Configurez la Intégration des vulnérabilités Rapid7.

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 9 minutes de lecture

    • Configurez le Intégration des vulnérabilités Rapid7 après l’installation et l’activation de l’application sur votre Now Platform®.

    Avant de commencer

    Rôle requis : L’administrateur [admin] télécharge et installe l’application. Le sn_vul.vulnerability_admin ou sn_vul.admin supervise la configuration et vérifie les résultats attendus.

    Procédure

    1. Une fois l’application activée (installée), accédez à Rapid7 Vulnerability Integration > Administration > Configuration.
    2. Sélectionnez un type d’intégration dans la liste.
      Figure 1. Liste des types d’intégration
      Menu déroulant Type d’intégration.
    3. Sélectionnez une instance d’intégration.
      L’instance d’intégration par défaut Rapid7 InsightVM est sélectionnée par défaut. Si tel correspond au type d’intégration que vous souhaitez, procédez comme suit. Si vous souhaitez configurer le type d’intégration de l’entrepôt de données, passez à l’étape Rapid7 4.
      1. Avec l’onglet Configuration de l’intégration sélectionné sur le formulaire qui s’affiche, renseignez les champs :
        Tableau 1. Onglet Configuration de l’intégration pour le type d’intégration InsightVM
        Champ Description
        Région InsightVM L’URL du serveur que vous avez acquise sur le Rapid7 site.
        Clé API La clé API que vous avez acquise à partir de votre Rapid7 compte Insight.
        État de validation Lecture seule : état du processus de validation des informations d’identification.
      2. Vérifiez la configuration correcte en cliquant sur Tester les informations d’identification.
        Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.
      3. Après un test réussi, cliquez sur Enregistrer.
      4. Cliquez sur l’onglet Configuration de l’importation .

        Renseignez les champs du formulaire qui s’affiche.

        Tableau 2. Onglet Configuration de l’importation pour InsightVM
        Champ Description
        Score CVSS min. Score CVSS de l’élément vulnérable minimum utilisé pour filtrer les éléments vulnérables pendant l’importation.
        Score CVSS max. Score CVSS d’élément vulnérable maximal utilisé pour filtrer les éléments vulnérables pendant l’importation.
        Filtre de site

        Limite les données aux Rapid7 InsightVM sites choisis dans la liste Sites. Consultez Filtrage par Rapid7 sites. Vous pouvez choisir plusieurs sites. La valeur par défaut (vide) concerne tous les sites. Pour pré-remplir la liste des sites, exécutez l’API Rapid7 Site Integration avant de définir ce champ.

        Pour plus d’informations sur l’utilisation du filtrage de site, reportez-vous à la section Filtrage par Rapid7 sites.
        Créer automatiquement une entrée CVE La propriété système permettant de créer une entrée CVE est active (vraie) par défaut. Les espaces réservés CVE sont créés automatiquement avec l’ingestion de connaissances Rapid7 si l’ID CVE n’existe pas.

        Si vous souhaitez que cette fonctionnalité soit inactive, désactivez la propriété [sn_vul_r7.create_cve_for_vulnerabilities] dans la liste des propriétés système.
        Réouverture résolue par âge Lorsque cette option est sélectionnée, les éléments vulnérables sont automatiquement rouverts lorsque le nombre de jours pendant lesquels ils ont été résolus mais non fermés correspond à la valeur affichée dans le champ Rouvrir résolu après .
      5. Cliquez sur Enregistrer.

        Pour plusieurs déploiements du type d’intégration Rapid7 InsightVM :

      6. Dans le champ Instance d’intégration , ouvrez l’icône de recherche de la liste de recherche, sélectionnez une instance d’intégration existante ou cliquez sur Nouveau dans le menu contextuel.
      7. Pour Nouveau, saisissez un nom pour l’instance d’intégration et cliquez sur Soumettre.
        Le type d’intégration apparaît dans le formulaire de Rapid7 configuration.
        Remarque :
        Vous pouvez supprimer n’importe quelle instance d’intégration à l’exception de la valeur par défaut. La suppression d’une instance supprime les éléments suivants (à l’exclusion des VI) :
        • Intégrations
        • Paramètres d’instance
        • Exécutions des intégrations
        • Processus d’intégration
        • La colonne d’instance sur le VI est marquée comme vide
      8. Vérifiez la configuration correcte en cliquant sur Tester les informations d’identification.
      9. Après un test réussi, cliquez sur Enregistrer.
    4. Dans le champ Type d’intégration, développez la liste et cliquez sur Entrepôt de données.
      1. Sélectionnez l’onglet Configuration de l’intégration .

        Renseignez les champs du formulaire qui s’affiche.

        Tableau 3. Onglet Configuration de l’intégration pour l’entrepôt de données Type d’intégration
        Champ Description
        Nom d'identification JDBC Nom des informations d’identification de votre entrepôt de données.
        Nom d'utilisateur Nom d’utilisateur de l’entrepôt de données Rapid7.
        Mot de passe Mot de passe de l’entrepôt de données Rapid7.
        État de validation Lecture seule : état du processus de validation des informations d’identification.
        Détail de validation Lecture seule : entrepôt de données uniquement. Affiche des informations supplémentaires sur le contrôle de validation après avoir cliqué au moins une fois sur Informations d’identification de test. Cela peut être utile pour déboguer votre configuration (par exemple, pour valider si votre MID Server est mal configuré ou si vous avez simplement des informations d’identification erronées).
        Serveur de base de données DNS/IP Adresse DNS ou IP de votre entrepôt de données.
        Port de la base de données Port à utiliser pour l’intégration de votre entrepôt de données.
        Nom de base de données Nom de votre entrepôt de données.
        Décalage du retard de données (en jours) Le décalage du retard de données tient compte du délai entre les données en temps réel du Rapid7 Nexpose scanner et les données de l’entrepôt de données.
        Serveur MID Serveur MID à utiliser. Seuls les MID Servers autonomes sont pris en charge. Les MID Servers en grappe ne sont pas pris en charge.
        Délai d'expiration du serveur MID (min) Nombre de minutes à attendre que le serveur MID réponde avant expiration de l’exécution de l’intégration.
      2. Vérifiez la configuration correcte en cliquant sur Tester les informations d’identification.
      3. Après un test réussi, cliquez sur Enregistrer.
      4. Cliquez sur l’onglet Configuration de l’importation .

        Renseignez les champs du formulaire qui s’affiche.

        Tableau 4. Onglet Configuration de l’importation pour l’entrepôt de données
        Champ Description
        Avant la version 12.0 : case à cocher Créer une entrée CVE Lorsque cette option est cochée, les espaces réservés pour les CVE, qui ne sont pas déjà présents, sont créés en tant qu’enregistrements NVD et référencés dans l’entrée tierce pour Rapid7. Lorsque cette option n’est pas cochée, ces CVE sont ignorées.
        Score CVSS min. Score CVSS de l’élément vulnérable minimum utilisé pour filtrer les éléments vulnérables pendant l’importation.
        Score CVSS max. Score CVSS d’élément vulnérable maximal utilisé pour filtrer les éléments vulnérables pendant l’importation.
        Filtre de site Limite les données d’intégration de sites importées aux sites choisis. Vous pouvez en choisir plusieurs.
        Remarque :
        Étant donné que le paramètre par défaut est d’importer des données à partir de tous les sites, vous n’avez pas besoin d’utiliser le filtre si vous voulez tous les sites. Cela ralentit la demande.
        Réouverture résolue par âge Lorsque cette option est sélectionnée, les éléments vulnérables sont automatiquement rouverts lorsque le nombre de jours pendant lesquels ils ont été résolus mais non fermés correspond à la valeur affichée dans le champ Rouvrir résolu après .
    5. Cliquez sur Enregistrer.
    6. Facultatif : Si vous souhaitez définir une date de début dans les Rapid7 enregistrements Intégration de vulnérabilité - API et Intégration d’élément vulnérable Rapid7 - API pour récupérer des données historiques lors de votre importation initiale à partir de l’analyse Rapid7 , suivez ces étapes.
      Vous pouvez utiliser ces données pour vous aider avec Fermeture des détections obsolètes dans Réponse aux vulnérabilités.
      1. Accédez à la Rapid7 Vulnerability Integration > Administration > Intégrations.
        La Rapid7 liste des intégrations s’affiche.
      2. Cliquez sur l’un des enregistrements d’intégration pour l’ouvrir.

        En haut du formulaire, cliquez sur le lien ici pour modifier l’enregistrement.

        Le champ Importer depuis la date dans les intégrations est vide par défaut, à l’exception Rapid7 de l’API et de l’intégration Rapid7 d’éléments vulnérables Rapid7 : API. Pour ces intégrations, ces champs sont définis sur 1998-12-31 ou 1999-01-01.

        Pour récupérer des données historiques lors de votre importation initiale à partir de l’analyse Rapid7 , définissez une date de début dans les enregistrements d’intégration appropriés. Ce processus fonctionne pour toute Rapid7 intégration, avec les exceptions suivantes :
        • Les Rapid7 intégrations Exploit et Malware Kit n’affichent pas le champ Importer depuis , car elles n’effectuent pas de mises à jour Delta et n’utilisent donc pas ce champ.
        • L’intégration Rapid7 de la liste des actifs ignore le champ, car son intention est de récupérer toutes les données.
        • Pour l’exécution initiale de l’API Rapid7 InsightVM Intégration complète des éléments vulnérables lorsque le module Fermer automatiquement les éléments vulnérables périmés est activé et que le champ Importer depuis est laissé vide.

          Lorsque vous activez la fonctionnalité de fermeture automatique, une exécution réussie de l’intégration complète des éléments vulnérables Rapid7 ou de l’intégration complète des éléments vulnérables Rapid7 - API est requise. Ces intégrations sont désactivées par défaut.

          Lorsque vous activez l’intégration complète des Rapid7 InsightVM éléments vulnérables – API, si vous laissez le champ Importer depuis vide sur la page de configuration de l’intégration, la valeur du champ Il y a jours du formulaire Fermer automatiquement les éléments vulnérables périmés est également utilisée pour la date d’importation depuis lors de la première exécution de l’intégration. La valeur par défaut pour Fermer automatiquement les éléments vulnérables périmés est de (90 jours).

          Par exemple, si le champ jours plus tôt du formulaire Éléments vulnérables périmés à fermeture automatique est 90 et que le champ Importer depuis de la page Intégration complète des éléments vulnérables Rapid7 : page de configuration de l’API est vide, la première exécution de l’intégration importe les données des 90 derniers jours.

          Cette relation entre les champs Importer depuis et jours plus tôt s’applique uniquement à la première exécution d’intégration. Par la suite, la modification du champ « jours plus tôt » du formulaire Fermer automatiquement les éléments vulnérables périmés n’affecte pas le champ Importer depuis sur la page Intégration d’élément vulnérable complet Rapid7 : page de configuration de l’API. Le champ est remplacé par l’heure de début de la première exécution afin que les exécutions d’intégration suivantes importent uniquement les informations delta

          Le champ Importer depuis est modifiable ; vous pouvez entrer les valeurs de votre choix pour chacune des intégrations.

    7. Accédez à la Tout > sn_sec_int_impl.liste > Rapid7 InsightVM.
      1. Le paramètre d’instance d’intégration import_startime_buffer_comprehensive définit un temps tampon de 24 heures avant l’heure spécifiée dans le champ Importer depuis afin que les actifs analysés à partir de ce temps tampon soient récupérés pendant l’exécution de l’intégration complète des éléments vulnérables Rapid7 - API .
        Vous pouvez modifier cette durée tampon en fonction de vos besoins.
      2. Facultatif : Définissez le paramètre close_stale_detectionssur true pour fermer les détections obsolètes qui ne proviennent plus de l’API Rapid7 pour les actifs qui sont analysés et récupérés via l’API Rapid7 via l’API Rapid7 Comprehensive Vulnerable Item Integration - API.

      Vous avez terminé avec succès les étapes d’installation, d’installation et de configuration pour le Intégration des vulnérabilités Rapid7. Vous êtes maintenant prêt à examiner et à vérifier les données importées.

    Que faire ensuite

    Les Rapid7 analyseurs et Qualys sont désactivés par défaut dans l’application Réponse aux vulnérabilités . Si vous tentez d’effectuer une nouvelle analyse à partir des éléments vulnérables ou des tâches de rattrapage qui ont ces applications comme source, le bouton Ré-analyse n’est pas disponible.

    Pour activer ces analyseurs, en tant qu’utilisateur disposant du rôle sn_vul.vulnerability_admin :

    1. Accédez à la Tout > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.
    2. Localisez le produit de scanner que vous souhaitez activer et cliquez sur l’enregistrement pour l’ouvrir.
    3. Sélectionnez la case à cocher Activé.
    4. Cliquez sur Mettre à jour.

      Le produit que vous avez activé s’affiche dans le champ Source sur les enregistrements d’éléments vulnérables et de tâches de rattrapage après la prochaine importation, et l’action Analyser de nouveau est disponible.

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Pour créer ou affiner vos règles de recherche avant l’importation, reportez-vous à la section Créer une règle de recherche de CI de Vulnerability Response.