp。如果是系統記錄檔訊息,則會對應至 read_only_udm.metadata.event_timestamp
title vulnerabilities.description title 的值會對應至 vulnerabilities.description
total_vulnerabilities asset.attribute.labels.value total_vulnerabilities 的值會轉換為字串,並對應至 asset.attribute.labels 中的 value 欄位。對應的 key 會設為「總弱點」。
URI security_result.detection_fields.value URI 的值會對應至 security_result.detection_fields 中的 value 欄位。對應的 key 設為「URI」。
User-Agent network.http.user_agentnetwork.http.parsed_user_agent User-Agent 的值會對應至 network.http.user_agent。這也會對應至 network.http.parsed_user_agent,並轉換為已剖析的使用者代理程式物件。已硬式編碼為「Rapid7 Insight」。已硬式編碼為「Rapid7 Insight」。JSON 記錄會硬式編碼為「ASSET」。一開始設為「GENERIC_EVENT」,然後根據其他欄位,可能變更為「PROCESS_UNCATEGORIZED」、「STATUS_UPDATE」或「USER_LOGIN」。如果是「USER_LOGIN」事件,請設為「AUTHTYPE_UNSPECIFIED」。根據 product_event_type 設為「ALLOW」或「BLOCK」。系統記錄檔訊息會硬式編碼為「RAPID7_INSIGHT」。
username principal.user.user_display_name username 的值 (移除引號,並可能剖析電子郵件地址) 會對應至 principal.user.user_display_name。如果存在,系統會將擷取的電子郵件地址對應至 principal.user.email_addresses

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。