Konfigurieren Sie Rapid7 Vulnerability-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer

    • Konfigurieren Sie Rapid7 Vulnerability-IntegrationNachdem die Anwendung auf installiert und aktiviert wurde Now Platform®.

    Vorbereitungen

    Erforderliche Rolle: Der Administrator [admin] lädt die App herunter und installiert sie. sn_vul.Vulnerability_admin oder sn_vul.admin überwacht die Konfiguration und verifiziert die erwarteten Ergebnisse.

    Prozedur

    1. Nachdem die Anwendung aktiviert (installiert) wurde, navigieren Sie zu Rapid7 Vulnerability-Integration > Administration > Konfigurationan.
    2. Wählen Sie einen Integrationstyp aus der Liste aus.
      Abbildung : 1. Integrationstypliste
      Dropdown-Menü „Integrationstyp“.
    3. Wählen Sie eine Integrationsinstanz aus.
      Der Standard Rapid7 InsightVMIntegrationsinstanz ist standardmäßig ausgewählt. Wenn dies der gewünschte Integrationstyp ist, führen Sie diese Schritte aus. Wenn Sie konfigurieren möchten Rapid7Data Warehouse-Integrationstyp, fahren Sie mit Schritt 4 fort.
      1. Mit Integrationseinrichtung Registerkarte, die im angezeigten Formular ausgewählt ist, füllen Sie die Felder aus:
        Tabelle : 1. Registerkarte „Integrationseinrichtung“ für den Integrationstyp „InsightVM“
        Feld Beschreibung
        InsightVM-Region Die Server-URL, die Sie von erworben haben Rapid7Website.
        API-Schlüssel Der API-Schlüssel, den Sie von erworben haben Rapid7Insight-Account.
        Validierungsstatus Schreibgeschützt: Status des Validierungsprozesses für Anmeldeinformationen.
      2. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf klicken Test-Anmeldeinformationen .
        Wenn während der Konfiguration eine Fehlermeldung angezeigt wird, geben Sie Ihre Daten erneut ein.
      3. Klicken Sie nach einem erfolgreichen Test auf Speichern .
      4. Klicken Sie auf Importkonfiguration Registerkarte.

        Füllen Sie im angezeigten Formular die Felder aus.

        Tabelle : 2. Registerkarte „Konfiguration importieren“ für InsightVM
        Feld Beschreibung
        CVSS-Mindestpunktzahl Minimale CVSS-Punktzahl für angreifbare Elemente, die zum Filtern angreifbarer Elemente während des Imports verwendet wird.
        Max. CVSS-Punktzahl Maximale CVSS-Punktzahl für angreifbare Elemente, die zum Filtern angreifbarer Elemente während des Imports verwendet wird.
        Standortfilter

        Beschränkt die Daten auf Rapid7 InsightVMSites, die aus der Siteliste ausgewählt wurden. Weitere Informationen finden Sie unter Wird gefiltert nach Rapid7Sites. Sie können mehr als einen Standort auswählen. Der Standard (leer) bringt alle Sites ein. Um die Sites-Liste vorab auszufüllen, führen Sie die Rapid7-Websiteintegration – API aus, bevor Sie dieses Feld festlegen.

        Informationen zur Verwendung der Standortfilterung finden Sie unter Wird gefiltert nach Rapid7Sites.
        CVE-Eintrag automatisch erstellen Die Systemeigenschaft zum Erstellen eines CVE-Eintrags ist standardmäßig aktiv (wahr). CVE-Platzhalter werden automatisch mit der Rapid7-Wissenserfassung erstellt, wenn die CVE-ID nicht vorhanden ist.

        Wenn diese Funktion inaktiv sein soll, deaktivieren Sie die Eigenschaft [sn_vul_r7.create_cve_for_vulnerabilities] in der Liste „Systemeigenschaften“.
        Gelöste nach Alter erneut öffnen Wenn diese Option ausgewählt ist, werden angreifbare Elemente automatisch erneut geöffnet, wenn die Anzahl der Tage, die sie gelöst, aber nicht geschlossen wurden, dem in angezeigten Wert entspricht Öffnen Sie „gelöst nach“ erneut Feld.
      5. Klicken Sie auf Speichern.

        Für mehrere Bereitstellungen von Rapid7 InsightVMIntegrationstyp:

      6. Ein Integrationsinstanz Feld öffnen Sie die Suchliste SuchsymbolUnd wählen Sie eine vorhandene Integrationsinstanz aus, oder klicken Sie auf Neu Im Popup-Menü.
      7. Für Neu , Geben Sie ein Name Für die Integrationsinstanz und klicken Sie auf Übermitteln .
        Der Integrationstyp wird in angezeigt Rapid7Konfigurationsformular.
        Hinweis:
        Sie können jede Integrationsinstanz außer der Standardinstanz löschen. Durch das Löschen einer Instanz wird Folgendes gelöscht (ohne VIS):
        • Integrationen
        • Instanzparameter
        • Integrationsausführungen
        • Integrationsprozesse
        • Instanzspalte im VI ist als leer markiert
      8. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf klicken Test-Anmeldeinformationen .
      9. Klicken Sie nach einem erfolgreichen Test auf Speichern .
    4. Erweitern Sie im Feld Integrationstyp die Liste, und klicken Sie auf Datenlager .
      1. Wählen Sie aus Integrationseinrichtung Registerkarte.

        Füllen Sie im angezeigten Formular die Felder aus.

        Tabelle : 3. Registerkarte „Integrationseinrichtung“ für den Integrationstyp „Data Warehouse“
        Feld Beschreibung
        JDBC-Anmeldeinformationsname Name Ihrer Data Warehouse-Anmeldeinformationen.
        Anwendername Anwendername des Rapid7-Data Warehouse.
        Passwort Passwort für Rapid7-Data Warehouse.
        Validierungsstatus Schreibgeschützt: Status des Validierungsprozesses für Anmeldeinformationen.
        Validierungsdetail Schreibgeschützt: Nur Data Warehouse. Zeigt zusätzliche Informationen zur Validierungsprüfung an, nachdem Sie mindestens einmal auf Anmeldeinformationen testen geklickt haben. Dies kann beim Debugging Ihres Setups nützlich sein (z. B. um zu überprüfen, ob Ihr MID-Server falsch konfiguriert ist oder Sie nur die falschen Anmeldeinformationen haben.
        DNS/IP des Datenbankservers DNS- oder IP-Adresse für Ihr Data Warehouse.
        Datenbankanschluss Port, der für Ihre Data Warehouse-Integration verwendet werden soll.
        Datenbankname Name Ihres Data Warehouse.
        Offset der Datenverzögerung (in Tagen) Die Offset-Faktoren der Datenverzögerung in der Verzögerung zwischen den Echtzeitdaten in Rapid7 NexposeScanner und die Daten im Data Warehouse.
        MID-Server Zu verwendender MID-Server. Nur eigenständige MID-Server werden unterstützt. Geclusterte MID-Server werden nicht unterstützt.
        Timeout für MID-Server (Min.) Anzahl der Minuten, die gewartet werden soll, bis der MID-Server antwortet, bevor die Integrationsausführung mit einer Zeitüberschreitung endet.
      2. Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf klicken Test-Anmeldeinformationen .
      3. Klicken Sie nach einem erfolgreichen Test auf Speichern .
      4. Klicken Sie auf Importkonfiguration Registerkarte.

        Füllen Sie im angezeigten Formular die Felder aus.

        Tabelle : 4. Registerkarte „Konfiguration importieren“ für Data Warehouse
        Feld Beschreibung
        Vor v12.0: Kontrollkästchen „CVE-Eintrag erstellen“ Wenn diese Option aktiviert ist, werden Platzhalter für CVEs, die noch nicht vorhanden sind, als NVD-Datensätze erstellt und im Drittparteieintrag für Rapid7 referenziert. Wenn diese Option deaktiviert ist, werden diese CVEs ignoriert.
        CVSS-Mindestpunktzahl Minimale CVSS-Punktzahl für angreifbare Elemente, die zum Filtern angreifbarer Elemente während des Imports verwendet wird.
        Max. CVSS-Punktzahl Maximale CVSS-Punktzahl für angreifbare Elemente, die zum Filtern angreifbarer Elemente während des Imports verwendet wird.
        Standortfilter Beschränkt die importierten Sites-Integrationsdaten auf die ausgewählten Sites. Sie können mehrere auswählen.
        Hinweis:
        Da die Standardeinstellung für den Import von Daten aus allen Sites ist, müssen Sie den Filter nicht verwenden, wenn Sie alle Sites wünschen. Dadurch wird die Anforderung verlangsamt.
        Gelöste nach Alter erneut öffnen Wenn diese Option ausgewählt ist, werden angreifbare Elemente automatisch erneut geöffnet, wenn die Anzahl der Tage, die sie gelöst, aber nicht geschlossen wurden, dem in angezeigten Wert entspricht Öffnen Sie „gelöst nach“ erneut Feld.
    5. Klicken Sie auf Speichern.
    6. Wahlweise: Wenn Sie ein Startdatum in festlegen möchten Rapid7Schwachstellenintegration – API und Rapid7-Integration für angreifbare Elemente – API-Integrationsdatensätze zum Abrufen von Verlaufsdaten während des ersten Imports von Rapid7Scannen Sie, führen Sie die folgenden Schritte aus.
      Sie können diese Daten verwenden, um Ihnen bei zu helfen Veraltete Erkennungen in werden geschlossen Vulnerability Response.
      1. Navigieren zu Rapid7 Vulnerability-Integration > Administration > Integrationenan.
        Die Rapid7Integrationsliste wird angezeigt.
      2. Klicken Sie auf einen der Integrationsdatensätze, um ihn zu öffnen.

        Klicken Sie oben im Formular auf Hier Link zum Bearbeiten des Datensatzes.

        Die Importieren seit Datumsfeld in Rapid7Integrationen sind standardmäßig leer, mit Ausnahme von Rapid7Schwachstellenintegration – API und Rapid7-Integration für angreifbare Elemente – API. Für diese Integrationen werden diese Felder auf 1998-12-31 oder 1999-01-01 festgelegt.

        Dient zum Abrufen von Verlaufsdaten während des ersten Imports von Rapid7Scannen, legen Sie ein Startdatum in den entsprechenden Integrationsdatensätzen fest. Dieser Prozess funktioniert für alle Rapid7Integration mit den folgenden Ausnahmen:
        • Die Rapid7Exploit- und Malware-Kit-Integrationen zeigen nicht an Importieren seit Feld, da sie keine Delta-Updates durchführen und daher dieses Feld nicht verwenden.
        • Die Rapid7Bei der Integration der Asset-Liste wird das Feld ignoriert, da es beabsichtigt, alle Daten abzurufen.
        • Für die erste Ausführung von Rapid7 InsightVMUmfassende Integration angreifbarer Elemente: API, wenn das Modul „veraltete angreifbare Elemente automatisch schließen“ aktiviert ist und Importieren seit Feld ist leer.

          Wenn Sie die Funktion zum automatischen Schließen aktivieren, ist eine erfolgreiche Ausführung über die umfassende Rapid7-Integration für angreifbare Elemente oder die Rapid7-API „umfassende Integration angreifbarer Elemente“ erforderlich. Diese Integrationen sind standardmäßig deaktiviert.

          Wenn Sie aktivieren Rapid7 InsightVMUmfassende Integration angreifbarer Elemente: API, wenn Sie verlassen Importieren seit Feld leer auf der Integrationskonfigurationsseite, der Wert in Tage her Das Feld des Formulars „veraltete angreifbare Elemente automatisch schließen“ wird auch für verwendet Importieren seit Datum der ersten Integrationsausführung. Der Standardwert für das automatische Schließen veralteter angreifbarer Elemente ist (90 Tage).

          Beispiel: Wenn Tage her Das Feld im Formular „veraltete angreifbare Elemente automatisch schließen“ ist „90 und“ Importieren seit Feld auf der Konfigurationsseite „umfassende Integration angreifbarer Elemente – API“ von Rapid7 ist leer. Die erste Integrationsausführung importiert die Daten der letzten 90 Tage.

          Diese Beziehung zwischen Importieren seit Und Tage her Felder gelten nur für die erste Integrationsausführung. Ändern Sie danach Tage her Das Feld im Formular „veraltete angreifbare Elemente automatisch schließen“ wirkt sich nicht auf aus Importieren seit Feld auf der Konfigurationsseite „Rapid7 – umfassende Integration angreifbarer Elemente – API“. Das Feld wird in die Startzeit der ersten Ausführung geändert, sodass die nachfolgende Integration nur die Delta-Informationen importiert

          Die Importieren seit Das Feld kann bearbeitet werden, und Sie können beliebige Werte für jede der Integrationen eingeben.

    7. Navigieren zu Alle > sn_sec_int_impl.list > Rapid7 InsightVMan.
      1. Die import_startime_buffer_comprehensive Der Parameter der Integrationsinstanz legt eine Pufferzeit von 24 Stunden vor der in angegebenen Zeit fest Importieren seit Feld, damit die Assets, die ab dieser Pufferzeit gescannt werden, während abgerufen werden Rapid7 – umfassende Integration angreifbarer Elemente – API Integrationsausführung.
        Sie können diese Pufferzeit entsprechend Ihren Anforderungen ändern.
      2. Wahlweise: Legen Sie fest CLOSE_Stale_Detections Parameter bis Wahr Zum Schließen der veralteten Erkennungen, die nicht mehr über die Rapid7-API für die Assets gesendet werden, die über die Rapid7-API gescannt und abgerufen werden Rapid7 – umfassende Integration angreifbarer Elemente – API .

      Sie haben die Einrichtungs-, Installations- und Konfigurationsschritte für erfolgreich abgeschlossen Rapid7 Vulnerability-Integration. Sie sind jetzt bereit, importierte Daten zu überprüfen und zu verifizieren.

    Nächste Maßnahme

    Die Rapid7Und QualysScanner sind standardmäßig in deaktiviert Vulnerability ResponseAnwendung. Wenn Sie versuchen, einen erneuten Scan über die angreifbaren Elemente oder Korrekturaufgaben durchzuführen, die diese Anwendungen als Quelle haben, wird Erneut Scannen Schaltfläche ist nicht verfügbar.

    So aktivieren Sie diese Scanner als Anwender mit der Rolle „sn_vul.Vulnerability_admin“:

    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scanneran.
    2. Suchen Sie das Scannerprodukt, das Sie aktivieren möchten, und klicken Sie auf den Datensatz, um es zu öffnen.
    3. Aktivieren Sie die Checkbox Aktiv.
    4. Klicken Sie auf Aktualisieren.

      Das von Ihnen aktivierte Produkt wird nach dem nächsten Import in Datensätzen für angreifbare Elemente und Korrekturaufgaben im Feld „Quelle“ angezeigt Erneut Scannen Ist als UI-Aktion verfügbar.

    Wenn Ihre Umgebung domänengetrennte Importe erfordert, finden Sie unter Erstellen Sie domänengetrennte Importe für eine Integration.

    Informationen zum Erstellen oder Verfeinern Ihrer Suchregeln vor dem Import finden Sie unter Erstellen Sie eine CI-Suchregel für die Schwachstellenantwort.