Splunk的InsightVM技术插件

Splunk的InsightVM技术插件允许您将InsightVM资产和漏洞数据导入到Splunk环境中,并与同伴一起查看该数据InsightVM仪表板.对于InsightVM客户,这些新的Splunk导入和可视化工具在功能上取代了旧的Nexpose技术附件Nexpose仪表板

此加载项的新Insightvm版本的不同之处在于以下方式:

Splunk的InsightVM技术插件 Splunk的Nexpose Technology Add-On
利用Rapid7 Insight Cloud提取资产和漏洞数据 是的,InsightVM插件从Insight Cloud提取数据,并且不影响内部的安全控制台。 否,Nexpose附加加载使用SQL报告从安全控制台中提取所有数据。
包括导入资产的Site、标签和资产组详细信息 是的,资产导入将包括站点和标记;但是,当前不包括资产组。资产中包含的任何站点都将显示在标签关键。 否,Nexpose附加模块仅包括导入资产的标记名列表。
仅在运行输入时导入新数据 是的,每次运行输入时,InsightVM插件仅导入最近扫描的设备的资产和漏洞。这减少了Splunk中存储的数据量,并使该数据更具可操作性。 基于范围内标识的任何新扫描的Nexpe附加添加数据。由于所有漏洞导入新站点中标识的资产,因此无法区分新的,现有或修复的漏洞。
提供筛选范围内的资产和漏洞的能力 是的,InsightVM附加功能具有查询构建器可用的相同资产和漏洞过滤器,可以使用输入配置定义它们以减少正在导入的数据的范围。 可以使用暴露附加组件按站点id进行过滤,但不支持其他过滤。
首次运行时导入历史数据 是的。所有随后的导入只包括从资产和漏洞中扫描的数据。 是的。
漏洞查找导入包括设备上的修复状态 是的,Insightvm加载项进口漏毒物查询查找状态=已纠正发生补救时的价值。所有新的漏洞发现都用finding_status = new 不。

安装

你可以使用Splunk UI将附加组件安装为应用程序:

  1. 从Splunk的Apps菜单中选择管理应用程序
  2. 选择浏览更多应用程序
  3. 搜索“Rapid7 InsightVM技术加载项”。
  4. 选择安装从应用程序列表。
  5. 当提示时,重启Splunk完成。

配置

你必须在插件中配置两个组件,然后才能使用它:

  • 连接
  • 一个或多个输入

连接

连接需要一个API密钥来连接到InsightVM并从中检索数据。如果要在不同的输入中使用不同的连接,则该插件允许您创建多个连接。

如果你需要为连接生成一个新的API密钥,请遵循以下步骤:

  1. 登录到洞察平台。dota2必威联赛
  2. 在顶部菜单中选择齿轮图标并单击API键
  3. 选择组织的关键
  4. 选择+新密钥
  5. 输入密钥的名称并单击产生
  6. 复制生成的密钥并将其存储在安全位置。

有一个API键后,请按照以下步骤配置SPLUNK中的InsightVM连接。

  1. 导航到Rapid7 InsightVM技术插件可在Splunk的“应用程序”菜单下。
  2. 选择配置
  3. 选择添加
  4. 输入连接的名称。
  5. 输入您的区域,这是一个基于位置的两个字符字符串(例如我们).
  6. 输入生成的API密钥。
  7. 点击添加

投入

该插件使用输入配置从InsightVM导入资产和漏洞数据。这些输入允许您进一步筛选Splunk检索和摄取的数据。

有两种输入可供配置:

  • InsightVM资产导入- 导入资产和可选漏洞查找数据。
  • InsightVM漏洞定义导入- 导入漏洞定义。

要创建新的输入,请导航到附加菜单并单击>创建新的输入然后选择需要配置的。

InsightVM资产导入

可自定义的InsightVM资产导入输入字段如下:

领域 描述
姓名 将在Splunk中显示的输入的名称。
时间间隔 附加组件导入InsightVM数据的频率,以秒为单位。默认值(也是推荐的最大值)是每小时一次。
指数 数据的首选Splunk索引。默认值是rapt7.. 请注意,您必须创建一个新的rapt7.在Splunk中索引,如果你选择使用这个。
Insightvm连接 根据前面connection部分的说明创建的InsightVM连接。
资产过滤器 用于过滤附加组件导入的资产的查询。
进口的漏洞 如果需要,此选项允许加载项将漏洞发现结果导入到Splunk中以及资产中。
漏洞过滤器 用于过滤附加组件导入的漏洞查找结果的查询。
包括相同的漏洞 当这个选项和进口的漏洞已选中,加载项将导入,作为新事件,自上次执行导入以来未更改状态的漏洞。额外的漏洞将有更新最后发现,但导入Splunk的数据总量会增加。
示例资产过滤器

以下查询是可以为“资产过滤器”字段设置的示例:

  • 网站['站点名]
  • 标签(标签名
  • os_family =窗户
例子脆弱性过滤器

类似地,这些查询是漏洞过滤器字段的示例:

  • cvss_v2_分数>6
  • severity =批评的

InsightVM漏洞定义导入

附加组件使用此输入从InsightVM导入漏洞定义。您还可以使用此数据来关联漏洞发现结果(如果您选择导入这些发现)。在您的环境中可视化资产发现并不需要导入漏洞定义,但它确实提供了关于漏洞的额外细节。

仅在需要时导入漏洞定义

如果不需要漏洞定义详细信息,我们建议您不要启用此输入,因为每次运行输入时,它都会接收大量数据。有些漏洞定义太大,需要截断数据。当字符串发生截断时,在截断点插入省略号(…)。对于列表,限制为75项。

InsightVM漏洞定义可自定义字段导入输入如下:

领域 描述
姓名 将在Splunk中显示的输入的名称。
时间间隔 加载项导入InsightVM数据的频率(秒)。此输入的默认值(和建议的最大值)为每天一次。
指数 数据的首选Splunk索引。默认值是rapt7.. 请注意,您必须创建一个新的rapt7.在Splunk中索引,如果你选择使用这个。
Insightvm连接 根据前面connection部分的说明创建的InsightVM连接。
漏洞过滤器 用于过滤附加组件导入的漏洞定义的查询。

导入数据

下表表示导入的数据字段,并包含每个字段的示例数据。

资产Sourcetype

字段名 示例数据
对政策进行评估 假的
评估\u的漏洞 真正的
credential_assessments port: 22 protocol: TCP status: NO_CREDS_SUPPLIED
critical_vulnerabilities 5
利用 12
主机名 hostname-1
id 234574486-34A7-40A3-0923-28BD0B5CC90E-DEFAULT-ASSET-100
知识产权 127.0.0.1
last_scan_end 2020-06-23T17:45:59.963Z
last_scan_start. 2020 - 06 - 23 - t16:38:00.963z
mac 00:1B:44:11:3A:B7
malware_kits 1
moderate_vulnerabilities 8
os_description Microsoft Windows Server 2008 R2, Enterprise Edition SP1
奥苏家族 窗户
os_name Windows Server 2008 R2,企业版
os_system_name 微软Windows
os_type 一般的
os_vendor 微软
os_version SP1
风险评分 5000
严重漏洞 4
标签 “姓名”:“US-AUSTIN”,“类型”:“网站”
total_vulnerabilities 17

资产漏洞查找源类型

字段名 示例数据
first_found. 2020-04-15T02:38:41Z
最后发现 2020-06-23T20:40:51.981Z
港口 3389
证明

与以下不安全密码套件协商:

  • TLS 1.0密码:
    • TLS_RSA_与_RC4_128_SHA

协议 传输控制协议
solution_fix [解决方案详情]
解决方案id ssl-disable-rc4-ciphers
solution_summary 禁用RC4 Ciphers的TLS / SSL支持
solution_type 解决方法
状态 VULNERABLE_EXPL
漏洞标识 rc4-cve-2013-2566
寻找你的身份 发现
asset_id 234574486-34A7-40A3-0923-28BD0B5CC90E-DEFAULT-ASSET-100
asset_hostname hostname-1
asset_ip 127.0.0.1

脆弱性定义Sourcetype

字段名 示例数据
补充 2018-05-16T00:00:00Z
类别 7 - zip,远程执行
cf cve - 2016 - 2334
cvss_v2_access_complexity 媒介
cvss_v2_access_vector 网络
cvss_v2_authentication 没有任何
cvss_v2_availability_impact 完整的
cvss_v2_confidentiality_impact. 完整的
cvss_v2_exploit_score 8.5888
cvss_v2_影响_分数 10.000845
cvss_v2_integrity_impact 完整的
cvss_v2_分数 9.3
cvss_v2_vector AV:N / AC:M / AU:N / C:C / I:C / A:C
cvss_v3_attack_complexity 低的
cvss_v3_攻击_向量 当地的
cvss_v3_availability_impact
cvss_v3_confidentiality_impact
cvss_v3_exploit_score 1.8345766
cvss_v3_impact_score. 5.873119
cvss_v3_integrity_impact
cvss_v3_privileges_required 没有任何
cvss_v3_范围 不变
cvss_v3_分数 7.8
cvss_v3_用户_交互 必修的
cvss_v3_向量 CVSS: 3.0 / AV: L /交流:L /公关:N / UI: R / S: U / C: H /我:H: H
拒绝服务 假的
描述 基于堆的缓冲区溢出在保证金中NHfs在16.00和p7zip之前,7zip中的ExtractZlibFile方法允许远程攻击者通过精心制作的HFS+映像执行任意代码。
id 7-zip-cve-2016-2334
链接

“href”:“http://www.securityfocus.com/bid/90531”,
“id”:“90531”,
“rel”:“顾问”,
“来源”:“投标”

修改 2018 - 06 - 08 - t00:00:00z
pci_cvss_score 9.3
pci_失败 真正的
pci_严重性_评分 5
pci_status 失败
发表 2016-12-13T00:00:00Z
参考文献 投标编号:90531,cve:cve-2016-2334,网址:http://www.securitytracker.com/id/1035876
风险评分 598.07
严重程度 批评的
严重程度评分 9
标题 7-Zip:CVE-2016-2334:基于堆的缓冲区溢出漏洞

InsightVM仪表板当前未使用漏洞定义sourcetype,但导入的数据可用于补充使用资产导入输入导入的资产漏洞发现。

漏洞定义的数据复制

请注意,漏洞定义不会经常更改。加载项随时间导入的结果数据可能会产生重复项。

可视化数据

Splunk的InsightVM仪表板用作可视化与附加组件导入的数据的起点。包含两个仪表板:

  • 用于可视化资产详细信息的InsightVM资产仪表板
  • InsightVM漏洞发现仪表板用于可视化资产中发现的漏洞实例的详细信息。

Rapid7 InsightVM仪表板具有多个自定义选项,您可以使用与加载项相同的方式将其作为应用程序安装。

Splunk中的资产仪表盘

Splunk中的漏洞发现仪表板

必须设置索引和时间段

请注意这些仪表板中所选的索引和时间段。如果这些过滤器设置设置不正确,数据可能不会显示。

常见问题

InsightVM是否有从exposed Technology附加组件到这个新附加组件的迁移路径?

不。由于每个附加组件检索数据和存储内容的方式不同,因此没有从遗留的exposure Technology附加组件迁移到InsightVM Technology附加组件的路径。但是,两个附加组件可以同时使用,因此可以继续使用暴露技术附加组件,直到您准备完全禁用它。

为什么我没有看到任何数据在我的附加组件/仪表板?

检查所选的索引和时间段,以便过滤数据。这些通常需要调整,以正确地过滤资产和漏洞。另外,如果默认rapt7.索引用于输入,确保已创建此索引。

资产导入输入每次运行时都会导入所有资产吗?

否。首次运行资产导入时,它将导入所有资产。之后,所有后续导入将只拉入自上次导入发生以来新扫描的资产。

漏洞定义每次运行时是否导入所有定义?

是的,所有的漏洞定义将在每次运行时导入。因此,我们建议每天最多运行一次导入。

我如何知道一个漏洞是新的还是已修复的?

检查寻找你的身份用于确定是新的、已修复的还是未更改的漏洞查找字段。这个补救状态分别表示新的和已修复的漏洞,而发现状态表示先前找到的、未更改的漏洞查找结果。

我能否确定漏洞是否已修复?

是的,所有漏洞发现都会有寻找你的身份当附加组件将它们导入Splunk时。如果修补了漏洞,则附加组件将其作为一个新事件导入寻找你的身份补救

附加组件能否在每次输入运行时导入所有数据?

不,附加组件目前只导入自上次输入运行以来已经扫描过的资产的数据。在内部,Rapid7跟踪上一次作业成功的时间,并且只在没有收到错误时更新,以避免丢失应该导入的数据。

在日志中,我可以看到一个或多个请求失败(例如状态504),这是否意味着导入过程会错过数据?

并非所有HTTP请求都成功。因此,当请求失败时,应用程序将重试该请求,最多重试3次。在每次重试之间添加延迟,并将增加后续重试的持续时间。如果已达到最大重试次数,且请求未成功,则导入将失败,并在下一次执行Data Input时重新开始。

如果问题持续存在,请确认原因不是由于代理或防火墙规则。否则,请联系Rapid7 Support确保业务无降级。

为什么我的一些漏洞定义属性值被截断?

只有最大的漏洞定义(不是资产或漏洞发现)会受到影响。一些漏洞定义非常大,可能会导致性能问题,需要删除一些数据。被截断的字符串将以省略号(…)结束,被截断的列表的长度上限为75。

我在splunkd.log中看到截断警告,这是什么意思?

这些警告可能看起来类似LineBreakingProcessor—由于超过XXXXX字节限制而截断行

Splunk截断过大的事件。这可能导致数据被从索引中排除。如果这些错误出现在rapid7: insightvm:资产rapid7: insightvm:资产:vulnerability_findingData Sourcetypes,然后在Technology Add-on中增加相关Sourcetype的截断值app.conf并执行了一个新的初始导入。

如果我以前选择不导入漏洞调查结果,但现在想要导入,那么我将来的运行会导入错过的漏洞吗?

不,需要执行一个新的初始导入,以获取以前没有导入的漏洞发现结果。

如果我怀疑在导入运行过程中丢失了数据,我该怎么做?

确保您使用的是该附加组件的最新版本。您遇到的任何数据丢失问题都可以通过在后续版本中应用的缺陷修复来解决。当升级到新版本的附加组件时,可能需要清除以前版本存储的状态数据,因为这可能会影响将来的导入。看到升级章节以获取更多信息。

升级

您可以通过单击升级附加组件更新按钮,从Splunk应用浏览器页面或更新可用从应用程序管理页面。有关Splunk Cloud应用程序更新过程的更多信息,请参阅位于的Splunk文档https://docs.splunk.com/Documentation/AddOns/released/Overview/SplunkCloudinstall

升级时,并不总是执行完整导入,但如果升级是因为在上一个导入期间错过了数据,那么应使用最新版本的加载项来执行完整的导入。附加加载决定了自上次导入以来的完全导入或部分导入(“部分导入”是指自Splunk的KV商店中的状态信息以来的差异。

需要注意的是,如果没有创建新索引或没有刷新现有索引,执行完整导入可能会导致索引大量重复数据。

有许多方法可以强制完全导入。Rapid7建议您在开始这个过程之前通读所有的步骤。

方法1:创建新的附加输入

这将不会删除任何现有的数据或附加组件配置。相反,创建了第二个附加输入。Splunk的KV存储中存储的状态数据与附加组件输入名称绑定,因此使用不同的名称创建输入意味着当Splunk执行新输入时,附加组件执行完整导入。

  1. (可选)通过进入创建新索引设置>索引>新. 输入与上一个索引名称不同的唯一名称(例如rapid7_新).
  2. 从Splunk主页中,选择Rapid7 InsightVM从应用程序菜单。
  3. 选择创建新输入并输入一个与创建原始输入时选择的名称不同的唯一名称。
  4. 确保选择相应的索引。
  5. 下次执行导入时将执行初始导入。如果未创建新索引,这可能会导致大量重复数据被索引。考虑禁用原始输入以减轻这种情况。

方法2:手动删除状态数据

这将删除可能无法恢复的现有状态数据。如前所述,状态数据的名称与输入的名称相关联。

  1. 通过单击Rapid7 InsightVM Splunk App并注意输入的名称,例如“asset_import”。这是{{input_name}}在下面步骤3中使用。
  2. (可选)通过发送得到请求{{splunkdprotocol}}:// {{slushunkhost}}:{{slushunkdport}} / servicesns / nobody / ta-stave7-InsightVM /存储/集合/数据/ TA_RAPID7_INSIGHTVM_CHECKPOITER. 例如,不要忘记用适合您的环境的值替换占位符https://localhost:8090/servicesNS/nobody/TA-rapid7-insightvm/storage/collections/data/TA_rapid7_insightvm_checkpointer. 请求中应包含的标题如下内容类型:application / json授权:{{基本认证}}.基本授权使用Splunk用户名/密码。
  3. 发送删除请求删除所选输入的数据。不要忘记用适合您的环境的值替换占位符。请求中应该包含的头是内容类型:application / json授权:{{基本认证}}.基本授权使用Splunk用户名/密码。
    • {{splunkdProtocol}://{{splunkHost}:{{splunkdPort}/servicesNS/nobody/TA-rapid7-insightvm/storage/collections/data/TA_rapid7_insightvm_checkpointer/{input_name}最后一次导入
    • {{splunkdprotocol}}:// {{splunkhost}}:{{splunkdport}} / servicesns / nobody / ta-stave7-Insightvm / Storage / Collections / data / ta_rapid7_insightvm_checkpointer / {{input_name}} -last_assessed_time
  4. 初始导入将在下次执行导入时执行。

故障排除

有三个日志文件可用于帮助调试问题,通常位于< splunk_home > / var / log / splunk /

  • splunkd.log- Splunk常规日志
  • ta_rapid7_insightvm_insightvm_asset_import.log.—InsightVM资产导入输入日志
  • ta_rapid7_insightvm_insightvm_vulnerability_definition_import.log.- log for insightvm漏洞定义导入输入