Konfigurieren Sie die Eigenschaften Rapid7 Vulnerability-Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Konfigurieren Sie Rapid7 Vulnerability-Integration, nachdem die Anwendung auf Ihrem Now Platform®installiert und aktiviert wurde.

    Vorbereitungen

    Erforderliche Rolle: Der -Administrator [admin] lädt die App herunter und installiert sie. sn_vul.vulnerability_admin oder sn_vul.admin überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.

    Prozedur

    1. Nachdem die Anwendung aktiviert (installiert) wurde, navigieren Sie zu Rapid7 Vulnerability-Integration > Administration > Konfigurationan.
    2. Wählen Sie einen Integrationstyp aus der Liste aus.
      Abbildung : 1. Liste der Integrationstypen
      Dropdown-Menü „Integrationstyp“.
    3. Wählen Sie eine Integrationsinstanz aus.
      Die Standardintegrationsinstanz Rapid7 InsightVM ist standardmäßig ausgewählt. Wenn dies der gewünschte Integrationstyp ist, führen Sie die folgenden Schritte aus. Wenn Sie den Data Warehouse-Integrationstyp Rapid7 konfigurieren möchten, fahren Sie mit Schritt 4 fort.
      1. Füllen Sie bei ausgewählter Registerkarte Integration Setup (Integrationssetup) im angezeigten Formular die folgenden Felder aus:
        Tabelle : 1. Registerkarte „Integrationssetup“ für den Integrationstyp „InsightVM“.
        Feld Beschreibung
        InsightVM-Region Die Server-URL, die Sie von der Website Rapid7 erhalten haben.
        API-Schlüssel Der API-Schlüssel, den Sie von Ihrem Rapid7 Insight-Konto erworben haben.
        Validierungsstatus Schreibgeschützt: Status des Validierungsprozesses für Anmeldeinformationen.
      2. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken.
        Wenn während der Konfiguration eine Fehlermeldung angezeigt wird, geben Sie Ihre Daten erneut ein.
      3. Klicken Sie nach einem erfolgreichen Test auf Speichern.
      4. Klicken Sie auf die Registerkarte Importkonfiguration.

        Füllen Sie die Felder im angezeigten Formular aus.

        Tabelle : 2. Registerkarte „Importkonfiguration“ für InsightVM
        Feld Beschreibung
        CVSS-Mindestpunktzahl Minimale CVSS-Punktzahl für angreifbare Elemente, die während des Imports zum Filtern angreifbarer Elemente verwendet wird.
        Max. CVSS-Punktzahl Maximale CVSS-Punktzahl für angreifbare Elemente, die während des Imports zum Filtern angreifbarer Elemente verwendet wird.
        Standortfilter

        Beschränkt die Daten auf die Sites Rapid7 InsightVM, die aus der Sites-Liste ausgewählt werden. Weitere Informationen finden Sie unter Filtern nach Rapid7 Sites. Sie können mehr als einen Standort auswählen. Der Standardwert (leer) ruft alle Sites ab. Um die Sites-Liste vorab auszufüllen, führen Sie vor dem Festlegen dieses Felds Rapid7 Site Integration – API aus.

        Informationen zur Verwendung von Standortfiltern finden Sie unter Filtern nach Rapid7 Sites.
        CVE-Eintrag automatisch erstellen Die Systemeigenschaft zum Erstellen eines CVE-Eintrags ist standardmäßig aktiv (wahr). CVE-Platzhalter werden automatisch mit der Rapid7-Wissenserfassung erstellt, wenn die CVE-ID nicht vorhanden ist.

        Wenn diese Funktion deaktiviert werden soll, deaktivieren Sie die Eigenschaft [sn_vul_r7.create_cve_for_vulnerabilities] in der Liste „Systemeigenschaften“.
        Gelöste nach Alter erneut öffnen Wenn diese Option ausgewählt ist, werden angreifbare Elemente automatisch erneut geöffnet, wenn die Anzahl der Tage, die gelöst, aber nicht geschlossen wurden, mit dem im Feld Gelöste erneut öffnen nach übereinstimmen.
      5. Klicken Sie auf Speichern.

        Für mehrere Bereitstellungen des Integrationstyps Rapid7 InsightVM :

      6. Öffnen Sie im Feld Integrationsinstanz das Symbol Suchliste der Nachschlageliste, und wählen Sie eine vorhandene Integrationsinstanz aus, oder klicken Sie im Popup-Menü auf Neu.
      7. Geben Sie unter Neueinen Namen für die Integrationsinstanz ein, und klicken Sie auf Absenden.
        Der Integrationstyp wird im Konfigurationsformular Rapid7 angezeigt.
        Hinweis:
        Sie können jede Integrationsinstanz außer der Standardinstanz löschen. Durch das Löschen einer Instanz wird Folgendes gelöscht (außer VIs):
        • Integrationen
        • Instanzparameter
        • Integrationsausführungen
        • Integrationsprozesse
        • Instanzspalte im AE ist leer markiert
      8. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken.
      9. Klicken Sie nach einem erfolgreichen Test auf Speichern.
    4. Erweitern Sie im Feld Integrationstyp die Liste, und klicken Sie auf Data Warehouse.
      1. Wählen Sie die Registerkarte Integrationseinrichtung.

        Füllen Sie die Felder im angezeigten Formular aus.

        Tabelle : 3. Registerkarte „Integrationseinrichtung“ für den Integrationstyp „Data Warehouse“.
        Feld Beschreibung
        JDBC-Anmeldeinformationsname Name Ihrer Data Warehouse-Anmeldeinformationen.
        Anwendername Rapid7 Data Warehouse-Anwendername.
        Passwort Rapid7 Data Warehouse-Passwort.
        Validierungsstatus Schreibgeschützt: Status des Validierungsprozesses für Anmeldeinformationen.
        Validierungsdetail Schreibgeschützt: Nur Data Warehouse. Zeigt zusätzliche Informationen zur Validierungsprüfung an, nachdem Sie mindestens einmal auf Anmeldeinformationen testen geklickt haben. Dies kann beim Debuggen Ihres Setups nützlich sein (z. B. um zu validieren, ob Ihr MID-Server falsch konfiguriert ist oder ob Sie einfach die falschen Anmeldeinformationen haben).
        DNS/IP des Datenbankservers DNS- oder IP-Adresse für Ihr Data Warehouse.
        Datenbankanschluss Für Ihre Data Warehouse-Integration zu verwendender Port.
        Datenbankname Name Ihres Data Warehouse.
        Offset der Datenverzögerung (in Tagen) Der Offsetfaktor für die Datenverzögerung berücksichtigt die Verzögerung zwischen den Echtzeitdaten im Scanner Rapid7 Nexpose und den Daten im Data Warehouse.
        MID-Server Zu verwendender MID-Server. Nur eigenständige MID-Server werden unterstützt. MID-Server in Clustern werden nicht unterstützt.
        Timeout für MID-Server (Min.) Anzahl der Minuten, die gewartet werden soll, bis der MID-Server antwortet, bevor eine Zeitüberschreitung bei der Integrationsausführung auftritt.
      2. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken.
      3. Klicken Sie nach einem erfolgreichen Test auf Speichern.
      4. Klicken Sie auf die Registerkarte Importkonfiguration.

        Füllen Sie die Felder im angezeigten Formular aus.

        Tabelle : 4. Registerkarte „Importkonfiguration“ für Data Warehouse
        Feld Beschreibung
        Vor v12.0: Kontrollkästchen CVE-Eintrag erstellen Wenn diese Option aktiviert ist, werden Platzhalter für CVEs, die noch nicht vorhanden sind, als NVD-Datensätze erstellt und im Drittanbietereintrag für Rapid7 referenziert. Wenn diese Option deaktiviert ist, werden diese CVEs ignoriert.
        CVSS-Mindestpunktzahl Minimale CVSS-Punktzahl für angreifbare Elemente, die während des Imports zum Filtern angreifbarer Elemente verwendet wird.
        Max. CVSS-Punktzahl Maximale CVSS-Punktzahl für angreifbare Elemente, die während des Imports zum Filtern angreifbarer Elemente verwendet wird.
        Standortfilter Begrenzt die importierten Sites Integration-Daten auf die ausgewählten Sites. Sie können mehrere auswählen.
        Hinweis:
        Da die Standardeinstellung darin besteht, Daten von allen Sites zu importieren, müssen Sie den Filter nicht verwenden, wenn Sie alle Sites möchten. Dadurch wird die Anforderung verlangsamt.
        Gelöste nach Alter erneut öffnen Wenn diese Option ausgewählt ist, werden angreifbare Elemente automatisch erneut geöffnet, wenn die Anzahl der Tage, die gelöst, aber nicht geschlossen wurden, mit dem im Feld Gelöste erneut öffnen nach übereinstimmen.
    5. Klicken Sie auf Speichern.
    6. Wahlweise: Wenn Sie in den Datensätzen Rapid7 Vulnerability Integration – API und Rapid7 Vulnerable Item Integration – API-Integrationsdatensätze ein Startdatum festlegen möchten, um während des ersten Imports aus dem Scan Rapid7 Verlaufsdaten abzurufen, führen Sie die folgenden Schritte aus.
      Sie können diese Daten für Veraltete Erkennungen in werden geschlossen Vulnerability Responseverwenden.
      1. Navigieren zu Rapid7 Vulnerability-Integration > Administration > Integrationenan.
        Die Liste Rapid7 Integrationen wird angezeigt.
      2. Klicken Sie auf einen der Integrationsdatensätze, um ihn zu öffnen.

        Klicken Sie oben im Formular auf den Link hier, um den Datensatz zu bearbeiten.

        Das Feld „ Import seit Datum“ in den Rapid7 Integrationen ist standardmäßig leer, mit Ausnahme der Rapid7 Integration für Schwachstellen – API und der Integration von Rapid7 Vulnerable Item – API. Für diese Integrationen werden diese Felder auf 1998-12-31 oder 1999-01-01 festgelegt.

        Um während des ersten Imports Verlaufsdaten aus dem Scan Rapid7 abzurufen, legen Sie ein Startdatum in den entsprechenden Integrationsdatensätzen fest. Dieser Prozess funktioniert für jede Rapid7 -Integration mit den folgenden Ausnahmen:
        • Die Rapid7 Exploit- und Malware-Kit-Integrationen zeigen das Feld „ Importieren seit “ nicht an, da sie keine Delta-Updates durchführen und dieses Feld daher nicht verwenden.
        • Die Asset-Listenintegration Rapid7 ignoriert das Feld, da es alle Daten abrufen soll.
        • Für die erste Ausführung der Rapid7 InsightVM Comprehensive Vulnerable Item Integration – API, wenn das Modul Veraltete angreifbare Elemente automatisch schließen aktiviert ist und das Feld Importieren seit leer gelassen wird.

          Wenn Sie die Funktion zum automatischen Schließen aktivieren, ist eine erfolgreiche Ausführung von Rapid7 Comprehensive Vulnerable Item Integration oder Rapid7 Comprehensive Vulnerable Item Integration – API erforderlich. Diese Integrationen sind standardmäßig deaktiviert.

          Wenn Sie die Rapid7 InsightVM Comprehensive Vulnerable Item Integration – API aktivieren und das Feld Import seit auf der Konfigurationsseite der Integration leer lassen, wird der Wert im Feld Tage her des Formulars Veraltete angreifbare Elemente automatisch schließen auch für Import seit verwendet Datum der ersten Integrationsausführung. Der Standardwert für Veraltete angreifbare Elemente automatisch schließen lautet (90 Tage).

          Wenn beispielsweise das Feld vor Tagen im Formular „Veraltete angreifbare Elemente automatisch schließen“ 90 lautet und das Feld Importieren seit auf der Rapid7 Comprehensive Vulnerable Item Integration – API-Konfigurationsseite leer ist, importiert die erste Integrationsausführung die Daten für die letzten 90 Tage.

          Diese Beziehung zwischen den Feldern Importieren seit und Tage her gilt nur für die erste Integrationsausführung. Danach hat das Ändern des Felds „Vor“ im Formular „Veraltete angreifbare Elemente automatisch schließen“ keine Auswirkung auf das Feld „ Importieren seit “ auf der Konfigurationsseite „ Rapid7 Comprehensive Vulnerable Item Integration – API“. Das Feld wird in die Startzeit der ersten Ausführung geändert, sodass die nachfolgenden Integrationsausführungen nur die Delta-Informationen importieren

          Das Feld Importieren seit kann bearbeitet werden, und Sie können für jede der Integrationen beliebige Werte eingeben.

    7. Navigieren zu Alle > sn_sec_int_impl.list > Rapid7 InsightVMan.
      1. Der Parameter der Integrationsinstanz import_starttime_buffer_comprehensive legt eine Pufferzeit von 24 Stunden vor der im Feld Importieren seit fest, sodass die Assets, die aus dieser Pufferzeit gescannt werden, während der Ausführung von Rapid7 Comprehensive Vulnerable Item Integration – API- Integration abgerufen werden.
        Sie können diese Pufferzeit entsprechend Ihren Anforderungen ändern.
      2. Wahlweise: Legen Sie den Parameter „close_stale_detections“ auf „ wahr “ fest, um die veralteten Erkennungen zu schließen, die nicht mehr über die Rapid7-API für die Assets kommen, die über die Rapid7-API über die Rapid7 Comprehensive Vulnerable Item Integration – APIgescannt und abgerufen werden.

      Sie haben die Einrichtungs-, Installations- und Konfigurationsschritte für Rapid7 Vulnerability-Integrationerfolgreich abgeschlossen. Sie können die importierten Daten jetzt überprüfen und verifizieren.

    Nächste Maßnahme

    Die Scanner Rapid7 und Qualys sind in der Anwendung Vulnerability Response standardmäßig deaktiviert. Wenn Sie versuchen, einen erneuten Scan aus den angreifbaren Elementen oder Korrekturaufgaben durchzuführen, die diese Anwendungen als Quelle haben, ist die Schaltfläche Erneut scannen nicht verfügbar.

    Um diese Scanner als Benutzer mit der Rolle sn_vul.vulnerability_admin zu aktivieren:

    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scanneran.
    2. Suchen Sie das Scannerprodukt, das Sie aktivieren möchten, und klicken Sie auf den Datensatz, um ihn zu öffnen.
    3. Aktivieren Sie die Checkbox Aktiv.
    4. Klicken Sie auf Aktualisieren.

      Das von Ihnen aktivierte Produkt wird nach dem nächsten Import im Feld Quelle in den Datensätzen für angreifbare Elemente und Korrekturaufgaben angezeigt, und Erneut scannen ist als UI-Aktion verfügbar.

    Wenn Ihre Umgebung domänengetrennte Importe erfordert, lesen Sie unter Erstellen Sie domänengetrennte Importe für eine Integrationnach.

    Informationen zum Erstellen oder Verfeinern Ihrer Suchregeln vor dem Import finden Sie unter Erstellt eine Vulnerability Response-CI-Suchregel.