Configurez la Rapid7 Vulnerability Integration.

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Configurez le Rapid7 Vulnerability Integration après l’installation et l’activation de l’application sur votre Now Platform®.

    Avant de commencer

    Rôle requis : l’administrateur [admin] télécharge et installe l’application. L’administrateur sn_vul.vulnerability_admin ou sn_vul.admin supervise la configuration et vérifie les résultats attendus.

    Procédure

    1. Une fois l’application activée (installée), accédez à Rapid7 Vulnerability Integration > Administration > Configuration.
    2. Sélectionnez un type d’intégration dans la liste.
      Figure 1. Liste des types d’intégration
      Menu déroulant Type d’intégration.
    3. Sélectionnez une instance d’intégration.
      L’instance d’intégration par défaut Rapid7 InsightVM est sélectionnée par défaut. Si tel est le type d’intégration que vous recherchez, procédez comme suit. Si vous souhaitez configurer le type d’intégration d’entrepôt de données, passez à l’étape Rapid7 4.
      1. Avec l’onglet Configuration de l’intégration sélectionné sur le formulaire qui s’affiche, renseignez les champs :
        Tableau 1. Onglet Configuration de l’intégration pour le type d’intégration InsightVM
        Champ Description
        Région InsightVM L’URL du serveur que vous avez acquise à partir du Rapid7 site.
        Clé API Clé API que vous avez acquise à partir de votre Rapid7 compte Insight.
        État de validation Lecture seule : état du processus de validation des informations d’identification.
      2. Vérifiez la configuration correcte en cliquant sur Informations d’identification de test.
        Si un message d’erreur s’affiche pendant la configuration, entrez à nouveau vos données.
      3. Si le test a fonctionné, cliquez sur Enregistrer.
      4. Cliquez sur l’onglet Configuration de l’importation .

        Renseignez les champs du formulaire qui s’affiche.

        Tableau 2. Onglet Configuration de l’importation pour InsightVM
        Champ Description
        Score CVSS min. Score CVSS de l’élément vulnérable minimum utilisé pour filtrer les éléments vulnérables pendant l’importation.
        Score CVSS max. Score CVSS d’élément vulnérable maximal utilisé pour filtrer les éléments vulnérables pendant l’importation.
        Filtre de site

        Limite les données aux Rapid7 InsightVM sites choisis dans la liste Sites. Consultez Filtrage par Rapid7 sites. Vous pouvez choisir plusieurs sites. La valeur par défaut (vide) inclut tous les sites. Pour pré-remplir la liste des sites, exécutez l’API Rapid7 Site Integration avant de définir ce champ.

        Pour en savoir plus sur l’utilisation du filtrage de site, reportez-vous à la section Filtrage par Rapid7 sites.
        Créer automatiquement une entrée CVE La propriété système permettant de créer une entrée CVE est active (true) par défaut. Les espaces réservés aux CVE sont créés automatiquement avec l’ingestion de connaissances Rapid7 si l’ID CVE n’existe pas.

        Si vous souhaitez que cette fonctionnalité soit inactive, désactivez la propriété [sn_vul_r7.create_cve_for_vulnerabilities] dans la liste Propriétés système.
        Réouverture résolue par âge Lorsque cette option est sélectionnée, les éléments vulnérables sont automatiquement rouverts lorsque le nombre de jours pendant lesquels ils ont été résolus mais non fermés correspond à la valeur affichée dans le champ Rouvrir résolu après .
      5. Cliquez sur Enregistrer.

        Pour plusieurs déploiements du type d’intégration Rapid7 InsightVM :

      6. Dans le champ Instance d’intégration , ouvrez l’icône de recherche de la liste de recherche et sélectionnez une instance d’intégration existante ou cliquez sur Nouveau dans le menu contextuel.
      7. Si vous sélectionnez Nouveau, saisissez un nom pour l’instance d’intégration et cliquez sur Soumettre.
        Le type d’intégration apparaît dans le formulaire de Rapid7 configuration.
        Remarque :
        Vous pouvez supprimer n’importe quelle instance d’intégration, à l’exception de l’instance par défaut. La suppression d’une instance supprime les éléments suivants (à l’exclusion des VI) :
        • Intégrations
        • Paramètres d’instance
        • Exécutions des intégrations
        • Processus d’intégration
        • La colonne d’instance du VI est marquée comme vide
      8. Vérifiez la configuration correcte en cliquant sur Informations d’identification de test.
      9. Si le test a fonctionné, cliquez sur Enregistrer.
    4. Dans le champ Type d’intégration, développez la liste et cliquez sur Entrepôt de données.
      1. Sélectionnez l’onglet Configuration de l’intégration .

        Renseignez les champs du formulaire qui s’affiche.

        Tableau 3. Onglet Configuration de l’intégration pour le type d’intégration de l’entrepôt de données
        Champ Description
        Nom d'identification JDBC Nom des informations d’identification de votre entrepôt de données.
        Nom d'utilisateur Nom d’utilisateur de l’entrepôt de données Rapid7.
        Mot de passe Mot de passe de l’entrepôt de données Rapid7.
        État de validation Lecture seule : état du processus de validation des informations d’identification.
        Détail de validation Lecture seule : entrepôt de données uniquement. Affiche des informations supplémentaires sur la vérification de validation après avoir cliqué au moins une fois sur Informations d’identification de test. Cela peut être utile pour déboguer votre configuration (par exemple, en vérifiant si votre MID Server est mal configuré ou si vos informations d’identification sont incorrectes).
        Serveur de base de données DNS/IP Adresse DNS ou IP de votre entrepôt de données.
        Port de la base de données Port à utiliser pour l’intégration de votre entrepôt de données.
        Nom de base de données Nom de votre entrepôt de données.
        Décalage du retard de données (en jours) Le décalage du délai de données tient compte du délai entre les données en temps réel dans le Rapid7 Nexpose scanner et les données dans l’entrepôt de données.
        Serveur MID Serveur MID à utiliser. Seuls les MID Servers autonomes sont pris en charge. Les MID Servers en grappe ne sont pas pris en charge.
        Délai d'expiration du serveur MID (min) Nombre de minutes à attendre que le MID Server réponde avant expiration de l’exécution de l’intégration.
      2. Vérifiez la configuration correcte en cliquant sur Informations d’identification de test.
      3. Si le test a fonctionné, cliquez sur Enregistrer.
      4. Cliquez sur l’onglet Configuration de l’importation .

        Renseignez les champs du formulaire qui s’affiche.

        Tableau 4. Onglet Configuration de l’importation pour l’entrepôt de données
        Champ Description
        Avant la version 12.0 : case à cocher Créer une entrée CVE Lorsque cette option est cochée, les espaces réservés aux CVE, qui ne sont pas déjà présents, sont créés en tant qu’enregistrements NVD et référencés dans l’entrée tierce pour Rapid7. Lorsque cette option n’est pas cochée, ces CVE sont ignorées.
        Score CVSS min. Score CVSS de l’élément vulnérable minimum utilisé pour filtrer les éléments vulnérables pendant l’importation.
        Score CVSS max. Score CVSS d’élément vulnérable maximal utilisé pour filtrer les éléments vulnérables pendant l’importation.
        Filtre de site Limite les données d’intégration des sites importées aux sites choisis. Vous pouvez en choisir plusieurs.
        Remarque :
        Étant donné que le paramètre par défaut est d’importer des données à partir de tous les sites, vous n’avez pas besoin d’utiliser le filtre si vous voulez tous les sites. Cela ralentit la demande.
        Réouverture résolue par âge Lorsque cette option est sélectionnée, les éléments vulnérables sont automatiquement rouverts lorsque le nombre de jours pendant lesquels ils ont été résolus mais non fermés correspond à la valeur affichée dans le champ Rouvrir résolu après .
    5. Cliquez sur Enregistrer.
    6. Facultatif : Si vous souhaitez définir une date de début dans les enregistrements d’intégration Rapid7 de vulnérabilité - API et Rapid7 Vulnerable Item Integration - API pour récupérer les données historiques lors de votre importation initiale à partir de l’analyse Rapid7 , suivez ces étapes.
      Vous pouvez utiliser ces données pour vous aider avec Fermeture des détections obsolètes dans Vulnerability Response.
      1. Accédez à la Rapid7 Vulnerability Integration > Administration > Intégrations.
        La Rapid7 liste Intégrations s’affiche.
      2. Cliquez sur l’un des enregistrements d’intégration pour l’ouvrir.

        En haut du formulaire, cliquez sur le lien ici pour modifier l’enregistrement.

        Le champ Importer depuis la date dans les intégrations est vide par défaut, à l’exception Rapid7 de l’API Rapid7 Vulnerability Integration et de l’API Rapid7 Vulnerable Item Integration. Pour ces intégrations, ces champs sont définis sur 1998-12-31 ou 1999-01-01.

        Pour récupérer des données historiques lors de votre importation initiale à partir de l’analyse Rapid7 , définissez une date de début dans les enregistrements d’intégration appropriés. Ce processus fonctionne pour toutes les Rapid7 intégrations avec les exceptions suivantes :
        • Les Rapid7 intégrations Exploit et Malware Kit n’affichent pas le champ Importer depuis , car elles n’effectuent pas de mises à jour delta et n’utilisent donc pas ce champ.
        • L’intégration Rapid7 de la liste des actifs ignore le champ, car son intention est de récupérer toutes les données.
        • Pour l’exécution initiale de l’intégration Rapid7 InsightVM complète des éléments vulnérables : API lorsque le module Fermer automatiquement les éléments vulnérables périmés est activé et que le champ Importer depuis est laissé vide.

          Lorsque vous activez la fonctionnalité de fermeture automatique, une exécution réussie à partir de l’intégration complète des éléments vulnérables Rapid7 ou de l’intégration complète des éléments vulnérables Rapid7 - API est requise. Ces intégrations sont désactivées par défaut.

          Lorsque vous activez l’intégration complète des Rapid7 InsightVM éléments vulnérables (API), si vous laissez le champ Importer depuis vide sur la page de configuration de l’intégration, la valeur du champ Il y a jours du formulaire Fermer automatiquement les éléments vulnérables périmés est également utilisée pour l’importation depuis la date de la première exécution de l’intégration. La valeur par défaut pour la fermeture automatique des éléments vulnérables périmés est de (90 jours).

          Par exemple, si le champ jours plus tôt du formulaire Fermer automatiquement les éléments vulnérables périmés est 90 et que le champ Importer depuis de la page Rapid7 Comprehensive Vulnerable Item Integration - API configuration est vide, la première exécution de l’intégration importe les données des 90 derniers jours.

          Cette relation entre les champs Importer depuis et il y a jours s’applique uniquement à la première exécution de l’intégration. Après cela, la modification du champ « jours plus tôt » sur le formulaire Fermeture automatique des éléments vulnérables périmés n’affecte pas le champ Importer depuis sur la page Intégration complète des éléments vulnérables Rapid7 - API. Le champ est modifié en heure de début de la première exécution afin que les exécutions d’intégration suivantes importent uniquement les informations delta

          Le champ Importer depuis est modifiable et vous pouvez saisir toutes les valeurs que vous souhaitez pour chacune des intégrations.

    7. Accédez à la Tous > sn_sec_int_impl.list > Rapid7 InsightVM.
      1. Le paramètre d’instance d’intégration import_startime_buffer_comprehensive définit un délai tampon de 24 heures avant l’heure spécifiée dans le champ Importer depuis , de sorte que les actifs analysés à partir de ce délai tampon soient récupérés pendant l’exécution de l’intégration complète des éléments vulnérables Rapid7 : intégration d’API .
        Vous pouvez modifier ce délai tampon en fonction de vos besoins.
      2. Facultatif : Définissez le paramètre close_stale_detections sur vrai pour fermer les détections obsolètes qui ne proviennent plus de l’API Rapid7 pour les actifs qui sont analysés et récupérés via l’API Rapid7 via l’intégration complète des éléments vulnérables (API) Rapid7.

      Vous avez terminé avec succès les étapes d’installation, d’installation et de configuration du Rapid7 Vulnerability Integration. Vous êtes maintenant prêt à examiner et vérifier les données importées.

    Que faire ensuite

    Les Rapid7 analyseurs et Qualys sont désactivés par défaut dans l’application Vulnerability Response . Si vous tentez d’effectuer une nouvelle analyse à partir des éléments vulnérables ou des tâches de rattrapage qui ont ces applications comme source, le bouton Analyser de nouveau n’est pas disponible.

    Pour activer ces analyseurs, en tant qu’utilisateur disposant du rôle sn_vul.vulnerability_admin :

    1. Accédez à la Tous > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.
    2. Localisez le produit du scanner que vous souhaitez activer et cliquez sur l’enregistrement pour l’ouvrir.
    3. Sélectionnez la case à cocher Activé.
    4. Cliquez sur Mettre à jour.

      Le produit que vous avez activé s’affiche dans le champ Source sur les enregistrements d’éléments vulnérables et de tâches de rattrapage après la prochaine importation, et l’option Analyser de nouveau est disponible en tant qu’action d’interface utilisateur.

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Pour créer ou affiner vos règles de recherche avant l’importation, reportez-vous à Créer une règle de recherche de CI pour Vulnerability Response.