Konfigurieren Sie die Eigenschaften Rapid7 Vulnerability Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 8 Minuten Lesedauer

    • Konfigurieren Sie Rapid7 Vulnerability Integration, nachdem die Anwendung auf Ihrem Now Platform®installiert und aktiviert wurde.

    Vorbereitungen

    Erforderliche Rolle: Der Administrator [admin] lädt die App herunter und installiert sie. sn_vul.vulnerability_admin oder sn_vul.admin überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.

    Prozedur

    1. Nachdem die Anwendung aktiviert (installiert) wurde, navigieren Sie zu Rapid7 Vulnerability Integration > Administration > Konfiguration.
    2. Wählen Sie einen Integrationstyp aus der Liste aus.
      Abbildung : 1. Liste der Integrationstypen
      Dropdown-Menü „Integrationstyp“.
    3. Wählen Sie eine Integrationsinstanz aus.
      Die Standardintegrationsinstanz Rapid7 InsightVM ist standardmäßig ausgewählt. Wenn dies der gewünschte Integrationstyp ist, führen Sie die folgenden Schritte aus. Wenn Sie den Data Warehouse-Integrationstyp Rapid7 konfigurieren möchten, fahren Sie mit Schritt 4 fort.
      1. Wählen Sie im angezeigten Formular die Registerkarte Integration Setup (Integrationseinrichtung) aus und füllen Sie die folgenden Felder aus:
        Tabelle : 1. Registerkarte „Integrationseinrichtung“ für den Integrationstyp „InsightVM“.
        Feld Beschreibung
        InsightVM-Region Die Server-URL, die Sie von der Website Rapid7 abgerufen haben.
        API-Schlüssel Der API-Schlüssel, den Sie von Ihrem Rapid7 Insight-Konto erhalten haben.
        Validierungsstatus Nur Lesen: Status des Validierungsprozesses für Anmeldeinformationen.
      2. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken.
        Wenn während der Konfiguration eine Fehlermeldung angezeigt wird, geben Sie Ihre Daten erneut ein.
      3. Klicken Sie nach einem erfolgreichen Test auf Speichern.
      4. Klicken Sie auf die Registerkarte Importkonfiguration.

        Füllen Sie die Felder des angezeigten Formulars aus.

        Tabelle : 2. Registerkarte „Importkonfiguration“ für InsightVM
        Feld Beschreibung
        CVSS-Mindestpunktzahl Minimale CVSS-Punktzahl für angreifbare Elemente, die zum Filtern angreifbarer Elemente während des Imports verwendet wird.
        Max. CVSS-Punktzahl Maximale CVSS-Punktzahl für angreifbare Elemente, die zum Filtern angreifbarer Elemente während des Imports verwendet wird.
        Standortfilter

        Begrenzt die Daten auf die Rapid7 InsightVM Sites, die in der Sites-Liste ausgewählt wurden. Weitere Informationen finden Sie unter Filtern nach Rapid7 Sites. Sie können mehr als einen Standort auswählen. Standardmäßig (leer) werden alle Sites einbezogen. Um die Sites-Liste vorab auszufüllen, führen Sie die Rapid7 Site Integration - API aus, bevor Sie dieses Feld festlegen.

        Weitere Informationen zur Verwendung der Websitefilterung finden Sie unter Filtern nach Rapid7 Sites.
        CVE-Eintrag automatisch erstellen Die Systemeigenschaft zum Erstellen eines CVE-Eintrags ist standardmäßig aktiv (wahr). CVE-Platzhalter werden automatisch mit der Rapid7-Wissenserfassung erstellt, wenn die CVE-ID nicht vorhanden ist.

        Wenn diese Funktion deaktiviert werden soll, deaktivieren Sie die Eigenschaft [sn_vul_r7.create_cve_for_vulnerabilities] in der Liste „Systemeigenschaften“.
        Gelöste nach Alter erneut öffnen Wenn diese Option ausgewählt ist, werden angreifbare Elemente automatisch erneut geöffnet, wenn die Anzahl der Tage, die sie gelöst, aber nicht geschlossen haben, mit dem im Feld Reopen resolve after (Aufgelöste Elemente erneut öffnen nach) übereinstimmen.
      5. Klicken Sie auf Speichern.

        Für mehrere Bereitstellungen des Integrationstyps Rapid7 InsightVM :

      6. Öffnen Sie im Feld Integrationsinstanz das Suchsymbol der Suchliste, und wählen Sie eine vorhandene Integrationsinstanz aus, oder klicken Sie im Popup-Menü auf Neu.
      7. Geben Sie für Neueinen Namen für die Integrationsinstanz ein, und klicken Sie auf Absenden.
        Der Integrationstyp wird im Konfigurationsformular Rapid7 angezeigt.
        Hinweis:
        Sie können jede Integrationsinstanz mit Ausnahme der Standardinstanz löschen. Durch das Löschen einer Instanz wird Folgendes gelöscht (mit Ausnahme von VIs):
        • Integrationen
        • Instanzparameter
        • Integrationsausführungen
        • Integrationsprozesse
        • Instanzspalte im VI ist als leer markiert
      8. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken.
      9. Klicken Sie nach einem erfolgreichen Test auf Speichern.
    4. Erweitern Sie im Feld Integrationstyp die Liste, und klicken Sie auf Data Warehouse.
      1. Wechseln Sie zur Registerkarte Integration Setup (Integrationseinrichtung).

        Füllen Sie die Felder des angezeigten Formulars aus.

        Tabelle : 3. Registerkarte „Integrationseinrichtung“ für den Data Warehouse-Integrationstyp
        Feld Beschreibung
        JDBC-Anmeldeinformationsname Name Ihrer Data Warehouse-Anmeldeinformationen.
        Benutzernamen Rapid7 Data Warehouse-Benutzername.
        Passwort Rapid7 Data Warehouse-Passwort.
        Validierungsstatus Nur Lesen: Status des Validierungsprozesses für Anmeldeinformationen.
        Validierungsdetail Nur Lesen: Nur Data Warehouse. Zeigt zusätzliche Informationen zur Validierungsprüfung an, nachdem Sie mindestens einmal auf Anmeldeinformationen testen geklickt haben. Dies kann beim Debuggen Ihres Setups nützlich sein (z. B. beim Validieren, ob Ihr MID-Server falsch konfiguriert ist oder ob Sie einfach die falschen Anmeldeinformationen haben).
        DNS/IP des Datenbankservers DNS- oder IP-Adresse für Ihr Data Warehouse.
        Datenbankanschluss Port für Ihre Data Warehouse-Integration.
        Datenbankname Name des Data Warehouse.
        Offset der Datenverzögerung (in Tagen) Der Datenverzögerungs-Offset berücksichtigt die Verzögerung zwischen den Echtzeitdaten im Scanner Rapid7 Nexpose und den Daten im Data Warehouse.
        MID-Server Zu verwendender MID-Server. Es werden nur eigenständige MID-Server unterstützt. Geclusterete MID-Server werden nicht unterstützt.
        Timeout für MID-Server (Min.) Anzahl der Minuten, die auf die Antwort des MID-Servers gewartet werden soll, bevor die Integrationsausführung abgebrochen wird.
      2. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken.
      3. Klicken Sie nach einem erfolgreichen Test auf Speichern.
      4. Klicken Sie auf die Registerkarte Importkonfiguration.

        Füllen Sie die Felder des angezeigten Formulars aus.

        Tabelle : 4. Registerkarte „Importkonfiguration“ für Data Warehouse
        Feld Beschreibung
        Vor v12.0: Kontrollkästchen CVE-Eintrag erstellen Wenn diese Option aktiviert ist, werden Platzhalter für CVEs, die noch nicht vorhanden sind, als NVD-Datensätze erstellt und im Drittparteieintrag für Rapid7 referenziert. Wenn diese Option deaktiviert ist, werden diese CVEs ignoriert.
        CVSS-Mindestpunktzahl Minimale CVSS-Punktzahl für angreifbare Elemente, die zum Filtern angreifbarer Elemente während des Imports verwendet wird.
        Max. CVSS-Punktzahl Maximale CVSS-Punktzahl für angreifbare Elemente, die zum Filtern angreifbarer Elemente während des Imports verwendet wird.
        Standortfilter Begrenzt die importierten Sites Integration-Daten auf die ausgewählten Sites. Sie können mehrere auswählen.
        Hinweis:
        Da die Standardeinstellung darin besteht, Daten von allen Sites zu importieren, müssen Sie den Filter nicht verwenden, wenn Sie alle Sites anzeigen möchten. Dadurch wird die Anforderung verlangsamt.
        Gelöste nach Alter erneut öffnen Wenn diese Option ausgewählt ist, werden angreifbare Elemente automatisch erneut geöffnet, wenn die Anzahl der Tage, die sie gelöst, aber nicht geschlossen haben, mit dem im Feld Reopen resolve after (Aufgelöste Elemente erneut öffnen nach) übereinstimmen.
    5. Klicken Sie auf Speichern.
    6. Wahlweise: Wenn Sie ein Startdatum in den Integrationsdatensätzen der Rapid7 Vulnerability Integration - API und der Rapid7 Vulnerable Item Integration - API-Integration festlegen möchten, um Verlaufsdaten während des ersten Imports aus dem Rapid7 -Scan abzurufen, führen Sie die folgenden Schritte aus.
      Sie können diese Daten für Veraltete Erkennungen in werden geschlossen Vulnerability Responseverwenden.
      1. Navigieren zu Rapid7 Vulnerability Integration > Administration > Integrationen.
        Die Liste Rapid7 Integrations (Integrationen) wird angezeigt.
      2. Klicken Sie auf einen der Integrationsdatensätze, um ihn zu öffnen.

        Klicken Sie oben im Formular auf den Link hier, um den Datensatz zu bearbeiten.

        Das Feld Importieren seit Datum in den Rapid7 -Integrationen ist standardmäßig leer, mit Ausnahme der Rapid7 Vulnerability-Integration – API und der Rapid7-Integration von angreifbaren Elementen – API. Für diese Integrationen werden diese Felder auf 1998-12-31 oder 1999-01-01 festgelegt.

        Um Verlaufsdaten während des ersten Imports aus dem Scan Rapid7 abzurufen, legen Sie in den entsprechenden Integrationsdatensätzen ein Startdatum fest. Dieser Prozess funktioniert für jede Rapid7 -Integration mit den folgenden Ausnahmen:
        • Für die Integrationen von Rapid7 Exploit und Malware Kit wird das Feld „ Importieren seit “ nicht angezeigt, da sie keine Delta-Updates durchführen und daher dieses Feld nicht verwenden.
        • Die Rapid7 Asset-Listen-Integration ignoriert das Feld, da alle Daten abgerufen werden sollen.
        • Für die erste Ausführung der Rapid7 InsightVM Comprehensive Vulnerable Item Integration – API, wenn das Modul „Veraltete angreifbare Elemente automatisch schließen“ aktiviert und das Feld „ Importieren seit “ leer gelassen wird.

          Wenn Sie die Funktion zum automatischen Schließen aktivieren, ist eine erfolgreiche Ausführung von Rapid7 Comprehensive Vulnerable Item Integration oder Rapid7 Comprehensive Vulnerable Item Integration – API erforderlich. Diese Integrationen sind standardmäßig deaktiviert.

          Wenn Sie Rapid7 InsightVM Comprehensive Vulnerable Item Integration – API aktivieren und das Feld Importieren seit auf der Integrationskonfigurationsseite leer lassen, wird der Wert im Feld vor Tagen des Formulars „Veraltete angreifbare Elemente automatisch schließen“ auch für Importieren seit verwendet Datum der ersten Integrationsausführung. Der Standardwert für Veraltete angreifbare Elemente automatisch schließen ist (90 Tage).

          Beispiel: Wenn das Feld „ vor Tagen “ im Formular „Veraltete angreifbare Elemente automatisch schließen“ 90 ist und das Feld „ Importieren seit “ auf der Konfigurationsseite „Rapid7 Comprehensive Vulnerable Item Integration – API“ leer ist, werden bei der ersten Integrationsausführung die Daten für die letzten 90 Tage importiert Tage.

          Diese Beziehung zwischen den Feldern „ Importieren seit“ und „Vor Tagen“ gilt nur für die erste Integrationsausführung. Danach wirkt sich eine Änderung des Felds „ Vor Tagen “ im Formular „Veraltete angreifbare Elemente automatisch schließen“ nicht auf das Feld Importieren seit auf der Konfigurationsseite „Rapid7 Comprehensive Vulnerable Item Integration“ (Integration von Rapid7 Comprehensive Vulnerable Item Integration – API) aus. Das Feld wird in die Startzeit der ersten Ausführung geändert, sodass bei nachfolgenden Integrationsausführungen nur die Delta-Informationen importiert werden

          Das Feld Importieren seit kann bearbeitet werden, und Sie können für jede der Integrationen beliebige Werte eingeben.

    7. Navigieren zu Alle > sn_sec_int_impl.list > Rapid7 InsightVM.
      1. Der Parameter der Integrationsinstanz import_starttime_buffer_comprehensive legt eine Pufferzeit von 24 Stunden vor der im Feld Importieren seit angegebenen Zeit fest, sodass die Assets, die aus dieser Pufferzeit gescannt werden, während der Integration von Rapid7 Comprehensive Vulnerable Item Integration – API abgerufen werden.
        Sie können diese Pufferzeit Ihren Anforderungen entsprechend ändern.
      2. Wahlweise: Legen Sie den Parameter close_stale_detections auf true fest, um die veralteten Erkennungen zu schließen, die nicht mehr über die Rapid7-API für die Assets eingehen, die gescannt und über die Rapid7-API über die Rapid7 Comprehensive Vulnerable Item Integration - APIabgerufen werden.

      Sie haben die Setup-, Installations- und Konfigurationsschritte für Rapid7 Vulnerability Integrationerfolgreich abgeschlossen. Sie sind jetzt bereit, importierte Daten zu überprüfen und zu verifizieren.

    Nächste Maßnahme

    Die Scanner Rapid7 und Qualys sind in der Anwendung Vulnerability Response standardmäßig deaktiviert. Wenn Sie versuchen, einen erneuten Scan aus den angreifbaren Elementen oder Korrekturaufgaben durchzuführen, die diese Anwendungen als Quelle haben, ist die Schaltfläche Erneut scannen nicht verfügbar.

    So aktivieren Sie diese Scanner als Benutzer mit der Rolle sn_vul.vulnerability_admin:

    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scanner.
    2. Suchen Sie das Scannerprodukt, das Sie aktivieren möchten, und klicken Sie auf den Datensatz, um ihn zu öffnen.
    3. Aktivieren Sie die Checkbox Aktiv.
    4. Klicken Sie auf Aktualisieren.

      Das von Ihnen aktivierte Produkt wird nach dem nächsten Import im Feld Quelle in Datensätzen für angreifbare Elemente und Korrekturaufgaben angezeigt, und Erneut scannen ist als UI-Aktion verfügbar.

    Wenn Ihre Umgebung domänengetrennte Importe erfordert, finden Sie weitere Informationen unter Erstellen Sie domänengetrennte Importe für eine Integration.

    Informationen zum Erstellen oder Verfeinern Ihrer Suchregeln vor dem Import finden Sie unter Erstellen Sie eine Vulnerability Response-CI-Suchregel.