Configurar o Rapid7 Vulnerability Integration

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 8 min. de leitura

    • Configure o Rapid7 Vulnerability Integration depois que a aplicação for instalada e ativada em seu Now Platform®.

    Antes de Iniciar

    Função necessária: o administrador [admin] baixa e instala o app. O sn_vul.vulnerability_admin ou sn_vul.admin supervisiona a configuração e verifica os resultados esperados.

    Procedimento

    1. Depois que a aplicação for ativada (instalada), navegue até Rapid7 Vulnerability Integration > Administração > Configuração.
    2. Selecione um tipo de integração na lista.
      Figura 1. Lista de tipos de integração
      Menu suspenso de tipo de integração.
    3. Selecione uma instância de integração.
      A instância de integração padrão Rapid7 InsightVM é selecionada por padrão. Se esse for o tipo de integração desejado, siga estas etapas. Se você quiser configurar o tipo de integração de data warehouse Rapid7, prossiga para a etapa 4.
      1. Com a guia Configuração de integração selecionada no formulário exibido, preencha os campos:
        Tabela 1. Guia Configuração de integração para o tipo de integração do InsightVM
        Campo Descrição
        Região do InsightVM O URL do servidor que você adquiriu no site Rapid7.
        Chave de API A chave de API que você adquiriu da sua conta do Insight Rapid7.
        Status de Validação Somente leitura: status do processo de validação de credencial.
      2. Verifique a configuração bem-sucedida clicando em Testar credenciais.
        Se uma mensagem de erro for exibida durante a configuração, insira novamente seus dados.
      3. Após um teste bem-sucedido, clique em Salvar.
      4. Clique na guia Importar configuração.

        No formulário exibido, preencha os campos.

        Tabela 2. Guia Importar configuração para InsightVM
        Campo Descrição
        Pontuação mín. do CVSS Pontuação mínima de CVSS de item vulnerável usada para filtrar itens vulneráveis durante a importação.
        Pontuação máx. de CVSS Pontuação máxima de CVSS de item vulnerável usada para filtrar itens vulneráveis durante a importação.
        Filtro do site

        Limita os dados aos Rapid7 InsightVM locais escolhidos na lista de locais. Consulte Filtrar por Rapid7 sites. Você pode escolher mais de um site. O padrão (vazio) traz todos os sites. Para preencher previamente a lista de sites, execute a API Rapid7 Site Integration - antes de definir este campo.

        Para obter informações sobre como usar a filtragem de site, consulte Filtrar por Rapid7 sites.
        Criar entrada de CVE automaticamente A propriedade do sistema para criar uma entrada CVE está ativa (verdadeiro) por padrão. Os espaços reservados do CVE serão criados automaticamente com a ingestão de conhecimento do Rapid7 se o ID do CVE não existir.

        Se você quiser que este recurso fique inativo, desative a propriedade [sn_vul_r7.create_cve_for_vulnerabilities] na lista Propriedades do sistema.
        Reabrir resolvido por idade Quando selecionados, os itens vulneráveis são reabertos automaticamente quando o número de dias em que eles foram resolvidos, mas não encerrados, corresponde ao valor exibido no campo Reabrir resolvido após.
      5. Clique em Salvar.

        Para várias implantações do tipo de integração Rapid7 InsightVM :

      6. No campo Instância de integração, abra o ícone de pesquisa da lista de pesquisa e selecione uma instância de integração existente ou clique em Novo no menu pop-up.
      7. Em Novo, insira um Nome para a instância de integração e clique em Enviar.
        O tipo de integração aparece no formulário de configuração Rapid7.
        Nota:
        Você pode excluir qualquer instância de integração, exceto a padrão. A exclusão de uma instância exclui o seguinte (exceto IVs):
        • Integrações
        • Parâmetros de instância
        • Execuções de Integração
        • Processos de integração
        • A coluna de instância no IV está marcada como vazia
      8. Verifique a configuração bem-sucedida clicando em Testar credenciais.
      9. Após um teste bem-sucedido, clique em Salvar.
    4. No campo Tipo de integração, expanda a lista e clique em Data Warehouse.
      1. Selecione a guia Configuração de integração.

        No formulário exibido, preencha os campos.

        Tabela 3. Guia Configuração de integração para o tipo de integração de data warehouse
        Campo Descrição
        Nome da credencial JDBC Nome das credenciais do seu data warehouse.
        Nome de usuário Nome de usuário do data warehouse Rapid7.
        Senha Senha do data warehouse da Rapid7.
        Status de Validação Somente leitura: status do processo de validação de credencial.
        Detalhe da Validação Somente leitura: somente data warehouse. Mostra informações adicionais sobre a verificação de validação depois que você clica em Testar credenciais pelo menos uma vez. Isso pode ser útil na depuração da sua configuração (por exemplo, validar se o seu MID Server está configurado incorretamente ou se você apenas tem as credenciais incorretas.
        DNS/IP do servidor de banco de dados DNS ou endereço IP do seu data warehouse.
        Porta do banco de dados Porta a ser usada para sua integração de data warehouse.
        Nome do banco de dados Nome do seu data warehouse.
        Deslocamento de atraso de dados (Dias) Os fatores de compensação de atraso de dados no atraso entre os dados em tempo real no scanner Rapid7 Nexpose e os dados no data warehouse.
        MID Server MID Server a ser usado. Somente servidores MID autônomos são compatíveis. MID Servers em cluster não são compatíveis.
        Tempo limite do MID Server (mín.) Número de minutos de espera para o MID Server responder antes de expirar a execução da integração.
      2. Verifique a configuração bem-sucedida clicando em Testar credenciais.
      3. Após um teste bem-sucedido, clique em Salvar.
      4. Clique na guia Importar configuração.

        No formulário exibido, preencha os campos.

        Tabela 4. Guia Importar configuração para data warehouse
        Campo Descrição
        Antes da v12.0: caixa de seleção Criar entrada de CVE Quando marcados, os espaços reservados para CVEs, ainda não presentes, são criados como registros NVD e referenciados na entrada de terceiros para Rapid7. Quando desmarcados, esses CVEs são ignorados.
        Pontuação mín. do CVSS Pontuação mínima de CVSS de item vulnerável usada para filtrar itens vulneráveis durante a importação.
        Pontuação máx. de CVSS Pontuação máxima de CVSS de item vulnerável usada para filtrar itens vulneráveis durante a importação.
        Filtro do site Limita os dados de integração de sites importados aos sites escolhidos. Você pode escolher mais de um.
        Nota:
        Como a configuração padrão é importar dados de todos os sites, você não precisa usar o filtro se quiser todos os sites. Isso torna a solicitação mais lenta.
        Reabrir resolvido por idade Quando selecionados, os itens vulneráveis são reabertos automaticamente quando o número de dias em que eles foram resolvidos, mas não encerrados, corresponde ao valor exibido no campo Reabrir resolvido após.
    5. Clique em Salvar.
    6. Opcional: Se você quiser definir uma data de início na Rapid7 Integração de vulnerabilidade - API e Integração de item vulnerável Rapid7 - registros de integração de API para recuperar dados históricos durante a importação inicial da verificação Rapid7, siga estas etapas.
      Você pode usar esses dados para ajudá-lo com Fechando detecções obsoletas em Vulnerability Response.
      1. Navegar até Rapid7 Vulnerability Integration > Administração > Integrações.
        A lista de integrações Rapid7 é exibida.
      2. Clique em um dos registros de integração para abri-lo.

        Próximo à parte superior do formulário, clique no link aqui para editar o registro.

        O campo Importar desde a data nas integrações Rapid7 está em branco, por padrão, exceto para a Integração de vulnerabilidade Rapid7 - API e a Integração de item vulnerável Rapid7 - API. Para essas integrações, esses campos são definidos como 31/12/1998 ou 01/01/1999.

        Para recuperar dados históricos durante a importação inicial da verificação Rapid7, defina uma data de início nos registros de integração apropriados. Este processo funciona para qualquer integração Rapid7 com as seguintes exceções:
        • As integrações de Exploit e Malware Kit Rapid7 não mostram o campo Importar desde porque elas não fazem atualizações delta e, portanto, não usam esse campo.
        • A integração Rapid7 Lista de ativos ignora o campo, já que sua intenção é recuperar todos os dados.
        • Para a execução inicial da Rapid7 InsightVM Integração de item vulnerável abrangente - API quando o módulo Fechar automaticamente itens vulneráveis obsoletos estiver habilitado e o campo Importar desde estiver em branco.

          Ao habilitar o recurso de fechamento automático, é necessária uma execução bem-sucedida da Integração de item vulnerável abrangente do Rapid7 ou da Integração de item vulnerável do Rapid7 - API. Essas integrações estão desabilitadas por padrão.

          Ao habilitar a Rapid7 InsightVM Integração de item vulnerável abrangente - API, se você deixar o campo Importar desde em branco na página de configuração da integração, o valor no campo dias atrás do formulário Fechar automaticamente itens vulneráveis obsoletos também será usado para a Importação desde data na primeira execução de integração. O valor padrão para itens vulneráveis obsoletos de fechamento automático é (90 dias).

          Por exemplo, se o campo dias atrás no formulário Fechar automaticamente itens vulneráveis obsoletos for 90 e o campo Importar desde na página Integração abrangente de item vulnerável do Rapid7 - Configuração da API estiver em branco, a primeira execução de integração importará os dados dos últimos 90 dias.

          Esse relacionamento entre os campos Importar desde e dias atrás se aplica somente à primeira execução de integração. Depois disso, alterar o campo dias atrás no formulário Fechar automaticamente itens vulneráveis obsoletos não afeta o campo Importar desde na página de configuração da API Integração abrangente de item vulnerável da Rapid7. O campo é alterado para a hora de início da primeira execução para que as execuções de integração subsequentes importem somente as informações delta

          O campo Importar desde é editável e você pode inserir os valores desejados para cada uma das integrações.

    7. Navegar até Todos > sn_sec_int_impl.list > Rapid7 InsightVM.
      1. O parâmetro de instância de integração import_startime_buffer_compreensivo define um tempo de buffer de 24 horas antes da hora especificada no campo Importar desde para que os ativos que são verificados a partir desse tempo de buffer sejam obtidos durante a execução da Integração de item vulnerável abrangente Rapid7 - integração de API.
        Você pode modificar este tempo de buffer de acordo com seus requisitos.
      2. Opcional: Defina o parâmetro close_stale_detections como verdadeiro para fechar as detecções obsoletas que não estão mais chegando por meio da API Rapid7 para os ativos que são verificados e recuperados por meio da API Rapid7 por meio da API Rapid7 Integração de item vulnerável abrangente.

      Você concluiu com sucesso as etapas de instalação e configuração do Rapid7 Vulnerability Integration. Agora você está pronto para revisar e verificar os dados importados.

    O que Fazer Depois

    Os scanners Rapid7 e Qualys são desativados por padrão na aplicação Vulnerability Response. Se você tentar executar uma nova verificação a partir dos itens vulneráveis ou das tarefas de correção que têm essas aplicações como origem, o botão Verificar novamente não estará disponível.

    Para ativar esses scanners, como um usuário com a função sn_vul.vulnerability_admin:

    1. Navegar até Todos > Vulnerability Response > Verificação de Vulnerabilidades > Scanners.
    2. Localize o scanner que você deseja ativar e clique no registro para abri-lo.
    3. Marque a caixa de seleção Ativo.
    4. Clique em Atualizar.

      O produto que você ativou é exibido no campo Origem no item vulnerável e nos registros de tarefa de correção após a próxima importação, e a opção Nova verificação está disponível como uma ação de IU.

    Se o seu ambiente requer importações separadas por domínio, consulte Criar importações separadas por domínio para uma integração.

    Para criar ou refinar suas regras de pesquisa antes da importação, consulte Criar uma regra de pesquisa de IC do Vulnerability Response.