Rapid7 InsightVM
Versione integrazione: 9.0
Configurare l'integrazione di Rapid7 InsightVM in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Radice API | Stringa | N/D | Sì | Radice API dell'istanza Rapid7 InsightVM. |
| Nome utente | Stringa | N/D | Sì | Nome utente API Rapid7 InsightVM. |
| Password | Password | N/D | Sì | Password API Rapid7 InsightVM. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Rapid7 InsightVM sia valido. |
Azioni
Arricchisci asset
Descrizione
Arricchisci un asset.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"10.0.0.100": {
"users": [{
"id": 500,
"name": "Administrator"
},{
"id": 503,
"name": "DefaultAccount"
},{
"id": 501,
"name": "Guest"
}],
"userGroups": [{
"id": 7,
"name": "ANONYMOUS LOGON"
},{
"id": 579,
"name": "Access Control Assistance Operators"
},{
"id": 544,
"name": "Administrators"
}],
"hostNames": [{
"source": "netbios",
"name": "WS-HUNULULU"
},{
"source": "dns",
"name": "ws-chaimsky.siemplify.local"
}],
"addresses": [{
"ip": "1.1.1.1",
"mac": "48:4D:7E:B8:3B:A4"
}],
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/software",
"rel": "Software"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/files",
"rel": "Files"
}],
"assessedForPolicies": false,
"ip": "1.1.1.1",
"hostName": "ws-chaimsky.siemplify.local",
"osFingerprint": {
"product": "Windows Server 2016",
"vendor": "Microsoft",
"description": "Microsoft Windows Server 2016",
"family": "Windows",
"systemName": "Microsoft Windows",
"type": "General",
"id": 8
},
"riskScore": 8270.22559,
"mac": "48:4D:7E:B8:3B:A4",
"rawRiskScore": 8270.22559,
"vulnerabilities": {
"moderate": 6,
"exploits": 1,
"malwareKits": 0,
"severe": 12,
"critical": 0,
"total": 18
},
"services": [{
"protocol": "tcp",
"name": "DCE Endpoint Resolution",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/135/databases",
"rel": "Databases"
}],
"port": 135
},{
"name": "CIFS Name Service",
"protocol": "udp",
"port": 137,
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/udp/137/databases",
"rel": "Databases"
}],
"configurations": [{
"name": "advertised-name-1",
"value": "SIEMPLIFY (Domain Name)"
},{
"name": "advertised-name-2",
"value": "WS-CHAIMSKY (File Server Service)"
},{
"name": "advertised-name-3",
"value": "WS-CHAIMSKY (Computer Name)"
}]}, {
"product": "Windows 10 Enterprise N 2016 LTSB 6.3",
"protocol": "tcp",
"name": "CIFS",
"links": [{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139",
"rel": "self"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/configurations",
"rel": "Configurations"
},{
"href": "https://1.1.1.1:3780/api/3/assets/1/services/tcp/139/databases",
"rel": "Databases"
}],
"port": 139,
"configurations": [{
"name": "domain",
"value": "SIEMPLIFY"
},{
"name": "password-mode",
"value": "encrypt"
},{
"name": "security-mode",
"value": "user"
}]}],
"assessedForVulnerabilities": true,
"os": "Microsoft Windows Server 2016",
"id": 1,
"history": [{
"date": "2019-03-25T04:25:46.333Z",
"scanId": 1,
"version": 1,
"type": "SCAN"
},{
"date": "2019-03-25T06:58:49.450Z",
"scanId": 2,
"version": 2,
"type": "SCAN"
},{
"date": "2019-03-26T03:58:44.859Z",
"scanId": 5,
"version": 3,
"type": "SCAN"
}]
}
}
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| utenti | Restituisce se esiste nel risultato JSON |
| id | Restituisce se esiste nel risultato JSON |
| nome | Restituisce se esiste nel risultato JSON |
| userGroups | Restituisce se esiste nel risultato JSON |
| hostName | Restituisce se esiste nel risultato JSON |
| origine | Restituisce se esiste nel risultato JSON |
| addresses | Restituisce se esiste nel risultato JSON |
| ip | Restituisce se esiste nel risultato JSON |
| mac | Restituisce se esiste nel risultato JSON |
| link | Restituisce se esiste nel risultato JSON |
| href | Restituisce se esiste nel risultato JSON |
| rel | Restituisce se esiste nel risultato JSON |
| assessedForPolicies | Restituisce se esiste nel risultato JSON |
| prodotto | Restituisce se esiste nel risultato JSON |
| vendor | Restituisce se esiste nel risultato JSON |
| descrizione | Restituisce se esiste nel risultato JSON |
| Famiglia | Restituisce se esiste nel risultato JSON |
| systemName | Restituisce se esiste nel risultato JSON |
| tipo | Restituisce se esiste nel risultato JSON |
| riskScore | Restituisce se esiste nel risultato JSON |
| rawRiskScore | Restituisce se esiste nel risultato JSON |
| moderata | Restituisce se esiste nel risultato JSON |
| vulnerabilities | Restituisce se esiste nel risultato JSON |
| exploit | Restituisce se esiste nel risultato JSON |
| malwareKits | Restituisce se esiste nel risultato JSON |
| grave | Restituisce se esiste nel risultato JSON |
| critico | Restituisce se esiste nel risultato JSON |
| totale | Restituisce se esiste nel risultato JSON |
| configurations | Restituisce se esiste nel risultato JSON |
| data | Restituisce se esiste nel risultato JSON |
| ScanId | Restituisce se esiste nel risultato JSON |
| Versione | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Recuperare i risultati della scansione
Descrizione
Ottieni i risultati della scansione per ID.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID scansione | Stringa | N/D | Sì | L'ID della scansione. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
{
"STATUS": {
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Avvia scansioni
Descrizione
Avvia una scansione per un sito specifico.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome scansione | Stringa | N/D | No | Il nome della scansione. |
| Scan Engine | Stringa | N/D | Sì | Il nome del motore da utilizzare nella scansione. |
| Modello di scansione | Stringa | N/D | Sì | Il nome del modello da utilizzare nella scansione. |
| Nome del sito | Stringa | N/D | Sì | Il nome del sito su cui eseguire la scansione. |
| Recupera risultati | Casella di controllo | Deselezionata | No | Se attendere il completamento della scansione e ottenere i risultati o meno. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| scan_id | N/D | N/D |
Risultato JSON
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| stato | Restituisce se esiste nel risultato JSON |
| scanType | Restituisce se esiste nel risultato JSON |
| asset | Restituisce se esiste nel risultato JSON |
| link | Restituisce se esiste nel risultato JSON |
| href | Restituisce se esiste nel risultato JSON |
| rel | Restituisce se esiste nel risultato JSON |
| vulnerabilities | Restituisce se esiste nel risultato JSON |
| grave | Restituisce se esiste nel risultato JSON |
| totale | Restituisce se esiste nel risultato JSON |
| critico | Restituisce se esiste nel risultato JSON |
| moderata | Restituisce se esiste nel risultato JSON |
| startTime | Restituisce se esiste nel risultato JSON |
| duration | Restituisce se esiste nel risultato JSON |
| engineName | Restituisce se esiste nel risultato JSON |
| endTime | Restituisce se esiste nel risultato JSON |
| id | Restituisce se esiste nel risultato JSON |
| scanName | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Elenco scansioni
Descrizione
Elenca scansioni.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Giorni indietro | Stringa | N/D | Sì | Numero di giorni a ritroso da cui recuperare le scansioni. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"status": "finished",
"scanType": "Manual",
"assets": 1,
"links": [{
"href": "https://1.1.1.1:3780/api/3/scans/8",
"rel": "self"
}],
"vulnerabilities": {
"severe": 12,
"total": 18,
"critical": 0,
"moderate": 6
},
"startTime": "2019-04-11T07:44:00.095Z",
"duration": "PT7M58.298S",
"engineName": "Local scan engine",
"endTime": "2019-04-11T07:51:58.393Z",
"id": 8,
"scanName": "siemplify_20190411-104353"
}
]
Arricchimento delle entità
N/D
Approfondimenti
N/D
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Connettori
Rapid7 InsightVM - Vulnerabilities Connector
Descrizione
Estrai informazioni sulle vulnerabilità degli asset da Rapid7 InsightVM.
Configurare il connettore Rapid7 InsightVM - Vulnerabilities in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | riskEventType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 500 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{ip}:3780 | Sì | Radice API dell'istanza Rapid7 InsightVM. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Rapid7 InsightVM. |
| Password | Password | N/D | Sì | Password dell'account Rapid7 InsightVM. |
| Gravità minima da recuperare | Stringa | Moderata | No | La gravità minima da utilizzare per recuperare le vulnerabilità. Valori possibili: Moderato, Grave, Critico. Se non viene fornito alcun valore, il connettore recupera le vulnerabilità con tutte le gravità. |
| Numero massimo di asset da elaborare | Numero intero | 5 | No | Quantità di asset da elaborare per un'iterazione del connettore. Nota:non è consigliabile aumentare il valore di questo parametro, perché il connettore sarà più soggetto a timeout. |
| Meccanismo di raggruppamento | Stringa | Host | No | Meccanismo di raggruppamento utilizzato per creare avvisi Google SecOps. Valori possibili: Host, None. Se viene fornito "Host", il connettore crea un avviso Google SecOps contenente tutte le vulnerabilità correlate all'host. Se viene fornito il valore "Nessuno" o un valore non valido, il connettore crea un nuovo avviso Google SecOps per ogni vulnerabilità separata per host. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita viene utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Rapid7 InsightVM sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.