Configure o Integração com Rapid7 Vulnerability

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • Configure o Integração com Rapid7 Vulnerability depois que a aplicação for instalada e ativada em seu Now Platform®.

    Antes de Iniciar

    Função necessária: o administrador [admin] baixa e instala o app. O sn_vul.vulnerability_admin ou sn_vul.admin supervisiona a configuração e verifica os resultados esperados.

    Procedimento

    1. Depois que a aplicação for ativada (instalada), navegue até Integração com Rapid7 Vulnerability > Administração > Configuração.
    2. Selecione um tipo de integração na lista.
      Figura 1. Lista de tipos de integração
      Menu suspenso do tipo de integração.
    3. Selecione uma instância de integração.
      A instância de integração padrão Rapid7 InsightVM é selecionada por padrão. Se esse for o tipo de integração desejado, siga estas etapas. Se você quiser configurar o tipo de integração de data warehouse Rapid7, prossiga para a etapa 4.
      1. Com a guia Configuração de integração selecionada no formulário exibido, preencha os campos:
        Tabela 1. Guia Configuração de integração para o tipo de integração do InsightVM
        Campo Descrição
        Região do InsightVM A URL do servidor que você adquiriu do site Rapid7.
        Chave de API A chave de API que você adquiriu da sua conta do Rapid7 Insight.
        Status de Validação Somente leitura: status do processo de validação de credenciais.
      2. Verifique a configuração bem-sucedida clicando em Testar credenciais.
        Se uma mensagem de erro for exibida durante a configuração, insira novamente os dados.
      3. Depois de um teste bem-sucedido, clique em Salvar.
      4. Clique na guia Importar configuração.

        No formulário exibido, preencha os campos.

        Tabela 2. Guia Importar configuração do InsightVM
        Campo Descrição
        Pontuação mín. do CVSS Pontuação mínima de CVSS de item vulnerável usada para filtrar itens vulneráveis durante a importação.
        Pontuação máxima de CVSS Pontuação máxima de CVSS de item vulnerável usada para filtrar itens vulneráveis durante a importação.
        Filtro do site

        Limita os dados aos Rapid7 InsightVM sites escolhidos na lista Sites. Consulte Filtrando por Rapid7 sites. Você pode escolher mais de um site. O padrão (vazio) traz todos os sites. Para preencher previamente a lista de locais, execute a API Rapid7 Site Integration - antes de definir este campo.

        Para obter informações sobre como usar a filtragem de site, consulte Filtrando por Rapid7 sites.
        Criar entrada de CVE automaticamente A propriedade do sistema para criar uma entrada CVE está ativa (verdadeira) por padrão. Os espaços reservados do CVE serão criados automaticamente com a ingestão de conhecimento do Rapid7 se o ID do CVE não existir.

        Se você quiser que este recurso fique inativo, desative a propriedade [sn_vul_r7.create_cve_for_vulnerability] na lista Propriedades do sistema.
        Reabrir resolvido por idade Quando selecionados, os itens vulneráveis são reabertos automaticamente quando o número de dias em que eles foram resolvidos, mas não encerrados, corresponde ao valor exibido no campo Reabrir resolvido após.
      5. Clique em Salvar.

        Para várias implantações do tipo de integração Rapid7 InsightVM :

      6. No campo Instância de integração, abra o ícone Pesquisar lista de pesquisa e selecione uma instância de integração existente ou clique em Novo no menu pop-up.
      7. Em Novo, insira um Nome para a instância de integração e clique em Enviar.
        O tipo de integração aparece no formulário de configuração Rapid7.
        Nota:
        Você pode excluir qualquer instância de integração, exceto a padrão. A exclusão de uma instância exclui o seguinte (exceto IVs):
        • Integrações
        • Parâmetros de instância
        • Execuções de Integração
        • Processos de integração
        • A coluna de instância no VI está marcada como vazia
      8. Verifique a configuração bem-sucedida clicando em Testar credenciais.
      9. Depois de um teste bem-sucedido, clique em Salvar.
    4. No campo Tipo de integração, expanda a lista e clique em Depósito de dados.
      1. Selecione a guia Configuração de integração.

        No formulário exibido, preencha os campos.

        Tabela 3. Guia Configuração de integração para o tipo de integração de data warehouse
        Campo Descrição
        Nome da credencial JDBC Nome das credenciais do data warehouse.
        Nome de usuário Nome de usuário do data warehouse do Rapid7.
        Senha Senha do data warehouse da Rapid7.
        Status de Validação Somente leitura: status do processo de validação de credenciais.
        Detalhe da Validação Somente leitura: somente data warehouse. Mostra informações adicionais sobre a verificação de validação depois que você clica em Testar credenciais pelo menos uma vez. Isso pode ser útil para depurar sua configuração (por exemplo, validar se o MID Server estiver configurado incorretamente ou se você tiver apenas as credenciais incorretas.
        DNS/IP do servidor de banco de dados DNS ou endereço IP do seu data warehouse.
        Porta do banco de dados Porta a ser usada para a integração do data warehouse.
        Nome do banco de dados Nome do seu data warehouse.
        Deslocamento de atraso de dados (Dias) A compensação de atraso de dados considera o atraso entre os dados em tempo real no scanner Rapid7 Nexpose e os dados no data warehouse.
        MID Server MID Server a ser usado. Somente MID Servers autônomos são compatíveis. MID servers em cluster não são compatíveis.
        Tempo limite do MID Server (mín.) Número de minutos para aguardar a resposta do MID Server antes de atingir o tempo limite da execução da integração.
      2. Verifique a configuração bem-sucedida clicando em Testar credenciais.
      3. Depois de um teste bem-sucedido, clique em Salvar.
      4. Clique na guia Importar configuração.

        No formulário exibido, preencha os campos.

        Tabela 4. Guia Configuração de importação do Data Warehouse
        Campo Descrição
        Antes da v12.0: caixa de seleção Criar entrada de CVE Quando marcados, os espaços reservados para CVEs, ainda não presentes, são criados como registros do NVD e referenciados na entrada de terceiros para Rapid7. Quando desmarcados, esses CVEs são ignorados.
        Pontuação mín. do CVSS Pontuação mínima de CVSS de item vulnerável usada para filtrar itens vulneráveis durante a importação.
        Pontuação máxima de CVSS Pontuação máxima de CVSS de item vulnerável usada para filtrar itens vulneráveis durante a importação.
        Filtro do site Limita os dados de integração de sites importados aos sites escolhidos. Você pode escolher mais de um.
        Nota:
        Como a configuração padrão é importar dados de todos os sites, você não precisa usar o filtro se quiser todos os sites. Isso torna a solicitação mais lenta.
        Reabrir resolvido por idade Quando selecionados, os itens vulneráveis são reabertos automaticamente quando o número de dias em que eles foram resolvidos, mas não encerrados, corresponde ao valor exibido no campo Reabrir resolvido após.
    5. Clique em Salvar.
    6. Opcional: Se você quiser definir uma data de início nos registros de integração de vulnerabilidade - API Rapid7 e integração de item vulnerável do Rapid7 - API para recuperar dados históricos durante a importação inicial da verificação de Rapid7, siga estas etapas.
      Você pode usar esses dados para ajudá-lo com Fechando detecções obsoletas em Resposta a vulnerabilidades.
      1. Navegar até Integração com Rapid7 Vulnerability > Administração > Integrações.
        A lista de integrações Rapid7 é exibida.
      2. Clique em um dos registros de integração para abri-lo.

        Próximo à parte superior do formulário, clique no link aqui para editar o registro.

        O campo Importar desde a data nas integrações Rapid7 está em branco, por padrão, exceto para a Integração de vulnerabilidade Rapid7 - API e a Integração de item vulnerável Rapid7 - API. Para essas integrações, esses campos são definidos como 1998-12-31 ou 1999-01-01.

        Para recuperar dados históricos durante a importação inicial da verificação Rapid7, defina uma data de início nos registros de integração apropriados. Este processo funciona para qualquer integração Rapid7, com as seguintes exceções:
        • As integrações de exploração e kit de malware Rapid7 não mostram o campo Importar desde porque não fazem atualizações delta e, portanto, não usam esse campo.
        • A integração Rapid7 Lista de ativos ignora o campo, já que sua intenção é recuperar todos os dados.
        • Para a execução inicial da Rapid7 InsightVM Integração de item vulnerável abrangente – API quando o módulo de fechamento automático de itens vulneráveis obsoletos está habilitado e o campo Importar desde é deixado em branco.

          Quando você habilita o recurso de fechamento automático, é necessária uma execução bem-sucedida da Integração de item vulnerável abrangente do Rapid7 ou da Integração de item vulnerável abrangente do Rapid7 - API. Essas integrações estão desabilitadas por padrão.

          Ao habilitar a Rapid7 InsightVM Integração Abrangente de Item Vulnerável – API, se você deixar o campo Importar desde em branco na página de configuração de integração, o valor no campo dias atrás do formulário Fechar automaticamente itens vulneráveis obsoletos também será usado para Importar desde data na primeira execução de integração. O valor padrão para Itens vulneráveis obsoletos de fechamento automático é (90 dias).

          Por exemplo, se o campo de dias atrás no formulário de fechamento automático de itens vulneráveis obsoletos for 90 e o campo Importar desde na página Integração abrangente de itens vulneráveis do Rapid7 - API estiver em branco, a primeira execução de integração importará os dados dos últimos 90 dias.

          Este relacionamento entre os campos Importar desde e dias atrás se aplica somente à primeira execução de integração. Depois disso, alterar o campo dias atrás no formulário de fechamento automático de itens vulneráveis obsoletos não afeta o campo Importar desde na página Integração abrangente de itens vulneráveis do Rapid7 – API. O campo é alterado para a hora de início da primeira execução para que as execuções de integração subsequentes importem somente as informações delta

          O campo Importar desde é editável e você pode inserir os valores desejados para cada uma das integrações.

    7. Navegar até Todos > sn_sec_int_impl.list > Rapid7 InsightVM.
      1. O parâmetro de instância de integração import_startime_buffer_comprehenctive define um tempo de buffer de 24 horas antes do tempo especificado no campo Importar desde para que os ativos verificados a partir desse tempo de buffer sejam obtidos durante a execução da Integração de item vulnerável abrangente do Rapid7 - API.
        Você pode modificar este tempo de buffer de acordo com seus requisitos.
      2. Opcional: Defina o parâmetro close_stale_detections como verdadeiro para fechar as detecções obsoletas que não estão mais chegando por meio da API Rapid7 para os ativos que são verificados e recuperados por meio da API Rapid7 por meio da Integração abrangente de itens vulneráveis do Rapid7 - API.

      Você concluiu com sucesso as etapas de instalação e configuração do Integração com Rapid7 Vulnerability. Agora você está pronto para revisar e verificar os dados importados.

    O que Fazer Depois

    Os scanners Rapid7 e Qualys são desativados por padrão na aplicação Resposta a vulnerabilidades. Se você tentar executar uma nova verificação a partir dos itens vulneráveis ou das tarefas de correção que têm essas aplicações como origem, o botão Verificar novamente não estará disponível.

    Para ativar esses scanners, como um usuário com a função sn_vul.vulnerability_admin:

    1. Navegar até Todos > Resposta a vulnerabilidades > Verificação de Vulnerabilidades > Scanners.
    2. Localize o produto de scanner que você deseja ativar e clique no registro para abri-lo.
    3. Marque a caixa de seleção Ativo.
    4. Clique em Atualizar.

      O produto ativado é exibido no campo Origem nos registros de item vulnerável e de tarefa de correção após a próxima importação, e Verificar novamente está disponível como uma ação de IU.

    Se o seu ambiente exigir importações separadas por domínio, consulte Criar importações separadas por domínio para uma integração.

    Para criar ou refinar suas regras de pesquisa antes da importação, consulte Criar uma regra de pesquisa de IC de resposta a vulnerabilidades.