Rapid7 InsightVM
编辑Rapid7 InsightVM
编辑概述
编辑Rapid7 InsightVM 集成允许用户监控资产和漏洞事件。Rapid7 InsightVM 可以发现您所有端点、云和虚拟化基础设施中的风险。它可以对风险进行优先级排序,并为 IT 和 DevOps 提供逐步指导,以实现更有效的修复。从您的仪表板中实时查看您的风险。衡量并传达您项目目标的进展情况。
使用 Rapid7 InsightVM 集成从 REST API 收集和解析数据。然后在 Kibana 中可视化该数据。
数据流
编辑Rapid7 InsightVM 集成收集两种类型的事件:资产和漏洞。
资产用于获取与用户有权访问的资产的清单、评估和摘要详细信息相关的详细信息。有关更多详细信息,请参阅此处的 API 文档这里。
漏洞用于检索可以评估的所有漏洞。有关更多详细信息,请参阅此处的 API 文档这里。
要求
编辑需要 Elasticsearch 来存储和搜索数据,需要 Kibana 来可视化和管理数据。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
此模块使用InsightVM 云集成 API v4。
设置
编辑要从 Rapid7 InsightVM API 收集数据,请按照以下步骤操作
编辑- 生成平台 API 密钥以访问所有 Rapid7 InsightVM API。有关更多详细信息,请参阅文档。
日志参考
编辑资产
编辑这是 资产 数据集。
示例
资产 的示例事件如下所示
{
"@timestamp": "2023-05-23T16:17:06.996Z",
"agent": {
"ephemeral_id": "163d2260-4499-492b-bbd5-4d90487865b9",
"id": "c157ef08-38bb-40dd-bae1-c6bc8c8f02fa",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.9.0"
},
"data_stream": {
"dataset": "rapid7_insightvm.asset",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c157ef08-38bb-40dd-bae1-c6bc8c8f02fa",
"snapshot": true,
"version": "8.9.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"created": "2023-05-23T16:17:06.996Z",
"dataset": "rapid7_insightvm.asset",
"ingested": "2023-05-23T16:17:08Z",
"kind": "state",
"original": "{\"assessed_for_policies\":false,\"assessed_for_vulnerabilities\":true,\"critical_vulnerabilities\":0,\"exploits\":0,\"id\":\"452534235-25a7-40a3-9321-28ce0b5cc90e-default-asset-199\",\"ip\":\"10.1.0.128\",\"last_assessed_for_vulnerabilities\":\"2020-03-20T19:19:42.611Z\",\"last_scan_end\":\"2020-03-20T19:19:42.611Z\",\"last_scan_start\":\"2020-03-20T19:18:13.611Z\",\"malware_kits\":0,\"moderate_vulnerabilities\":2,\"new\":[],\"os_architecture\":\"x86_64\",\"os_description\":\"CentOS Linux 2.6.18\",\"os_family\":\"Linux\",\"os_name\":\"Linux\",\"os_system_name\":\"CentOS Linux\",\"os_type\":\"General\",\"os_vendor\":\"CentOS\",\"os_version\":\"2.6.18\",\"remediated\":[],\"risk_score\":0,\"severe_vulnerabilities\":0,\"tags\":[{\"name\":\"lab\",\"type\":\"SITE\"}],\"total_vulnerabilities\":2}",
"type": [
"info"
]
},
"host": {
"architecture": "x86_64",
"id": "452534235-25a7-40a3-9321-28ce0b5cc90e-default-asset-199",
"ip": [
"10.1.0.128"
],
"os": {
"family": "Linux",
"full": "CentOS Linux 2.6.18",
"name": "Linux",
"version": "2.6.18"
},
"risk": {
"static_score": 0
}
},
"input": {
"type": "httpjson"
},
"rapid7": {
"insightvm": {
"asset": {
"assessed_for_policies": false,
"assessed_for_vulnerabilities": true,
"critical_vulnerabilities": 0,
"exploits": 0,
"id": "452534235-25a7-40a3-9321-28ce0b5cc90e-default-asset-199",
"ip": "10.1.0.128",
"last_assessed_for_vulnerabilities": "2020-03-20T19:19:42.611Z",
"last_scan_end": "2020-03-20T19:19:42.611Z",
"last_scan_start": "2020-03-20T19:18:13.611Z",
"malware_kits": 0,
"moderate_vulnerabilities": 2,
"os": {
"architecture": "x86_64",
"description": "CentOS Linux 2.6.18",
"family": "Linux",
"name": "Linux",
"system_name": "CentOS Linux",
"type": "General",
"vendor": "CentOS",
"version": "2.6.18"
},
"risk_score": 0,
"severe_vulnerabilities": 0,
"tags": [
{
"name": "lab",
"type": "SITE"
}
],
"total_vulnerabilities": 2
}
}
},
"related": {
"ip": [
"10.1.0.128"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"rapid7_insightvm-asset"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
rapid7.insightvm.asset.assessed_for_policies |
是否对资产进行了策略评估。 |
boolean |
rapid7.insightvm.asset.assessed_for_vulnerabilities |
是否对资产进行了漏洞评估。 |
boolean |
rapid7.insightvm.asset.credential_assessments.port |
身份验证使用的端口。 |
long |
rapid7.insightvm.asset.credential_assessments.protocol |
身份验证使用的协议。 |
keyword |
rapid7.insightvm.asset.credential_assessments.status |
上次扫描执行的身份验证。 |
keyword |
rapid7.insightvm.asset.critical_vulnerabilities |
严重漏洞发现的计数。 |
long |
rapid7.insightvm.asset.exploits |
可用于利用资产漏洞的已知唯一漏洞利用的计数。 |
long |
rapid7.insightvm.asset.host_name |
主机名(本地或 FQDN)。 |
keyword |
rapid7.insightvm.asset.id |
资产的标识符。 |
keyword |
rapid7.insightvm.asset.ip |
IPv4 或 IPv6 地址。 |
ip |
rapid7.insightvm.asset.last_assessed_for_vulnerabilities |
对资产进行漏洞评估的时间。 |
date |
rapid7.insightvm.asset.last_scan_end |
上次资产扫描结束的时间。 |
date |
rapid7.insightvm.asset.last_scan_start |
上次资产扫描开始的时间。 |
date |
rapid7.insightvm.asset.mac |
媒体访问控制 (MAC) 地址。格式为六组由冒号分隔的两位十六进制数字。 |
keyword |
rapid7.insightvm.asset.malware_kits |
可用于攻击资产漏洞的已知唯一恶意软件工具包的计数。 |
long |
rapid7.insightvm.asset.moderate_vulnerabilities |
中度漏洞发现的计数。 |
long |
rapid7.insightvm.asset.new.check_id |
漏洞检查的标识符。 |
keyword |
rapid7.insightvm.asset.new.first_found |
首次发现漏洞的时间。 |
date |
rapid7.insightvm.asset.new.key |
评估密钥的标识符。 |
keyword |
rapid7.insightvm.asset.new.last_found |
最近一次发现漏洞的时间。 |
date |
rapid7.insightvm.asset.new.port |
对于服务漏洞,易受攻击的端口。 |
long |
rapid7.insightvm.asset.new.proof |
漏洞证明的标识符。 |
keyword |
rapid7.insightvm.asset.new.protocol |
对于服务漏洞,易受攻击的协议。 |
keyword |
rapid7.insightvm.asset.new.solution.fix |
漏洞的解决方案修复。 |
keyword |
rapid7.insightvm.asset.new.solution.id |
漏洞解决方案的标识符。 |
keyword |
rapid7.insightvm.asset.new.solution.summary |
漏洞解决方案的摘要。 |
keyword |
rapid7.insightvm.asset.new.solution.type |
漏洞的解决方案类型。 |
keyword |
rapid7.insightvm.asset.new.status |
枚举:"EXCEPTION_VULN_EXPL" "UNEXPECTED_ERR" "NOT_VULN_DONT_STORE" "SUPERSEDED" "EXCEPTION_VULN_POTL" "VULNERABLE_EXPL" "OVERRIDDEN_VULN_VERS" "SKIPPED_DISABLED" "VULNERABLE_VERS" "VULNERABLE_POTENTIAL" "SKIPPED_VERS" "EXCEPTION_VULN_VERS" "NOT_VULNERABLE" "UNKNOWN" "SKIPPED_DOS" 漏洞发现的状态。 |
keyword |
rapid7.insightvm.asset.new.vulnerability_id |
漏洞的标识符。 |
keyword |
rapid7.insightvm.asset.os.architecture |
操作系统的体系结构。 |
keyword |
rapid7.insightvm.asset.os.description |
操作系统的描述(包含供应商、系列、产品、版本和体系结构在一个字符串中)。 |
keyword |
rapid7.insightvm.asset.os.family |
操作系统的系列。 |
keyword |
rapid7.insightvm.asset.os.name |
操作系统的名称。 |
keyword |
rapid7.insightvm.asset.os.system_name |
供应商和系列的组合(删除冗余),适用于分组。 |
keyword |
rapid7.insightvm.asset.os.type |
操作系统的类型。 |
keyword |
rapid7.insightvm.asset.os.vendor |
操作系统的供应商。 |
keyword |
rapid7.insightvm.asset.os.version |
操作系统的版本。 |
keyword |
rapid7.insightvm.asset.remediated.check_id |
漏洞检查的标识符。 |
keyword |
rapid7.insightvm.asset.remediated.first_found |
首次发现漏洞的时间。 |
date |
rapid7.insightvm.asset.remediated.key |
评估密钥的标识符。 |
keyword |
rapid7.insightvm.asset.remediated.last_found |
最近一次发现漏洞的时间。 |
date |
rapid7.insightvm.asset.remediated.port |
对于服务漏洞,易受攻击的端口。 |
long |
rapid7.insightvm.asset.remediated.proof |
漏洞证明的标识符。 |
keyword |
rapid7.insightvm.asset.remediated.protocol |
对于服务漏洞,易受攻击的协议。 |
keyword |
rapid7.insightvm.asset.remediated.solution.fix |
漏洞的解决方案修复。 |
keyword |
rapid7.insightvm.asset.remediated.solution.id |
漏洞解决方案的标识符。 |
keyword |
rapid7.insightvm.asset.remediated.solution.summary |
漏洞解决方案的摘要。 |
keyword |
rapid7.insightvm.asset.remediated.solution.type |
漏洞的解决方案类型。 |
keyword |
rapid7.insightvm.asset.remediated.status |
枚举:"EXCEPTION_VULN_EXPL" "UNEXPECTED_ERR" "NOT_VULN_DONT_STORE" "SUPERSEDED" "EXCEPTION_VULN_POTL" "VULNERABLE_EXPL" "OVERRIDDEN_VULN_VERS" "SKIPPED_DISABLED" "VULNERABLE_VERS" "VULNERABLE_POTENTIAL" "SKIPPED_VERS" "EXCEPTION_VULN_VERS" "NOT_VULNERABLE" "UNKNOWN" "SKIPPED_DOS" 漏洞发现的状态。 |
keyword |
rapid7.insightvm.asset.remediated.vulnerability_id |
漏洞的标识符。 |
keyword |
rapid7.insightvm.asset.risk_score |
资产的风险评分(带有重要性调整)。 |
double |
rapid7.insightvm.asset.same.check_id |
漏洞检查的标识符。 |
keyword |
rapid7.insightvm.asset.same.first_found |
首次发现漏洞的时间。 |
date |
rapid7.insightvm.asset.same.key |
评估密钥的标识符。 |
keyword |
rapid7.insightvm.asset.same.last_found |
最近一次发现漏洞的时间。 |
date |
rapid7.insightvm.asset.same.port |
对于服务漏洞,易受攻击的端口。 |
long |
rapid7.insightvm.asset.same.proof |
漏洞证明的标识符。 |
keyword |
rapid7.insightvm.asset.same.protocol |
对于服务漏洞,易受攻击的协议。 |
keyword |
rapid7.insightvm.asset.same.solution.fix |
漏洞的解决方案修复。 |
keyword |
rapid7.insightvm.asset.same.solution.id |
漏洞解决方案的标识符。 |
keyword |
rapid7.insightvm.asset.same.solution.summary |
漏洞解决方案的摘要。 |
keyword |
rapid7.insightvm.asset.same.solution.type |
漏洞的解决方案类型。 |
keyword |
rapid7.insightvm.asset.same.status |
枚举:"EXCEPTION_VULN_EXPL" "UNEXPECTED_ERR" "NOT_VULN_DONT_STORE" "SUPERSEDED" "EXCEPTION_VULN_POTL" "VULNERABLE_EXPL" "OVERRIDDEN_VULN_VERS" "SKIPPED_DISABLED" "VULNERABLE_VERS" "VULNERABLE_POTENTIAL" "SKIPPED_VERS" "EXCEPTION_VULN_VERS" "NOT_VULNERABLE" "UNKNOWN" "SKIPPED_DOS" 漏洞发现的状态。 |
keyword |
rapid7.insightvm.asset.same.vulnerability_id |
漏洞的标识符。 |
keyword |
rapid7.insightvm.asset.severe_vulnerabilities |
严重漏洞发现的计数。 |
long |
rapid7.insightvm.asset.tags.name |
存储的值。 |
keyword |
rapid7.insightvm.asset.tags.type |
存储和显示的信息类型。对于站点,该值为“SITE”。 |
keyword |
rapid7.insightvm.asset.total_vulnerabilities |
漏洞发现的总数。 |
long |
rapid7.insightvm.asset.type |
枚举:"hypervisor" "mobile" "guest" "physical" "unknown" 资产的类型。 |
keyword |
rapid7.insightvm.asset.unique_identifiers.id |
唯一标识符。 |
keyword |
rapid7.insightvm.asset.unique_identifiers.source |
唯一标识符的来源。 |
keyword |
漏洞
编辑这是 漏洞 数据集。
示例
漏洞 的示例事件如下所示
{
"@timestamp": "2018-06-08T00:00:00.000Z",
"agent": {
"ephemeral_id": "9844171e-82cf-4571-bba2-2256a2464500",
"id": "e4354c0c-ca75-448a-b886-ec73a12bce07",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.11.0"
},
"data_stream": {
"dataset": "rapid7_insightvm.vulnerability",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "e4354c0c-ca75-448a-b886-ec73a12bce07",
"snapshot": false,
"version": "8.11.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"vulnerability"
],
"created": "2023-12-20T15:51:20.233Z",
"dataset": "rapid7_insightvm.vulnerability",
"id": "7-zip-cve-2008-6536",
"ingested": "2023-12-20T15:51:23Z",
"kind": "event",
"original": "{\"added\":\"2018-05-16T00:00:00Z\",\"categories\":\"7-Zip\",\"cves\":\"CVE-2008-6536\",\"cvss_v2_access_complexity\":\"low\",\"cvss_v2_access_vector\":\"network\",\"cvss_v2_authentication\":\"none\",\"cvss_v2_availability_impact\":\"complete\",\"cvss_v2_confidentiality_impact\":\"complete\",\"cvss_v2_exploit_score\":9.996799,\"cvss_v2_impact_score\":10.000845,\"cvss_v2_integrity_impact\":\"complete\",\"cvss_v2_score\":10,\"cvss_v2_vector\":\"AV:N/AC:L/Au:N/C:C/I:C/A:C\",\"cvss_v3_attack_complexity\":null,\"cvss_v3_attack_vector\":null,\"cvss_v3_availability_impact\":null,\"cvss_v3_confidentiality_impact\":null,\"cvss_v3_exploit_score\":0,\"cvss_v3_impact_score\":0,\"cvss_v3_integrity_impact\":null,\"cvss_v3_privileges_required\":null,\"cvss_v3_scope\":null,\"cvss_v3_score\":0,\"cvss_v3_user_interaction\":null,\"cvss_v3_vector\":null,\"denial_of_service\":false,\"description\":\"Unspecified vulnerability in 7-zip before 4.5.7 has unknown impact and remote attack vectors, as demonstrated by the PROTOS GENOME test suite for Archive Formats (c10).\",\"exploits\":[],\"id\":\"7-zip-cve-2008-6536\",\"links\":[{\"href\":\"http://www.securityfocus.com/bid/28285\",\"id\":\"28285\",\"rel\":\"advisory\",\"source\":\"bid\"},{\"href\":\"https://exchange.xforce.ibmcloud.com/vulnerabilities/41247\",\"id\":\"41247\",\"rel\":\"advisory\",\"source\":\"xf\"},{\"href\":\"http://nvd.nist.gov/vuln/detail/CVE-2008-6536\",\"id\":\"CVE-2008-6536\",\"rel\":\"advisory\",\"source\":\"cve\"},{\"href\":\"http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html\",\"id\":\"http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html\",\"rel\":\"advisory\",\"source\":\"url\"},{\"href\":\"http://www.ee.oulu.fi/research/ouspg/protos/testing/c10/archive/\",\"id\":\"http://www.ee.oulu.fi/research/ouspg/protos/testing/c10/archive/\",\"rel\":\"advisory\",\"source\":\"url\"},{\"href\":\"http://www.securityfocus.com/bid/28285\",\"id\":\"http://www.securityfocus.com/bid/28285\",\"rel\":\"advisory\",\"source\":\"url\"},{\"href\":\"http://www.vupen.com/english/advisories/2008/0914/references\",\"id\":\"http://www.vupen.com/english/advisories/2008/0914/references\",\"rel\":\"advisory\",\"source\":\"url\"},{\"href\":\"http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf\",\"id\":\"http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf\",\"rel\":\"advisory\",\"source\":\"url\"},{\"href\":\"https://exchange.xforce.ibmcloud.com/vulnerabilities/41247\",\"id\":\"https://exchange.xforce.ibmcloud.com/vulnerabilities/41247\",\"rel\":\"advisory\",\"source\":\"url\"}],\"malware_kits\":[],\"modified\":\"2018-06-08T00:00:00Z\",\"pci_cvss_score\":10,\"pci_fail\":true,\"pci_severity_score\":5,\"pci_special_notes\":\"\",\"pci_status\":\"fail\",\"published\":\"2009-03-29T00:00:00Z\",\"references\":\"bid:28285,xf:41247,cve:CVE-2008-6536,url:http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html,url:http://www.ee.oulu.fi/research/ouspg/protos/testing/c10/archive/,url:http://www.securityfocus.com/bid/28285,url:http://www.vupen.com/english/advisories/2008/0914/references,url:http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf,url:https://exchange.xforce.ibmcloud.com/vulnerabilities/41247\",\"risk_score\":885.16,\"severity\":\"critical\",\"severity_score\":10,\"title\":\"7-Zip: CVE-2008-6536: Unspecified vulnerability in 7-zip before 4.5.7\"}",
"risk_score": 885.16,
"risk_score_norm": 88.51599999999999,
"severity": 10,
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"rapid7": {
"insightvm": {
"vulnerability": {
"added": "2018-05-16T00:00:00.000Z",
"categories": [
"7-Zip"
],
"cves": [
"CVE-2008-6536"
],
"cvss": {
"v2": {
"access_complexity": "low",
"access_vector": "network",
"authentication": "none",
"availability_impact": "complete",
"confidentiality_impact": "complete",
"exploit_score": 9.996799,
"impact_score": 10.000845,
"integrity_impact": "complete",
"score": 10,
"vector": "AV:N/AC:L/Au:N/C:C/I:C/A:C"
},
"v3": {
"exploit_score": 0,
"impact_score": 0,
"score": 0
}
},
"denial_of_service": false,
"description": "Unspecified vulnerability in 7-zip before 4.5.7 has unknown impact and remote attack vectors, as demonstrated by the PROTOS GENOME test suite for Archive Formats (c10).",
"id": "7-zip-cve-2008-6536",
"links": [
{
"href": "http://www.securityfocus.com/bid/28285",
"id": "28285",
"rel": "advisory",
"source": "bid"
},
{
"href": "https://exchange.xforce.ibmcloud.com/vulnerabilities/41247",
"id": "41247",
"rel": "advisory",
"source": "xf"
},
{
"href": "http://nvd.nist.gov/vuln/detail/CVE-2008-6536",
"id": "CVE-2008-6536",
"rel": "advisory",
"source": "cve"
},
{
"href": "http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html",
"id": "http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html",
"rel": "advisory",
"source": "url"
},
{
"href": "http://www.ee.oulu.fi/research/ouspg/protos/testing/c10/archive/",
"id": "http://www.ee.oulu.fi/research/ouspg/protos/testing/c10/archive/",
"rel": "advisory",
"source": "url"
},
{
"href": "http://www.securityfocus.com/bid/28285",
"id": "http://www.securityfocus.com/bid/28285",
"rel": "advisory",
"source": "url"
},
{
"href": "http://www.vupen.com/english/advisories/2008/0914/references",
"id": "http://www.vupen.com/english/advisories/2008/0914/references",
"rel": "advisory",
"source": "url"
},
{
"href": "http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf",
"id": "http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf",
"rel": "advisory",
"source": "url"
},
{
"href": "https://exchange.xforce.ibmcloud.com/vulnerabilities/41247",
"id": "https://exchange.xforce.ibmcloud.com/vulnerabilities/41247",
"rel": "advisory",
"source": "url"
}
],
"modified": "2018-06-08T00:00:00.000Z",
"pci": {
"cvss_score": 10,
"fail": true,
"severity_score": 5,
"status": "fail"
},
"published": "2009-03-29T00:00:00.000Z",
"references": "bid:28285,xf:41247,cve:CVE-2008-6536,url:http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html,url:http://www.ee.oulu.fi/research/ouspg/protos/testing/c10/archive/,url:http://www.securityfocus.com/bid/28285,url:http://www.vupen.com/english/advisories/2008/0914/references,url:http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf,url:https://exchange.xforce.ibmcloud.com/vulnerabilities/41247",
"risk_score": 885.16,
"severity": "critical",
"severity_score": 10,
"title": "7-Zip: CVE-2008-6536: Unspecified vulnerability in 7-zip before 4.5.7"
}
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"rapid7_insightvm-vulnerability"
],
"vulnerability": {
"category": [
"7-Zip"
],
"classification": "CVSS",
"description": "Unspecified vulnerability in 7-zip before 4.5.7 has unknown impact and remote attack vectors, as demonstrated by the PROTOS GENOME test suite for Archive Formats (c10).",
"enumeration": "CVE",
"id": [
"CVE-2008-6536"
],
"reference": "bid:28285,xf:41247,cve:CVE-2008-6536,url:http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html,url:http://www.ee.oulu.fi/research/ouspg/protos/testing/c10/archive/,url:http://www.securityfocus.com/bid/28285,url:http://www.vupen.com/english/advisories/2008/0914/references,url:http://www.xerox.com/download/security/security-bulletin/16287-4d6b7b0c81f7b/cert_XRX13-003_v1.0.pdf,url:https://exchange.xforce.ibmcloud.com/vulnerabilities/41247",
"scanner": {
"vendor": "Rapid7"
},
"score": {
"base": [
10,
0
]
},
"severity": "critical"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
rapid7.insightvm.vulnerability.added |
添加漏洞覆盖的日期。格式为 ISO 8601 日期,YYYY-MM-DD。 |
date |
rapid7.insightvm.vulnerability.categories |
漏洞分类所属的以逗号分隔的类别列表。 |
keyword |
rapid7.insightvm.vulnerability.cves |
分配给此漏洞的所有 CVE。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v2.access_complexity |
枚举:"high" "low" "medium" 访问复杂性 (AC) 组件,用于衡量攻击者在获得对目标系统的访问权限后利用漏洞所需的攻击复杂性。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v2.access_vector |
枚举:"adjacent" "local" "network" 访问向量 (Av) 组件,用于反映如何利用漏洞。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v2.authentication |
枚举:"single" "multiple" "none" 身份验证 (Au) 组件,用于衡量攻击者必须对目标进行身份验证才能利用漏洞的次数。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v2.availability_impact |
枚举:"none" "complete" "partial" 可用性影响 (A) 组件,用于衡量成功利用漏洞对可用性的影响。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v2.confidentiality_impact |
枚举:"none" "complete" "partial" 机密性影响 (C) 组件,用于衡量成功利用漏洞对机密性的影响。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v2.exploit_score |
CVSS 利用评分。 |
double |
rapid7.insightvm.vulnerability.cvss.v2.impact_score |
CVSS 影响评分。 |
double |
rapid7.insightvm.vulnerability.cvss.v2.integrity_impact |
枚举:"none" "complete" "partial" 完整性影响 (I) 组件,用于衡量成功利用漏洞对完整性的影响。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v2.score |
CVSS 评分,范围为 0-10。 |
double |
rapid7.insightvm.vulnerability.cvss.v2.vector |
CVSS v2 向量。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.attack_complexity |
枚举: "high" "low" 攻击复杂度 (AC) 组件,用于衡量为了利用漏洞而必须存在的、超出攻击者控制的条件。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.attack_vector |
枚举: "adjacent" "physical" "local" "network" 攻击向量 (AV) 组件,用于衡量漏洞利用的上下文。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.availability_impact |
枚举: "high" "low" "none" 可用性影响 (A) 衡量成功利用漏洞对受影响组件的可用性造成的影响。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.confidentiality_impact |
枚举: "high" "low" "none" 保密性影响 (C) 组件,用于衡量成功利用漏洞对保密性的影响。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.exploit_score |
CVSS 利用评分。 |
double |
rapid7.insightvm.vulnerability.cvss.v3.impact_score |
CVSS 影响评分。 |
double |
rapid7.insightvm.vulnerability.cvss.v3.integrity_impact |
枚举: "high" "low" "none" 完整性影响 (I) 衡量成功利用漏洞对完整性的影响。完整性指的是信息的可靠性和真实性。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.privileges_required |
枚举: "high" "low" "none" 权限要求 (PR) 衡量攻击者在成功利用漏洞之前必须拥有的权限级别。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.scope |
枚举: "unchanged" "changed" 范围 (S) 衡量计算机构 (例如,应用程序、操作系统或沙箱环境) 在授予计算资源(例如,文件、CPU、内存等)访问权限时定义的权限集合。 这些权限是根据某种识别和授权方法分配的。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.score |
CVSS 评分,范围为 0-10。 |
double |
rapid7.insightvm.vulnerability.cvss.v3.user_interaction |
枚举: "none" "required" 用户交互 (UI) 衡量除了攻击者之外,用户参与成功利用易受攻击组件的要求。 |
keyword |
rapid7.insightvm.vulnerability.cvss.v3.vector |
CVSS v3 向量。 |
keyword |
rapid7.insightvm.vulnerability.denial_of_service |
该漏洞是否可能导致拒绝服务 (DoS)。 |
boolean |
rapid7.insightvm.vulnerability.description |
该漏洞的详细描述。 |
keyword |
rapid7.insightvm.vulnerability.exploits.description |
该漏洞利用的详细描述。 |
keyword |
rapid7.insightvm.vulnerability.exploits.id |
漏洞利用的标识符。 |
keyword |
rapid7.insightvm.vulnerability.exploits.name |
漏洞利用的名称。 |
keyword |
rapid7.insightvm.vulnerability.exploits.rank |
枚举: "average" "normal" "excellent" "low" "manual" "great" "good" 漏洞利用的常用程度。 |
keyword |
rapid7.insightvm.vulnerability.exploits.skill_level |
枚举: "expert" "intermediate" "novice" 使用漏洞利用所需的技能水平。 |
keyword |
rapid7.insightvm.vulnerability.exploits.source |
枚举: "metasploit" "exploitdb" 关于漏洞利用定义位置的详细信息。 |
keyword |
rapid7.insightvm.vulnerability.id |
漏洞的标识符。 |
keyword |
rapid7.insightvm.vulnerability.links.href |
keyword |
|
rapid7.insightvm.vulnerability.links.id |
keyword |
|
rapid7.insightvm.vulnerability.links.rel |
keyword |
|
rapid7.insightvm.vulnerability.links.source |
keyword |
|
rapid7.insightvm.vulnerability.malware_kits.description |
可用于利用漏洞的已知恶意软件工具包。 |
keyword |
rapid7.insightvm.vulnerability.malware_kits.name |
恶意软件工具包的名称。 |
keyword |
rapid7.insightvm.vulnerability.malware_kits.popularity |
枚举: "uncommon" "common" "rare" "favored" "occasional" "popular" "undefined" 恶意软件工具包的流行度。 |
keyword |
rapid7.insightvm.vulnerability.modified |
漏洞的最后修改日期。格式为 ISO 8601 日期,YYYY-MM-DD。 |
date |
rapid7.insightvm.vulnerability.pci.cvss_score |
漏洞的 CVSS 分数,根据 PCI 规则和例外情况调整,范围为 0-10。 |
double |
rapid7.insightvm.vulnerability.pci.fail |
如果主机上存在此漏洞,是否会导致 PCI 失败。 如果合规状态为“失败”,则为 true,否则为 false。 |
boolean |
rapid7.insightvm.vulnerability.pci.severity_score |
漏洞的严重性分数,根据 PCI 规则和例外情况调整,范围为 0-10。 |
long |
rapid7.insightvm.vulnerability.pci.special_notes |
关于漏洞的、与 PCI 合规性相关的任何特殊说明或备注。 |
keyword |
rapid7.insightvm.vulnerability.pci.status |
PCI 合规状态。 |
keyword |
rapid7.insightvm.vulnerability.published |
漏洞首次发布或宣布的日期。格式为 ISO 8601 日期,YYYY-MM-DD。 |
date |
rapid7.insightvm.vulnerability.references |
以精简格式(逗号分隔)引用此漏洞所属的安全标准。 |
keyword |
rapid7.insightvm.vulnerability.risk_score |
漏洞的风险评分。 如果使用默认的 Rapid7 Real Risk™ 模型,则此值的范围为 0-1000。 |
double |
rapid7.insightvm.vulnerability.severity |
枚举: "critical" "low" "severe" "informational" "none" "moderate" 漏洞的严重性。 |
keyword |
rapid7.insightvm.vulnerability.severity_score |
漏洞的严重性评分,范围为 0-10。 |
long |
rapid7.insightvm.vulnerability.title |
漏洞的标题(摘要)。 |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.14.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.11.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.8.2 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.0.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
0.4.0 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.1 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |