Tenable 漏洞管理
编辑Tenable 漏洞管理
编辑概述
编辑Tenable 漏洞管理 集成允许用户监控资产、插件、扫描和漏洞活动。它提供业界最全面的漏洞覆盖,并能够预测首先需要修复的安全问题。Tenable 漏洞管理是用户完整的端到端漏洞管理解决方案。
使用 Tenable 漏洞管理集成来收集和解析来自 REST API 的数据。然后在 Kibana 中可视化这些数据。
数据流
编辑Tenable 漏洞管理集成收集四种事件类型的日志:资产、插件、扫描和漏洞。
资产用于获取与用户组织拥有的资产相关的详细信息。在 API 文档 此处中查看更多详细信息。
插件用于获取详细的插件信息。在 API 文档 此处中查看更多详细信息。
漏洞用于检索每个资产上的所有漏洞,包括漏洞状态。在 API 文档 此处中查看更多详细信息。
扫描用于检索有关现有扫描的详细信息,包括扫描状态、分配的目标等。在 API 文档 此处中查看更多详细信息。
兼容性
编辑此模块已针对 Tenable 漏洞管理版本 2022 年 12 月 6 日进行了测试。
要求
编辑- 必须安装 Elastic Agent。
- 每个主机只能安装一个 Elastic Agent。
- 需要 Elastic Agent 通过 REST API 流式传输数据并将数据发送到 Elastic,然后将在 Elastic 中通过集成的采集管道处理事件。
安装和管理 Elastic Agent
编辑您有多种安装和管理 Elastic Agent 的选择
安装 Fleet 管理的 Elastic Agent(推荐)
编辑通过这种方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过这种方法,您可以安装 Elastic Agent 并在安装它的系统上手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,可以使用 Fleet Server 或独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获得,并且我们提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅此处的链接。
所需的最低 kibana.version 为 8.12.0。
注意
- 在此集成中,使用漏洞管理的导出和插件端点来获取数据。
- 默认值是 Tenable 推荐的批处理大小的值。使用较小的批处理大小可以提高性能。根据 API 和实例限制,非常大的值可能无法按预期工作。
- 如果任何长时间运行的导出作业卡在“正在处理”状态并且达到用户提供的超时时间,则将终止该导出作业,以便在指定的时间间隔后启动新的导出作业。
设置
编辑要从 Tenable 漏洞管理 REST API 收集数据,请按照以下步骤操作
编辑- 在 Tenable 漏洞管理上创建一个具有适当权限的有效用户帐户。
- 为该帐户生成 API 密钥以访问所有 Tenable 漏洞管理 API。
注意
- 对于 Tenable 漏洞管理资产和漏洞 API,创建的用户访问密钥和密钥需要 管理员 [64] 和 可以查看 访问控制。
- 对于 Tenable 漏洞管理插件,创建的用户访问密钥和密钥需要 基本 [16] 用户权限。
- 有关权限的更多详细信息,请参阅此处的链接。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到管理 > 集成
- 在“搜索集成”搜索栏中,键入 Tenable 漏洞管理。
- 从搜索结果中单击“Tenable 漏洞管理”集成。
- 单击“添加 Tenable 漏洞管理”按钮以添加集成。
- 根据启用的输入类型添加所有必需的集成配置参数。
- 单击“保存并继续”以保存集成。
日志参考
编辑资产
编辑这是 asset 数据集。
示例
以下是 asset 的示例事件
{
"@timestamp": "2018-12-31T22:27:58.599Z",
"agent": {
"ephemeral_id": "f945f2c2-fbaf-4b93-b6ca-7d51e6a0706d",
"id": "a0570906-16fc-4c38-821f-7c3aa6ed04bb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.0"
},
"cloud": {
"availability_zone": "12",
"instance": {
"id": "12"
},
"project": {
"id": "12"
}
},
"data_stream": {
"dataset": "tenable_io.asset",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "a0570906-16fc-4c38-821f-7c3aa6ed04bb",
"snapshot": false,
"version": "8.12.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "tenable_io.asset",
"ingested": "2024-04-02T09:13:00Z",
"kind": "state",
"original": "{\"acr_score\":\"3\",\"agent_names\":[],\"agent_uuid\":\"22\",\"aws_availability_zone\":null,\"aws_ec2_instance_ami_id\":\"12\",\"aws_ec2_instance_group_name\":null,\"aws_ec2_instance_id\":\"12\",\"aws_ec2_instance_state_name\":null,\"aws_ec2_instance_type\":null,\"aws_ec2_name\":null,\"aws_ec2_product_code\":null,\"aws_owner_id\":\"44\",\"aws_region\":null,\"aws_subnet_id\":null,\"aws_vpc_id\":null,\"azure_resource_id\":\"12\",\"azure_vm_id\":\"12\",\"bigfix_asset_id\":null,\"bios_uuid\":\"33\",\"created_at\":\"2017-12-31T20:40:44.535Z\",\"deleted_at\":\"2017-12-31T20:40:44.535Z\",\"deleted_by\":\"user\",\"exposure_score\":\"721\",\"first_scan_time\":\"2017-12-31T20:40:23.447Z\",\"first_seen\":\"2017-12-31T20:40:23.447Z\",\"fqdns\":[\"example.com\"],\"gcp_instance_id\":\"12\",\"gcp_project_id\":\"12\",\"gcp_zone\":\"12\",\"has_agent\":false,\"has_plugin_results\":true,\"hostnames\":[],\"id\":\"95c2725c-7298-4a44-8a1d-63131ca3f01f\",\"installed_software\":[\"cpe:/a:test:xyz:12.8\",\"cpe:/a:test:abc:7.7.3\",\"cpe:/a:test:pqr:6.9\",\"cpe:/a:test:xyz\"],\"ipv4s\":[\"89.160.20.112\"],\"ipv6s\":[],\"last_authenticated_scan_date\":\"2017-12-31T20:40:44.535Z\",\"last_licensed_scan_date\":\"2018-12-31T22:27:52.869Z\",\"last_scan_id\":\"00283024-afee-44ea-b467-db5a6ed9fd50ab8f7ecb158c480e\",\"last_scan_time\":\"2018-03-31T22:27:52.869Z\",\"last_schedule_id\":\"72284901-7c68-42b2-a0c4-c1e75568849df60557ee0e264228\",\"last_seen\":\"2018-12-31T22:27:52.869Z\",\"mac_addresses\":[],\"manufacturer_tpm_ids\":[],\"mcafee_epo_agent_guid\":null,\"mcafee_epo_guid\":null,\"netbios_names\":[],\"network_interfaces\":[{\"fqdns\":[\"example.com\"],\"ipv4s\":[\"89.160.20.112\",\"81.2.69.144\"],\"ipv6s\":[\"2a02:cf40::\"],\"mac_addresses\":[\"00-00-5E-00-53-00\",\"00-00-5E-00-53-FF\"],\"name\":\"test.0.1234\"}],\"operating_systems\":[],\"qualys_asset_ids\":[],\"qualys_host_ids\":[],\"servicenow_sysid\":null,\"sources\":[{\"first_seen\":\"2017-12-31T20:40:23.447Z\",\"last_seen\":\"2018-12-31T22:27:52.869Z\",\"name\":\"TEST_SCAN\"}],\"ssh_fingerprints\":[],\"symantec_ep_hardware_keys\":[],\"system_types\":[],\"tags\":[{\"added_at\":\"2018-12-31T14:53:13.817Z\",\"added_by\":\"ac2e7ef6-fac9-47bf-9170-617331322885\",\"key\":\"Geographic Area\",\"uuid\":\"47e7f5f6-1013-4401-a705-479bfadc7826\",\"value\":\"APAC\"}],\"terminated_at\":\"2017-12-31T20:40:44.535Z\",\"terminated_by\":\"user\",\"updated_at\":\"2018-12-31T22:27:58.599Z\"}",
"type": [
"info"
]
},
"host": {
"domain": [
"example.com"
],
"id": "95c2725c-7298-4a44-8a1d-63131ca3f01f",
"ip": [
"89.160.20.112"
],
"mac": [
"00-00-5E-00-53-00",
"00-00-5E-00-53-FF"
]
},
"input": {
"type": "cel"
},
"related": {
"hosts": [
"example.com"
],
"ip": [
"89.160.20.112",
"81.2.69.144",
"2a02:cf40::"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tenable_io-asset"
],
"tenable_io": {
"asset": {
"acr_score": 3,
"agent_uuid": "22",
"aws": {
"ec2_instance": {
"ami_id": "12",
"id": "12"
},
"owner_id": "44"
},
"azure": {
"resource_id": "12",
"vm_id": "12"
},
"bios_uuid": "33",
"created_at": "2017-12-31T20:40:44.535Z",
"deleted_at": "2017-12-31T20:40:44.535Z",
"deleted_by": "user",
"exposure_score": 721,
"first_scan_time": "2017-12-31T20:40:23.447Z",
"first_seen": "2017-12-31T20:40:23.447Z",
"fqdns": [
"example.com"
],
"gcp": {
"instance_id": "12",
"project_id": "12",
"zone": "12"
},
"has_agent": false,
"has_plugin_results": true,
"id": "95c2725c-7298-4a44-8a1d-63131ca3f01f",
"installed_software": [
"cpe:/a:test:xyz:12.8",
"cpe:/a:test:abc:7.7.3",
"cpe:/a:test:pqr:6.9",
"cpe:/a:test:xyz"
],
"ipv4s": [
"89.160.20.112"
],
"last_authenticated_scan_date": "2017-12-31T20:40:44.535Z",
"last_licensed_scan_date": "2018-12-31T22:27:52.869Z",
"last_scan_id": "00283024-afee-44ea-b467-db5a6ed9fd50ab8f7ecb158c480e",
"last_scan_time": "2018-03-31T22:27:52.869Z",
"last_schedule_id": "72284901-7c68-42b2-a0c4-c1e75568849df60557ee0e264228",
"last_seen": "2018-12-31T22:27:52.869Z",
"network_interfaces": [
{
"fqdns": [
"example.com"
],
"ipv4s": [
"89.160.20.112",
"81.2.69.144"
],
"ipv6s": [
"2a02:cf40::"
],
"mac_addresses": [
"00-00-5E-00-53-00",
"00-00-5E-00-53-FF"
],
"name": "test.0.1234"
}
],
"sources": [
{
"first_seen": "2017-12-31T20:40:23.447Z",
"last_seen": "2018-12-31T22:27:52.869Z",
"name": "TEST_SCAN"
}
],
"tags": [
{
"added_at": "2018-12-31T14:53:13.817Z",
"added_by": "ac2e7ef6-fac9-47bf-9170-617331322885",
"key": "Geographic Area",
"uuid": "47e7f5f6-1013-4401-a705-479bfadc7826",
"value": "APAC"
}
],
"terminated_at": "2017-12-31T20:40:44.535Z",
"terminated_by": "user",
"updated_at": "2018-12-31T22:27:58.599Z"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
输入类型 |
关键词 |
log.offset |
日志偏移量 |
长整数 |
tenable_io.asset.acr_score |
资产的关键性评级 (ACR)。通过 Lumin,Tenable 为您网络上的每个资产分配一个 ACR,以表示资产的相对风险,整数范围为 1 到 10。 |
长整数 |
tenable_io.asset.agent_names |
扫描并识别资产的任何 Nessus 代理的名称。 |
关键词 |
tenable_io.asset.agent_uuid |
识别资产的 Nessus 代理的唯一标识符。 |
关键词 |
tenable_io.asset.aws.availability_zone |
Amazon Web Services 托管虚拟机实例的可用区,例如 `us-east-1a`。可用区是 AWS 区域的细分。有关更多信息,请参阅 AWS 文档中的“区域和可用区”。 |
关键词 |
tenable_io.asset.aws.ec2_instance.ami_id |
Amazon Elastic Compute Cloud (Amazon EC2) 中 Linux AMI 映像的唯一标识符。有关更多信息,请参阅 Amazon Elastic Compute Cloud 文档。 |
关键词 |
tenable_io.asset.aws.ec2_instance.group_name |
AWS 中虚拟机实例的组。 |
关键词 |
tenable_io.asset.aws.ec2_instance.id |
Amazon EC2 中 Linux 实例的唯一标识符。有关更多信息,请参阅 Amazon Elastic Compute Cloud 文档。 |
关键词 |
tenable_io.asset.aws.ec2_instance.state_name |
扫描时 AWS 中虚拟机实例的状态。 |
关键词 |
tenable_io.asset.aws.ec2_instance.type |
AWS EC2 中实例的类型。 |
关键词 |
tenable_io.asset.aws.ec2_name |
AWS EC2 中虚拟机实例的名称。 |
关键词 |
tenable_io.asset.aws.ec2_product_code |
与用于在 AWS EC2 中启动虚拟机实例的 AMI 关联的产品代码。 |
关键词 |
tenable_io.asset.aws.owner_id |
与虚拟机实例关联的 AWS 帐户的规范用户标识符。例如,79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be |
关键词 |
tenable_io.asset.aws.region |
AWS 托管虚拟机实例的区域,例如 us-east-1。有关更多信息,请参阅 AWS 文档中的“区域和可用区”。 |
关键词 |
tenable_io.asset.aws.subnet_id |
扫描时虚拟机实例正在运行的 AWS 子网的唯一标识符。 |
关键词 |
tenable_io.asset.aws.vpc_id |
托管 AWS 虚拟机实例的虚拟公共云的唯一标识符。有关更多信息,请参阅 Amazon Virtual Private Cloud 用户指南。 |
关键词 |
tenable_io.asset.azure.resource_id |
Azure Resource Manager 中资源的唯一标识符。有关更多信息,请参阅 Azure Resource Manager 文档。 |
关键词 |
tenable_io.asset.azure.vm_id |
Microsoft Azure 虚拟机实例的唯一标识符。有关更多信息,请参阅 Microsoft Azure 文档中的“访问和使用 Azure VM 唯一 ID”。 |
关键词 |
tenable_io.asset.bigfix_asset_id |
HCL BigFix 中资产的唯一标识符。 |
关键词 |
tenable_io.asset.bios_uuid |
资产的 BIOS UUID。 |
关键词 |
tenable_io.asset.created_at |
Tenable 漏洞管理创建资产记录的时间和日期。 |
日期 |
tenable_io.asset.deleted_at |
用户删除资产记录的时间和日期。当用户删除资产记录时,Tenable 漏洞管理会保留该记录,直到该资产超出许可证计数。 |
日期 |
tenable_io.asset.deleted_by |
删除资产记录的用户。 |
关键词 |
tenable_io.asset.exposure_score |
资产的资产暴露评分 (AES)。 |
长整数 |
tenable_io.asset.first_scan_time |
对资产运行的第一次扫描的时间和日期。 |
日期 |
tenable_io.asset.first_seen |
扫描首次识别资产的时间和日期。 |
日期 |
tenable_io.asset.fqdns |
扫描已与资产记录关联的完全限定域名。 |
关键词 |
tenable_io.asset.gcp.instance_id |
虚拟机实例在 GCP 中运行的区域。有关更多信息,请参阅 GCP 文档中的“区域和可用区”。 |
关键词 |
tenable_io.asset.gcp.project_id |
Google Cloud Platform (GCP) 中虚拟机实例的唯一标识符。 |
关键词 |
tenable_io.asset.gcp.zone |
虚拟机实例所属的 GCP 中项目的自定义名称。 |
关键词 |
tenable_io.asset.has_agent |
指定 Nessus 代理扫描是否识别出该资产。 |
布尔值 |
tenable_io.asset.has_plugin_results |
指定该资产是否有关联的插件结果。 |
布尔值 |
tenable_io.asset.hostnames |
扫描与该资产记录关联的主机名。 |
关键词 |
tenable_io.asset.id |
Tenable Vulnerability Management 中资产的 UUID。使用此值作为资产的唯一键。 |
关键词 |
tenable_io.asset.installed_software |
表示扫描识别出存在于资产上的软件应用程序的通用平台枚举 (CPE) 值列表。此属性支持 CPE 2.2 格式。 |
关键词 |
tenable_io.asset.ipv4s |
扫描与该资产记录关联的 IPv4 地址。 |
ip |
tenable_io.asset.ipv6s |
扫描与该资产记录关联的 IPv6 地址。 |
ip |
tenable_io.asset.last_authenticated_scan_date |
上次对资产运行凭证扫描的时间和日期。 |
日期 |
tenable_io.asset.last_licensed_scan_date |
上次将资产识别为已授权的扫描的时间和日期。如果对该资产的扫描在过去 90 天内返回了来自非发现插件的结果,则 Tenable Vulnerability Management 会将该资产分类为已授权。 |
日期 |
tenable_io.asset.last_scan_id |
上次扫描资产期间使用的扫描配置的 UUID。 |
关键词 |
tenable_io.asset.last_scan_time |
上次对资产运行扫描的时间和日期。 |
日期 |
tenable_io.asset.last_schedule_id |
上次扫描资产的 schedule_uuid。 |
关键词 |
tenable_io.asset.last_seen |
最近识别出该资产的扫描的时间和日期。 |
日期 |
tenable_io.asset.mac_addresses |
扫描与该资产记录关联的 MAC 地址。 |
关键词 |
tenable_io.asset.manufacturer_tpm_ids |
与该资产关联的可信平台模块 (TPM) 的制造商唯一标识符。 |
关键词 |
tenable_io.asset.mcafee_epo.agent_guid |
识别出该资产的 McAfee ePO 代理的唯一标识符。有关更多信息,请参阅 McAfee 文档。 |
关键词 |
tenable_io.asset.mcafee_epo.guid |
资产在 McAfee ePolicy Orchestrator (ePO) 中的唯一标识符。有关更多信息,请参阅 McAfee 文档。 |
关键词 |
tenable_io.asset.netbios_names |
扫描与该资产记录关联的 NetBIOS 名称。 |
关键词 |
tenable_io.asset.network.id |
与识别出该资产的扫描仪关联的网络对象的 ID。默认网络 ID 为 00000000-0000-0000-0000-000000000000 |
关键词 |
tenable_io.asset.network.name |
与识别出该资产的扫描仪关联的网络对象的 ID。默认网络名称为 Default。所有其他网络名称都是用户定义的。 |
关键词 |
tenable_io.asset.network_interfaces.aliased |
布尔值 |
|
tenable_io.asset.network_interfaces.fqdns |
属于该接口的一个或多个 FQDN。 |
关键词 |
tenable_io.asset.network_interfaces.ipv4s |
属于该接口的一个或多个 IPv4 地址。 |
ip |
tenable_io.asset.network_interfaces.ipv6s |
属于该接口的一个或多个 IPv6 地址。 |
ip |
tenable_io.asset.network_interfaces.mac_addresses |
该接口的 MAC 地址。 |
关键词 |
tenable_io.asset.network_interfaces.name |
该接口的名称。 |
关键词 |
tenable_io.asset.network_interfaces.virtual |
关键词 |
|
tenable_io.asset.operating_systems |
扫描与该资产记录关联的操作系统。 |
关键词 |
tenable_io.asset.qualys.asset_ids |
资产在 Qualys 中的资产 ID。 |
关键词 |
tenable_io.asset.qualys.host_ids |
资产在 Qualys 中的主机 ID。 |
关键词 |
tenable_io.asset.servicenow_sysid |
资产在 ServiceNow 中的唯一记录标识符。 |
关键词 |
tenable_io.asset.sources.first_seen |
来源首次报告该资产的 ISO 时间戳。 |
日期 |
tenable_io.asset.sources.last_seen |
来源上次报告该资产的 ISO 时间戳。 |
日期 |
tenable_io.asset.sources.name |
报告资产详细信息的实体的名称。来源可能包括传感器、连接器和 API 导入。来源名称可以由您的组织自定义。 |
关键词 |
tenable_io.asset.ssh_fingerprints |
扫描与该资产记录关联的 SSH 密钥指纹。 |
关键词 |
tenable_io.asset.symantec_ep_hardware_keys |
资产在 Symantec Endpoint Protection 中的硬件密钥。 |
关键词 |
tenable_io.asset.system_types |
插件 ID 54615 报告的系统类型。可能的值包括路由器、通用、扫描主机和嵌入式。 |
关键词 |
tenable_io.asset.tags.added_at |
将标签分配给资产时的 ISO 时间戳。 |
日期 |
tenable_io.asset.tags.added_by |
将标签分配给资产的用户的 UUID。 |
关键词 |
tenable_io.asset.tags.key |
标签类别(类别:值对的前半部分)。 |
关键词 |
tenable_io.asset.tags.uuid |
标签的 UUID。 |
关键词 |
tenable_io.asset.tags.value |
标签值(类别:值对的后半部分)。 |
关键词 |
tenable_io.asset.terminated_at |
用户终止资产的 Amazon Web Service (AWS) 虚拟机实例的时间和日期。 |
日期 |
tenable_io.asset.terminated_by |
终止资产的 AWS 实例的用户。 |
关键词 |
tenable_io.asset.updated_at |
上次更新资产记录的时间和日期。 |
日期 |
plugin
编辑这是 plugin 数据集。
示例
plugin 的示例事件如下所示
{
"@timestamp": "2018-07-19T00:00:00.000Z",
"agent": {
"ephemeral_id": "f945f2c2-fbaf-4b93-b6ca-7d51e6a0706d",
"id": "a0570906-16fc-4c38-821f-7c3aa6ed04bb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.0"
},
"data_stream": {
"dataset": "tenable_io.plugin",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "a0570906-16fc-4c38-821f-7c3aa6ed04bb",
"snapshot": false,
"version": "8.12.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "tenable_io.plugin",
"ingested": "2024-04-02T09:13:52Z",
"kind": "state",
"original": "{\"attributes\":{\"cpe\":[\"p-cpe:/a:fedoraproject:fedora:kernel-source\",\"cpe:/o:fedoraproject:fedora_core:1\",\"p-cpe:/a:fedoraproject:fedora:kernel-BOOT\",\"p-cpe:/a:fedoraproject:fedora:kernel-debuginfo\",\"p-cpe:/a:fedoraproject:fedora:kernel\",\"p-cpe:/a:fedoraproject:fedora:kernel-doc\",\"p-cpe:/a:fedoraproject:fedora:kernel-smp\"],\"cve\":[\"CVE-2003-0984\"],\"cvss3_base_score\":0,\"cvss3_temporal_score\":0,\"cvss_base_score\":4.6,\"cvss_temporal_score\":0,\"cvss_vector\":{\"AccessComplexity\":\"Low\",\"AccessVector\":\"Local-access\",\"Authentication\":\"None required\",\"Availability-Impact\":\"Partial\",\"Confidentiality-Impact\":\"Partial\",\"Integrity-Impact\":\"Partial\",\"raw\":\"AV:L/AC:L/Au:N/C:P/I:P/A:P\"},\"default_account\":false,\"description\":\"Various RTC drivers had the potential to leak...\",\"exploit_available\":false,\"exploit_framework_canvas\":false,\"exploit_framework_core\":false,\"exploit_framework_d2_elliot\":false,\"exploit_framework_exploithub\":false,\"exploit_framework_metasploit\":false,\"exploited_by_malware\":false,\"exploited_by_nessus\":false,\"has_patch\":true,\"in_the_news\":false,\"malware\":false,\"patch_publication_date\":\"2004-01-07T00:00:00Z\",\"plugin_modification_date\":\"2018-07-19T00:00:00Z\",\"plugin_publication_date\":\"2004-07-23T00:00:00Z\",\"plugin_type\":\"local\",\"plugin_version\":\"1.17\",\"risk_factor\":\"Medium\",\"see_also\":[\"http://example.com/u?07bc9e7f\"],\"solution\":\"Update the affected packages.\",\"synopsis\":\"The remote Fedora Core host is missing a security update.\",\"unsupported_by_vendor\":false,\"vpr\":{\"drivers\":{\"age_of_vuln\":{\"lower_bound\":366,\"upper_bound\":730},\"cvss3_impact_score\":5.9,\"cvss_impact_score_predicted\":false,\"exploit_code_maturity\":\"UNPROVEN\",\"product_coverage\":\"LOW\",\"threat_intensity_last28\":\"VERY_LOW\",\"threat_recency\":{\"lower_bound\":366,\"upper_bound\":730},\"threat_sources_last28\":[\"No recorded events\"]},\"score\":5.5,\"updated\":\"2018-07-19T00:00:00Z\"},\"xref\":[\"FEDORA:2003-047\"],\"xrefs\":[{\"id\":\"2003-047\",\"type\":\"FEDORA\"}]},\"id\":13670,\"name\":\"Fedora Core 1 : kernel-2.4.22-1.2140.nptl (2003-047)\"}",
"type": [
"info"
]
},
"input": {
"type": "cel"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tenable_io-plugin"
],
"tenable_io": {
"plugin": {
"attributes": {
"cpe": [
"p-cpe:/a:fedoraproject:fedora:kernel-source",
"cpe:/o:fedoraproject:fedora_core:1",
"p-cpe:/a:fedoraproject:fedora:kernel-BOOT",
"p-cpe:/a:fedoraproject:fedora:kernel-debuginfo",
"p-cpe:/a:fedoraproject:fedora:kernel",
"p-cpe:/a:fedoraproject:fedora:kernel-doc",
"p-cpe:/a:fedoraproject:fedora:kernel-smp"
],
"cve": [
"CVE-2003-0984"
],
"cvss": {
"base_score": 4.6,
"temporal": {
"score": 0
},
"vector": {
"access": {
"complexity": "Low",
"vector": "Local-access"
},
"authentication": "None required",
"availability_impact": "Partial",
"confidentiality_impact": "Partial",
"integrity_impact": "Partial",
"raw": "AV:L/AC:L/Au:N/C:P/I:P/A:P"
}
},
"cvss3": {
"base_score": 0,
"temporal": {
"score": 0
}
},
"default_account": false,
"description": "Various RTC drivers had the potential to leak...",
"exploit_available": false,
"exploit_framework": {
"canvas": false,
"core": false,
"d2_elliot": false,
"hub": false,
"metasploit": false
},
"exploited_by": {
"malware": false,
"nessus": false
},
"has_patch": true,
"in_the_news": false,
"malware": false,
"patch_publication_date": "2004-01-07T00:00:00.000Z",
"plugin": {
"modification_date": "2018-07-19T00:00:00.000Z",
"publication_date": "2004-07-23T00:00:00.000Z",
"type": "local",
"version": "1.17"
},
"risk_factor": "Medium",
"see_also": [
"http://example.com/u?07bc9e7f"
],
"solution": "Update the affected packages.",
"synopsis": "The remote Fedora Core host is missing a security update.",
"unsupported_by_vendor": false,
"vpr": {
"drivers": {
"age_of_vuln": {
"lower_bound": 366,
"upper_bound": 730
},
"cvss3_impact_score": 5.9,
"cvss_impact_score_predicted": false,
"exploit_code_maturity": "UNPROVEN",
"product_coverage": "LOW",
"threat_intensity_last28": "VERY_LOW",
"threat_recency": {
"lower_bound": 366,
"upper_bound": 730
},
"threat_sources_last28": [
"No recorded events"
]
},
"score": 5.5,
"updated": "2018-07-19T00:00:00.000Z"
},
"xref": [
"FEDORA:2003-047"
],
"xrefs": [
{
"id": "2003-047",
"type": "FEDORA"
}
]
},
"id": "13670",
"name": "Fedora Core 1 : kernel-2.4.22-1.2140.nptl (2003-047)"
}
},
"vulnerability": {
"id": [
"CVE-2003-0984"
],
"reference": [
"http://example.com/u?07bc9e7f"
],
"scanner": {
"vendor": "Tenable"
},
"score": {
"base": 0,
"temporal": 0
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
输入类型 |
关键词 |
log.offset |
日志偏移量 |
长整数 |
tenable_io.plugin.attributes.always_run |
布尔值 |
|
tenable_io.plugin.attributes.bid |
长整数 |
|
tenable_io.plugin.attributes.compliance |
布尔值 |
|
tenable_io.plugin.attributes.cpe |
通过通用平台枚举 (CPE) 标识的插件目标系统列表。 |
关键词 |
tenable_io.plugin.attributes.cve |
与该插件关联的漏洞的通用漏洞披露 (CVE) ID 列表。 |
关键词 |
tenable_io.plugin.attributes.cvss.base_score |
CVSSv2 基本评分(漏洞的内在和基本特性,这些特性在时间和用户环境中是恒定的)。 |
double |
tenable_io.plugin.attributes.cvss.temporal.score |
漏洞的原始 CVSSv2 时间度量。 |
double |
tenable_io.plugin.attributes.cvss.temporal.vector.exploitability |
关键词 |
|
tenable_io.plugin.attributes.cvss.temporal.vector.raw |
关键词 |
|
tenable_io.plugin.attributes.cvss.temporal.vector.remediation_level |
关键词 |
|
tenable_io.plugin.attributes.cvss.temporal.vector.report_confidence |
关键词 |
|
tenable_io.plugin.attributes.cvss.vector.access.complexity |
此度量衡量攻击者获得对目标系统的访问权限后利用漏洞所需的攻击复杂性。此度量可能的取值为高 (H)、中 (M) 和低 (L)。 |
关键词 |
tenable_io.plugin.attributes.cvss.vector.access.vector |
此度量反映了如何利用漏洞。此度量可能的取值为本地 (L)、相邻网络 (A) 和网络 (N)。 |
关键词 |
tenable_io.plugin.attributes.cvss.vector.authentication |
此度量衡量攻击者必须对目标进行多少次身份验证才能利用漏洞。此度量可能的取值为多次 (M)、单次 (S) 和无 (N)。 |
关键词 |
tenable_io.plugin.attributes.cvss.vector.availability_impact |
此度量衡量成功利用漏洞对可用性的影响。此度量可能的取值为无 (N)、部分 (P) 和完全 (C)。 |
关键词 |
tenable_io.plugin.attributes.cvss.vector.confidentiality_impact |
此度量衡量成功利用漏洞对机密性的影响。此度量可能的取值为无 (N)、部分 (P) 和完全 (C)。 |
关键词 |
tenable_io.plugin.attributes.cvss.vector.integrity_impact |
此度量衡量成功利用漏洞对完整性的影响。此度量可能的取值为无 (N)、部分 (P) 和完全 (C)。 |
关键词 |
tenable_io.plugin.attributes.cvss.vector.raw |
关键词 |
|
tenable_io.plugin.attributes.cvss3.base_score |
CVSSv3 基本评分(漏洞的内在和基本特性,这些特性在时间和用户环境中是恒定的)。 |
double |
tenable_io.plugin.attributes.cvss3.temporal.score |
漏洞的 CVSSv3 时间度量。 |
double |
tenable_io.plugin.attributes.cvss3.temporal.vector.exploit_code_maturity |
关键词 |
|
tenable_io.plugin.attributes.cvss3.temporal.vector.raw |
关键词 |
|
tenable_io.plugin.attributes.cvss3.temporal.vector.remediation_level |
关键词 |
|
tenable_io.plugin.attributes.cvss3.temporal.vector.report_confidence |
关键词 |
|
tenable_io.plugin.attributes.cvss3.vector.attack.complexity |
此度量衡量攻击者获得对目标系统的访问权限后利用漏洞所需的攻击复杂性。此度量可能的取值为高 (H)、中 (M) 和低 (L)。 |
关键词 |
tenable_io.plugin.attributes.cvss3.vector.attack.vector |
此度量反映了如何利用漏洞。此度量可能的取值为本地 (L)、相邻网络 (A) 和网络 (N)。 |
关键词 |
tenable_io.plugin.attributes.cvss3.vector.availability_impact |
此度量衡量成功利用漏洞对可用性的影响。此度量可能的取值为无 (N)、部分 (P) 和完全 (C)。 |
关键词 |
tenable_io.plugin.attributes.cvss3.vector.confidentiality_impact |
此度量衡量成功利用漏洞对机密性的影响。此度量可能的取值为无 (N)、部分 (P) 和完全 (C)。 |
关键词 |
tenable_io.plugin.attributes.cvss3.vector.integrity_impact |
此度量衡量成功利用漏洞对完整性的影响。此度量可能的取值为无 (N)、部分 (P) 和完全 (C)。 |
关键词 |
tenable_io.plugin.attributes.cvss3.vector.privileges_required |
关键词 |
|
tenable_io.plugin.attributes.cvss3.vector.raw |
关键词 |
|
tenable_io.plugin.attributes.cvss3.vector.scope |
关键词 |
|
tenable_io.plugin.attributes.cvss3.vector.user_interaction |
关键词 |
|
tenable_io.plugin.attributes.default_account |
指示插件是否检查需要使用扫描策略中提供的凭据以外的凭据的默认帐户。 |
布尔值 |
tenable_io.plugin.attributes.description |
插件的扩展说明。 |
关键词 |
tenable_io.plugin.attributes.exploit_available |
指示是否存在该漏洞的已知公共漏洞利用。 |
布尔值 |
tenable_io.plugin.attributes.exploit_framework.canvas |
指示 Immunity CANVAS 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.plugin.attributes.exploit_framework.core |
指示 CORE Impact 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.plugin.attributes.exploit_framework.d2_elliot |
指示 D2 Elliot Web Exploitation 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.plugin.attributes.exploit_framework.hub |
指示 ExploitHub 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.plugin.attributes.exploit_framework.metasploit |
指示 Metasploit 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.plugin.attributes.exploited_by.malware |
指示此插件发现的漏洞是否已知会被恶意软件利用。 |
布尔值 |
tenable_io.plugin.attributes.exploited_by.nessus |
指示 Nessus 在识别过程中是否利用了该漏洞。 |
布尔值 |
tenable_io.plugin.attributes.has_patch |
指示供应商是否已发布该漏洞的补丁。如果存在该漏洞的已发布补丁(即,patch_publication_date 属性包含数据),则此属性为 true;如果不存在已发布的补丁,或者补丁与修复该漏洞无关(即,patch_publication_date 不包含数据),则此属性为 false。 |
布尔值 |
tenable_io.plugin.attributes.in_the_news |
指示此插件是否受到媒体关注(例如,ShellShock、Meltdown)。 |
布尔值 |
tenable_io.plugin.attributes.intel_type |
关键词 |
|
tenable_io.plugin.attributes.malware |
指示该插件是否针对潜在的恶意文件或进程。 |
布尔值 |
tenable_io.plugin.attributes.patch_publication_date |
供应商发布该漏洞补丁的日期。 |
日期 |
tenable_io.plugin.attributes.plugin.modification_date |
Tenable 上次更新该插件的日期。 |
日期 |
tenable_io.plugin.attributes.plugin.publication_date |
Tenable 最初发布该插件的日期。 |
日期 |
tenable_io.plugin.attributes.plugin.type |
插件类型,例如,本地、远程或组合。 |
关键词 |
tenable_io.plugin.attributes.plugin.version |
插件的版本。 |
version |
tenable_io.plugin.attributes.risk_factor |
与该插件关联的风险因素。可能的值为:低(漏洞的 CVSS 评分介于 0.1 和 3.9 之间)、中(漏洞的 CVSS 评分介于 4.0 和 6.9 之间)、高(漏洞的 CVSS 评分介于 7.0 和 9.9 之间)或严重(漏洞的 CVSS 评分介于 10.0)。 |
关键词 |
tenable_io.plugin.attributes.see_also |
指向包含有关该漏洞的有用信息的外部网站的链接。 |
关键词 |
tenable_io.plugin.attributes.solution |
该漏洞的修复信息。 |
关键词 |
tenable_io.plugin.attributes.synopsis |
与该插件关联的一个或多个漏洞的简要概述。 |
关键词 |
tenable_io.plugin.attributes.unsupported_by_vendor |
指示此插件找到的软件是否不受该软件的供应商支持(例如,Windows 95 或 Firefox 3)。 |
布尔值 |
tenable_io.plugin.attributes.vpr.drivers.age_of_vuln.lower_bound |
范围的下限。例如,对于 0-7 天的范围,此属性为“0”。对于最高范围(超过 730 天),此值为“731”。 |
长整数 |
tenable_io.plugin.attributes.vpr.drivers.age_of_vuln.upper_bound |
范围的上限。例如,对于 0-7 天的范围,此属性为“7”。对于最高范围(超过 730 天),此值为“0”,表示没有更高的类别。 |
长整数 |
tenable_io.plugin.attributes.vpr.drivers.cvss3_impact_score |
NVD 提供的漏洞 CVSSv3 影响评分。如果 NVD 未提供评分,Tenable Vulnerability Management 将显示 Tenable 预测的评分。 |
double |
tenable_io.plugin.attributes.vpr.drivers.cvss_impact_score_predicted |
一个值,用于指定 Tenable 是否因 NVD 未提供漏洞的 CVSSv3 影响评分而对其进行预测(true),或者在计算 VPR 时使用了 NVD 提供的 CVSSv3 影响评分(false)。 |
布尔值 |
tenable_io.plugin.attributes.vpr.drivers.exploit_code_maturity |
基于内部和外部来源(例如,Reversinglabs、Exploit-db、Metasploit 等)的漏洞利用情报的存在、复杂性和普遍性,漏洞可能利用的相对成熟度。可能的值(“高”、“功能性”、“PoC”或“未验证”)与 CVSS 利用代码成熟度类别并行。 |
关键词 |
tenable_io.plugin.attributes.vpr.drivers.product_coverage |
受漏洞影响的唯一产品的相对数量:低、中、高或非常高。 |
关键词 |
tenable_io.plugin.attributes.vpr.drivers.threat_intensity_last28 |
基于最近观察到的与此漏洞相关的威胁事件的数量和频率的相对强度:非常低、低、中、高或非常高。 |
关键词 |
tenable_io.plugin.attributes.vpr.drivers.threat_recency.lower_bound |
范围的下限。例如,对于 0-7 天的范围,此属性为“0”。对于最高范围(超过 365 天),此值为“366”。 |
长整数 |
tenable_io.plugin.attributes.vpr.drivers.threat_recency.upper_bound |
范围的上限。例如,对于 0-7 天的范围,此属性为“7”。对于最高范围(超过 730 天),此值为“0”,表示没有更高的类别。 |
长整数 |
tenable_io.plugin.attributes.vpr.drivers.threat_sources_last28 |
发生与此漏洞相关的威胁事件的所有来源(例如,社交媒体渠道、暗网等)的列表。项目类型:字符串。 |
关键词 |
tenable_io.plugin.attributes.vpr.score |
漏洞的漏洞优先级评级 (VPR)。如果插件旨在检测多个漏洞,则 VPR 表示为与该插件关联的漏洞计算的最高值。 |
double |
tenable_io.plugin.attributes.vpr.updated |
Tenable Vulnerability Management 上次导入此漏洞的 VPR 时的 ISO 时间戳。每次运行扫描时,Tenable Vulnerability Management 都会导入更新的 VPR 值。 |
日期 |
tenable_io.plugin.attributes.vuln_publication_date |
日期 |
|
tenable_io.plugin.attributes.xref |
对与插件关联的漏洞、利用或更新的第三方信息的引用,以字符串数组的形式呈现。每个引用都包含一个类型(例如“FEDORA”)和一个 ID(例如“2003-047”)。 |
关键词 |
tenable_io.plugin.attributes.xrefs.id |
关键词 |
|
tenable_io.plugin.attributes.xrefs.type |
关键词 |
|
tenable_io.plugin.id |
插件的 ID。 |
关键词 |
tenable_io.plugin.name |
插件的名称。 |
关键词 |
vulnerability
编辑这是 vulnerability 数据集。
示例
vulnerability 的示例事件如下所示
{
"@timestamp": "2018-12-31T20:59:47.000Z",
"agent": {
"ephemeral_id": "f945f2c2-fbaf-4b93-b6ca-7d51e6a0706d",
"id": "a0570906-16fc-4c38-821f-7c3aa6ed04bb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.0"
},
"data_stream": {
"dataset": "tenable_io.vulnerability",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "a0570906-16fc-4c38-821f-7c3aa6ed04bb",
"snapshot": false,
"version": "8.12.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"vulnerability"
],
"dataset": "tenable_io.vulnerability",
"ingested": "2024-04-02T09:15:52Z",
"kind": "state",
"original": "{\"asset\":{\"fqdn\":\"example.com\",\"hostname\":\"89.160.20.112\",\"ipv4\":\"81.2.69.142\",\"network_id\":\"00000000-0000-0000-0000-000000000000\",\"operating_system\":[\"Test Demo OS X 10.5.8\"],\"tracked\":true,\"uuid\":\"cf165808-6a31-48e1-9cf3-c6c3174df51d\"},\"first_found\":\"2018-12-31T20:59:47Z\",\"indexed\":\"2022-11-30T14:09:12.061Z\",\"last_found\":\"2018-12-31T20:59:47Z\",\"output\":\"The observed version of Test is : \\n /21.0.1180.90\",\"plugin\":{\"cve\":[\"CVE-2016-1620\",\"CVE-2016-1614\",\"CVE-2016-1613\",\"CVE-2016-1612\",\"CVE-2016-1618\",\"CVE-2016-1617\",\"CVE-2016-1616\",\"CVE-2016-1615\",\"CVE-2016-1619\"],\"cvss_base_score\":9.3,\"cvss_temporal_score\":6.9,\"cvss_temporal_vector\":{\"exploitability\":\"Unproven\",\"raw\":\"E:U/RL:OF/RC:C\",\"remediation_level\":\"Official-fix\",\"report_confidence\":\"Confirmed\"},\"cvss_vector\":{\"access_complexity\":\"Medium\",\"access_vector\":\"Network\",\"authentication\":\"None required\",\"availability_impact\":\"Complete\",\"confidentiality_impact\":\"Complete\",\"integrity_impact\":\"Complete\",\"raw\":\"AV:N/AC:M/Au:N/C:C/I:C/A:C\"},\"description\":\"The version of Test on the remote host is prior to 48.0.2564.82 and is affected by the following vulnerabilities: \\n\\n - An unspecified vulnerability exists in Test V8 when handling compatible receiver checks hidden behind receptors. An attacker can exploit this to have an unspecified impact. No other details are available. (CVE-2016-1612)\\n - A use-after-free error exists in `PDFium` due to improper invalidation of `IPWL_FocusHandler` and `IPWL_Provider` upon destruction. An attacker can exploit this to dereference already freed memory, resulting in the execution of arbitrary code. (CVE-2016-1613)\\n - An unspecified vulnerability exists in `Blink` that is related to the handling of bitmaps. An attacker can exploit this to access sensitive information. No other details are available. (CVE-2016-1614)\\n - An unspecified vulnerability exists in `omnibox` that is related to origin confusion. An attacker can exploit this to have an unspecified impact. No other details are available. (CVE-2016-1615)\\n - An unspecified vulnerability exists that allows an attacker to spoof a displayed URL. No other details are available. (CVE-2016-1616)\\n - An unspecified vulnerability exists that is related to history sniffing with HSTS and CSP. No other details are available. (CVE-2016-1617)\\n - A flaw exists in `Blink` due to the weak generation of random numbers by the ARC4-based random number generator. An attacker can exploit this to gain access to sensitive information. No other details are available. (CVE-2016-1618)\\n - An out-of-bounds read error exists in `PDFium` in file `fx_codec_jpx_opj.cpp` in the `sycc4{22,44}_to_rgb()` functions. An attacker can exploit this to cause a denial of service by crashing the application linked using the library. (CVE-2016-1619)\\n - Multiple vulnerabilities exist, the most serious of which allow an attacker to execute arbitrary code via a crafted web page. (CVE-2016-1620)\\n - A flaw in `objects.cc` is triggered when handling cleared `WeakCells`, which may allow a context-dependent attacker to have an unspecified impact. No further details have been provided. (CVE-2016-2051)\",\"family\":\"Web Clients\",\"family_id\":1000020,\"has_patch\":false,\"id\":9062,\"name\":\"Test \\u0026lt; 48.0.2564.82 Multiple Vulnerabilities\",\"risk_factor\":\"HIGH\",\"see_also\":[\"http://testreleases.blogspot.com/2016/01/beta-channel-update_20.html\"],\"solution\":\"Update the browser to 48.0.2564.82 or later.\",\"synopsis\":\"The remote host is utilizing a web browser that is affected by multiple vulnerabilities.\",\"vpr\":{\"drivers\":{\"age_of_vuln\":{\"lower_bound\":366,\"upper_bound\":730},\"cvss3_impact_score\":5.9,\"cvss_impact_score_predicted\":false,\"exploit_code_maturity\":\"UNPROVEN\",\"product_coverage\":\"LOW\",\"threat_intensity_last28\":\"VERY_LOW\",\"threat_sources_last28\":[\"No recorded events\"]},\"score\":5.9,\"updated\":\"2019-12-31T10:08:58Z\"}},\"port\":{\"port\":\"0\",\"protocol\":\"TCP\"},\"scan\":{\"completed_at\":\"2018-12-31T20:59:47Z\",\"schedule_uuid\":\"6f7db010-9cb6-4870-b745-70a2aea2f81ce1b6640fe8a2217b\",\"started_at\":\"2018-12-31T20:59:47Z\",\"uuid\":\"0e55ec5d-c7c7-4673-a618-438a84e9d1b78af3a9957a077904\"},\"severity\":\"low\",\"severity_default_id\":3,\"severity_id\":3,\"severity_modification_type\":\"NONE\",\"state\":\"OPEN\"}",
"type": [
"info"
]
},
"host": {
"domain": "example.com",
"id": "cf165808-6a31-48e1-9cf3-c6c3174df51d",
"ip": [
"89.160.20.112",
"81.2.69.142"
],
"os": {
"full": [
"Test Demo OS X 10.5.8"
]
}
},
"input": {
"type": "cel"
},
"related": {
"hosts": [
"example.com"
],
"ip": [
"89.160.20.112",
"81.2.69.142"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"tenable_io-vulnerability"
],
"tenable_io": {
"vulnerability": {
"asset": {
"fqdn": "example.com",
"ip_address": "89.160.20.112",
"ipv4": "81.2.69.142",
"network_id": "00000000-0000-0000-0000-000000000000",
"operating_system": [
"Test Demo OS X 10.5.8"
],
"tracked": true,
"uuid": "cf165808-6a31-48e1-9cf3-c6c3174df51d"
},
"first_found": "2018-12-31T20:59:47.000Z",
"indexed": "2022-11-30T14:09:12.061Z",
"last_found": "2018-12-31T20:59:47.000Z",
"output": "The observed version of Test is : \n /21.0.1180.90",
"plugin": {
"cve": [
"CVE-2016-1620",
"CVE-2016-1614",
"CVE-2016-1613",
"CVE-2016-1612",
"CVE-2016-1618",
"CVE-2016-1617",
"CVE-2016-1616",
"CVE-2016-1615",
"CVE-2016-1619"
],
"cvss": {
"base_score": 9.3,
"temporal": {
"score": 6.9,
"vector": {
"exploitability": "Unproven",
"raw": "E:U/RL:OF/RC:C",
"remediation_level": "Official-fix",
"report_confidence": "Confirmed"
}
},
"vector": {
"access": {
"complexity": "Medium",
"vector": "Network"
},
"authentication": "None required",
"availability_impact": "Complete",
"confidentiality_impact": "Complete",
"integrity_impact": "Complete",
"raw": "AV:N/AC:M/Au:N/C:C/I:C/A:C"
}
},
"description": "The version of Test on the remote host is prior to 48.0.2564.82 and is affected by the following vulnerabilities: \n\n - An unspecified vulnerability exists in Test V8 when handling compatible receiver checks hidden behind receptors. An attacker can exploit this to have an unspecified impact. No other details are available. (CVE-2016-1612)\n - A use-after-free error exists in `PDFium` due to improper invalidation of `IPWL_FocusHandler` and `IPWL_Provider` upon destruction. An attacker can exploit this to dereference already freed memory, resulting in the execution of arbitrary code. (CVE-2016-1613)\n - An unspecified vulnerability exists in `Blink` that is related to the handling of bitmaps. An attacker can exploit this to access sensitive information. No other details are available. (CVE-2016-1614)\n - An unspecified vulnerability exists in `omnibox` that is related to origin confusion. An attacker can exploit this to have an unspecified impact. No other details are available. (CVE-2016-1615)\n - An unspecified vulnerability exists that allows an attacker to spoof a displayed URL. No other details are available. (CVE-2016-1616)\n - An unspecified vulnerability exists that is related to history sniffing with HSTS and CSP. No other details are available. (CVE-2016-1617)\n - A flaw exists in `Blink` due to the weak generation of random numbers by the ARC4-based random number generator. An attacker can exploit this to gain access to sensitive information. No other details are available. (CVE-2016-1618)\n - An out-of-bounds read error exists in `PDFium` in file `fx_codec_jpx_opj.cpp` in the `sycc4{22,44}_to_rgb()` functions. An attacker can exploit this to cause a denial of service by crashing the application linked using the library. (CVE-2016-1619)\n - Multiple vulnerabilities exist, the most serious of which allow an attacker to execute arbitrary code via a crafted web page. (CVE-2016-1620)\n - A flaw in `objects.cc` is triggered when handling cleared `WeakCells`, which may allow a context-dependent attacker to have an unspecified impact. No further details have been provided. (CVE-2016-2051)",
"family": "Web Clients",
"family_id": 1000020,
"has_patch": false,
"id": 9062,
"name": "Test < 48.0.2564.82 Multiple Vulnerabilities",
"risk_factor": "HIGH",
"see_also": [
"http://testreleases.blogspot.com/2016/01/beta-channel-update_20.html"
],
"solution": "Update the browser to 48.0.2564.82 or later.",
"synopsis": "The remote host is utilizing a web browser that is affected by multiple vulnerabilities.",
"vpr": {
"drivers": {
"age_of_vuln": {
"lower_bound": 366,
"upper_bound": 730
},
"cvss3_impact_score": 5.9,
"cvss_impact_score_predicted": false,
"exploit_code_maturity": "UNPROVEN",
"product_coverage": "LOW",
"threat_intensity_last28": "VERY_LOW",
"threat_sources_last28": [
"No recorded events"
]
},
"score": 5.9,
"updated": "2019-12-31T10:08:58.000Z"
}
},
"port": {
"protocol": "TCP",
"value": 0
},
"scan": {
"completed_at": "2018-12-31T20:59:47.000Z",
"schedule_uuid": "6f7db010-9cb6-4870-b745-70a2aea2f81ce1b6640fe8a2217b",
"started_at": "2018-12-31T20:59:47.000Z",
"uuid": "0e55ec5d-c7c7-4673-a618-438a84e9d1b78af3a9957a077904"
},
"severity": {
"default_id": 3,
"id": 3,
"modification_type": "NONE",
"value": "low"
},
"state": "OPEN"
}
},
"vulnerability": {
"category": [
"Web Clients"
],
"classification": "CVSS",
"description": "The version of Test on the remote host is prior to 48.0.2564.82 and is affected by the following vulnerabilities: \n\n - An unspecified vulnerability exists in Test V8 when handling compatible receiver checks hidden behind receptors. An attacker can exploit this to have an unspecified impact. No other details are available. (CVE-2016-1612)\n - A use-after-free error exists in `PDFium` due to improper invalidation of `IPWL_FocusHandler` and `IPWL_Provider` upon destruction. An attacker can exploit this to dereference already freed memory, resulting in the execution of arbitrary code. (CVE-2016-1613)\n - An unspecified vulnerability exists in `Blink` that is related to the handling of bitmaps. An attacker can exploit this to access sensitive information. No other details are available. (CVE-2016-1614)\n - An unspecified vulnerability exists in `omnibox` that is related to origin confusion. An attacker can exploit this to have an unspecified impact. No other details are available. (CVE-2016-1615)\n - An unspecified vulnerability exists that allows an attacker to spoof a displayed URL. No other details are available. (CVE-2016-1616)\n - An unspecified vulnerability exists that is related to history sniffing with HSTS and CSP. No other details are available. (CVE-2016-1617)\n - A flaw exists in `Blink` due to the weak generation of random numbers by the ARC4-based random number generator. An attacker can exploit this to gain access to sensitive information. No other details are available. (CVE-2016-1618)\n - An out-of-bounds read error exists in `PDFium` in file `fx_codec_jpx_opj.cpp` in the `sycc4{22,44}_to_rgb()` functions. An attacker can exploit this to cause a denial of service by crashing the application linked using the library. (CVE-2016-1619)\n - Multiple vulnerabilities exist, the most serious of which allow an attacker to execute arbitrary code via a crafted web page. (CVE-2016-1620)\n - A flaw in `objects.cc` is triggered when handling cleared `WeakCells`, which may allow a context-dependent attacker to have an unspecified impact. No further details have been provided. (CVE-2016-2051)",
"enumeration": "CVE",
"id": [
"CVE-2016-1620",
"CVE-2016-1614",
"CVE-2016-1613",
"CVE-2016-1612",
"CVE-2016-1618",
"CVE-2016-1617",
"CVE-2016-1616",
"CVE-2016-1615",
"CVE-2016-1619"
],
"reference": [
"http://testreleases.blogspot.com/2016/01/beta-channel-update_20.html"
],
"report_id": "0e55ec5d-c7c7-4673-a618-438a84e9d1b78af3a9957a077904",
"scanner": {
"vendor": "Tenable"
},
"score": {
"version": "3.0"
},
"severity": "low"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
输入类型 |
关键词 |
log.offset |
日志偏移量 |
长整数 |
tenable_io.vulnerability.asset.agent_uuid |
执行发现漏洞的扫描的代理的 UUID。 |
关键词 |
tenable_io.vulnerability.asset.bios_uuid |
发现漏洞的资产的 BIOS UUID。 |
关键词 |
tenable_io.vulnerability.asset.device_type |
发现漏洞的资产的类型。 |
关键词 |
tenable_io.vulnerability.asset.fqdn |
扫描在其中发现漏洞的资产的完全限定域名。 |
关键词 |
tenable_io.vulnerability.asset.hostname |
扫描在其中发现漏洞的资产的主机名。 |
关键词 |
tenable_io.vulnerability.asset.ip_address |
关键词 |
|
tenable_io.vulnerability.asset.ipv4 |
扫描在其中发现漏洞的资产的 IPv4 地址。 |
ip |
tenable_io.vulnerability.asset.ipv6 |
扫描在其中发现漏洞的资产的 IPv6 地址。 |
ip |
tenable_io.vulnerability.asset.last_authenticated_results |
上次成功使用凭据扫描资产的日期。 |
日期 |
tenable_io.vulnerability.asset.last_unauthenticated_results |
上次在未使用凭据的情况下扫描资产的日期 |
日期 |
tenable_io.vulnerability.asset.mac_address |
扫描在其中发现漏洞的资产的 MAC 地址。 |
关键词 |
tenable_io.vulnerability.asset.netbios.name |
扫描在其中发现漏洞的资产的 NETBIOS 名称。 |
关键词 |
tenable_io.vulnerability.asset.netbios.workgroup |
扫描在其中发现漏洞的资产的 NETBIOS 工作组。 |
关键词 |
tenable_io.vulnerability.asset.network_id |
与识别出该资产的扫描仪关联的网络对象的 ID。默认网络 ID 为 00000000-0000-0000-0000-000000000000 |
关键词 |
tenable_io.vulnerability.asset.operating_system |
扫描在其中发现漏洞的资产的操作系统。 |
关键词 |
tenable_io.vulnerability.asset.tracked |
一个值,用于指定 Tenable Vulnerability Management 是否在资产管理系统中跟踪资产。Tenable Vulnerability Management 仍然会在扫描结果中为未跟踪的资产分配标识符,但是这些标识符会随着每次对资产的新扫描而更改。此参数与 PCI 类型扫描以及在某些情况下扫描中没有足够的信息来标识资产有关。未跟踪的资产会出现在扫描历史记录中,但不会出现在工作台或报告中。 |
布尔值 |
tenable_io.vulnerability.asset.uuid |
扫描在其中发现漏洞的资产的 UUID。 |
关键词 |
tenable_io.vulnerability.first_found |
扫描首次在资产上检测到漏洞的 ISO 日期。 |
日期 |
tenable_io.vulnerability.indexed |
漏洞索引到 Tenable Vulnerability Management 的日期和时间(以 Unix 时间为单位)。 |
日期 |
tenable_io.vulnerability.last_fixed |
扫描不再检测到资产上先前检测到的漏洞的 ISO 日期。 |
日期 |
tenable_io.vulnerability.last_found |
扫描上次在资产上检测到漏洞的 ISO 日期。 |
日期 |
tenable_io.vulnerability.output |
Nessus 扫描仪的文本输出。 |
关键词 |
tenable_io.vulnerability.plugin.always_run |
布尔值 |
|
tenable_io.vulnerability.plugin.bid |
插件的 Bugtraq ID。 |
长整数 |
tenable_io.vulnerability.plugin.canvas_package |
包含漏洞的 CANVAS 利用包的名称。 |
关键词 |
tenable_io.vulnerability.plugin.checks_for_default_account |
一个值,用于指定插件是否检查默认帐户。 |
布尔值 |
tenable_io.vulnerability.plugin.checks_for_malware |
一个值,用于指定插件是否检查恶意软件。 |
布尔值 |
tenable_io.vulnerability.plugin.compliance |
布尔值 |
|
tenable_io.vulnerability.plugin.cpe |
插件的通用平台枚举 (CPE) 编号。 |
关键词 |
tenable_io.vulnerability.plugin.cve |
插件的常见漏洞和暴露 (CVE) ID。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.base_score |
CVSSv2 基本评分(漏洞的固有和基本特征,这些特征在时间和用户环境之间是恒定的) |
double |
tenable_io.vulnerability.plugin.cvss.temporal.score |
CVSSv2 临时评分(随时间变化但不随用户环境变化的漏洞特征)。 |
double |
tenable_io.vulnerability.plugin.cvss.temporal.vector.exploitability |
插件涵盖的漏洞的 CVSSv2 可利用性 (E) 临时指标。可能的值包括:U、POC、F、H 和 ND。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.temporal.vector.raw |
插件涵盖的漏洞的完整 cvss_temporal_vector 指标和结果值,采用压缩和编码格式。例如,E:U/RL:OF/RC:C。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.temporal.vector.remediation_level |
插件涵盖的漏洞的 CVSSv2 修复级别 (RL) 临时指标。可能的值包括:OF、TF、W、U 和 ND。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.temporal.vector.report_confidence |
插件涵盖的漏洞的 CVSSv2 报告置信度 (RC) 临时指标。可能的值包括:UC、UR、C 和 ND。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.vector.access.complexity |
插件涵盖的漏洞的 CVSSv2 访问复杂性 (AC) 指标。可能的值包括:H、M 和 L。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.vector.access.vector |
插件涵盖的漏洞的 CVSSv2 访问向量 (AV) 指标。可能的值包括:L、A 和 N。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.vector.authentication |
插件涵盖的漏洞的 CVSSv2 身份验证 (Au) 指标。可能的值包括 N、S 和 M。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.vector.availability_impact |
插件涵盖的漏洞的 CVSSv2 可用性影响指标。可能的值包括 N、P 和 C。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.vector.confidentiality_impact |
插件涵盖的漏洞的 CVSSv2 机密性影响指标。可能的值包括:N、P 和 C。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.vector.integrity_impact |
插件涵盖的漏洞的 CVSSv2 完整性影响指标。可能的值包括:N、P 和 C。 |
关键词 |
tenable_io.vulnerability.plugin.cvss.vector.raw |
插件涵盖的漏洞的完整 cvss_vector 指标和结果值,采用压缩和编码格式。例如,AV:N/AC:M/Au:N/C:C/I:C/A:C。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.base_score |
CVSSv3 基本评分(漏洞的内在和基本特性,这些特性在时间和用户环境中是恒定的)。 |
double |
tenable_io.vulnerability.plugin.cvss3.temporal.score |
CVSSv3 临时评分(随时间变化但不随用户环境变化的漏洞特征)。 |
double |
tenable_io.vulnerability.plugin.cvss3.temporal.vector.exploit_code_maturity |
关键词 |
|
tenable_io.vulnerability.plugin.cvss3.temporal.vector.exploitability |
插件涵盖的漏洞的 CVSSv3 利用成熟度代码 (E)。可能的值包括:未验证、概念验证、功能性、高和未定义。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.temporal.vector.raw |
插件涵盖的漏洞的完整 cvss3_temporal_vector 指标和结果值,采用压缩和编码格式。例如,E:U/RL:OF/RC:C。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.temporal.vector.remediation_level |
插件涵盖的漏洞的 CVSSv3 修复级别 (RL) 临时指标。可能的值包括:O、T、W、U、X。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.temporal.vector.report_confidence |
插件涵盖的漏洞的 CVSSv3 报告置信度 (RC) 临时指标。可能的值包括:U、R、C、X。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.vector.access.complexity |
插件涵盖的漏洞的 CVSSv3 访问复杂性 (AC) 指标。可能的值包括:H、M、L。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.vector.access.vector |
插件涵盖的漏洞的 CVSSv2 攻击向量 (AV) 指标。可能的值包括:网络、相邻网络、本地。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.vector.attack.complexity |
关键词 |
|
tenable_io.vulnerability.plugin.cvss3.vector.attack.vector |
关键词 |
|
tenable_io.vulnerability.plugin.cvss3.vector.authentication |
插件涵盖的漏洞的 CVSSv2 身份验证 (Au) 指标。可能的值包括:不需要身份验证、需要单实例、需要多实例。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.vector.availability_impact |
插件涵盖的漏洞的 CVSSv2 可用性影响指标。可能的值包括:H、M、L。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.vector.confidentiality_impact |
插件涵盖的漏洞的 CVSSv3 机密性影响指标(针对易受攻击的组件)。可能的值包括:H、M、L。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.vector.integrity_impact |
插件涵盖的漏洞的 CVSSv3 完整性影响指标。可能的值包括:H、M、L。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.vector.privileges_required |
关键词 |
|
tenable_io.vulnerability.plugin.cvss3.vector.raw |
插件涵盖的漏洞的完整 cvss3_vector 指标和结果值,采用压缩和编码格式。例如,AV:N/AC:M/Au:N/C:C/I:C/A:C。 |
关键词 |
tenable_io.vulnerability.plugin.cvss3.vector.scope |
关键词 |
|
tenable_io.vulnerability.plugin.cvss3.vector.user_interaction |
关键词 |
|
tenable_io.vulnerability.plugin.d2_elliot_name |
D2 Elliot Web Exploitation 框架中利用的名称。 |
关键词 |
tenable_io.vulnerability.plugin.description |
漏洞插件的全文描述。 |
text |
tenable_io.vulnerability.plugin.exploit_available |
一个值,用于指定该漏洞是否存在公共利用。 |
布尔值 |
tenable_io.vulnerability.plugin.exploit_framework.canvas |
一个值,指定 Immunity CANVAS 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.vulnerability.plugin.exploit_framework.core |
一个值,指定 CORE Impact 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.vulnerability.plugin.exploit_framework.d2_elliot |
一个值,指定 D2 Elliot Web Exploitation 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.vulnerability.plugin.exploit_framework.hub |
一个值,指定 ExploitHub 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.vulnerability.plugin.exploit_framework.metasploit |
一个值,指定 Metasploit 框架中是否存在漏洞利用。 |
布尔值 |
tenable_io.vulnerability.plugin.exploitability_ease |
描述漏洞的利用难度。 |
关键词 |
tenable_io.vulnerability.plugin.exploited_by.malware |
已知此插件发现的漏洞会被恶意软件利用。 |
布尔值 |
tenable_io.vulnerability.plugin.exploited_by.nessus |
一个值,指定 Nessus 在识别过程中是否利用了该漏洞。 |
布尔值 |
tenable_io.vulnerability.plugin.exploithub_sku |
ExploitHub 框架中漏洞利用的 SKU 编号。 |
关键词 |
tenable_io.vulnerability.plugin.family |
插件所属的系列。 |
关键词 |
tenable_io.vulnerability.plugin.family_id |
插件系列的 ID。 |
长整数 |
tenable_io.vulnerability.plugin.has_patch |
一个值,指定供应商是否已发布该漏洞的补丁。 |
布尔值 |
tenable_io.vulnerability.plugin.id |
识别该漏洞的插件 ID。 |
长整数 |
tenable_io.vulnerability.plugin.in_the_news |
一个值,指定此插件是否受到媒体关注(例如,ShellShock、Meltdown)。 |
布尔值 |
tenable_io.vulnerability.plugin.intel_type |
关键词 |
|
tenable_io.vulnerability.plugin.io_address |
关键词 |
|
tenable_io.vulnerability.plugin.metasploit_name |
Metasploit 框架中相关漏洞利用的名称。 |
关键词 |
tenable_io.vulnerability.plugin.modification_date |
插件上次修改的日期。 |
日期 |
tenable_io.vulnerability.plugin.ms_bulletin |
插件涵盖的 Microsoft 安全公告。 |
关键词 |
tenable_io.vulnerability.plugin.name |
识别该漏洞的插件名称。 |
关键词 |
tenable_io.vulnerability.plugin.patch_publication_date |
供应商发布该漏洞补丁的日期。 |
日期 |
tenable_io.vulnerability.plugin.plugin_modification_date |
日期 |
|
tenable_io.vulnerability.plugin.plugin_publication_date |
日期 |
|
tenable_io.vulnerability.plugin.publication_date |
插件发布的日期。 |
日期 |
tenable_io.vulnerability.plugin.risk_factor |
与插件相关的风险因素。可能的值为:低、中、高或严重。 |
关键词 |
tenable_io.vulnerability.plugin.see_also |
指向包含有关该漏洞的有用信息的外部网站的链接。 |
关键词 |
tenable_io.vulnerability.plugin.solution |
该漏洞的修复信息。 |
关键词 |
tenable_io.vulnerability.plugin.stig_severity |
该漏洞的安全技术实施指南 (STIG) 严重性代码。 |
关键词 |
tenable_io.vulnerability.plugin.synopsis |
插件或漏洞的简要描述。 |
关键词 |
tenable_io.vulnerability.plugin.type |
插件检查的一般类型(例如,本地或远程)。 |
关键词 |
tenable_io.vulnerability.plugin.unsupported_by_vendor |
此插件发现的软件不受软件供应商的支持(例如,Windows 95 或 Firefox 3)。 |
布尔值 |
tenable_io.vulnerability.plugin.usn |
插件涵盖的 Ubuntu 安全通知。 |
关键词 |
tenable_io.vulnerability.plugin.version |
用于执行检查的插件版本。 |
version |
tenable_io.vulnerability.plugin.vpr.drivers.age_of_vuln.lower_bound |
范围的下限。例如,对于 0-7 天的范围,此属性为“0”。对于最高范围(超过 730 天),此值为“731”。 |
长整数 |
tenable_io.vulnerability.plugin.vpr.drivers.age_of_vuln.upper_bound |
范围的上限。例如,对于 0-7 天的范围,此属性为“7”。对于最高范围(超过 730 天),此值为“0”,表示没有更高的类别。 |
长整数 |
tenable_io.vulnerability.plugin.vpr.drivers.cvss3_impact_score |
NVD 提供的漏洞 CVSSv3 影响评分。如果 NVD 未提供评分,Tenable Vulnerability Management 将显示 Tenable 预测的评分。 |
double |
tenable_io.vulnerability.plugin.vpr.drivers.cvss_impact_score_predicted |
一个值,用于指定 Tenable 是否因 NVD 未提供漏洞的 CVSSv3 影响评分而对其进行预测(true),或者在计算 VPR 时使用了 NVD 提供的 CVSSv3 影响评分(false)。 |
布尔值 |
tenable_io.vulnerability.plugin.vpr.drivers.exploit_code_maturity |
基于来自内部和外部来源(例如,Reversinglabs、Exploit-db、Metasploit 等)的漏洞利用情报的存在、复杂性和普遍性,漏洞的可能利用的相对成熟度。可能的值(高、功能性、PoC 或 未验证)与 CVSS 漏洞利用代码成熟度类别并行。 |
关键词 |
tenable_io.vulnerability.plugin.vpr.drivers.product_coverage |
受漏洞影响的唯一产品的相对数量:低、中、高或非常高。 |
关键词 |
tenable_io.vulnerability.plugin.vpr.drivers.threat_intensity_last28 |
基于最近观察到的与此漏洞相关的威胁事件的数量和频率的相对强度:非常低、低、中、高或非常高。 |
关键词 |
tenable_io.vulnerability.plugin.vpr.drivers.threat_recency.lower_bound |
范围的下限。例如,对于 0-7 天的范围,此属性为“0”。对于最高范围(超过 365 天),此值为“366”。 |
长整数 |
tenable_io.vulnerability.plugin.vpr.drivers.threat_recency.upper_bound |
范围的上限。例如,对于 0-7 天的范围,此属性为“7”。对于最高范围(超过 730 天),此值为“0”,表示没有更高的类别。 |
长整数 |
tenable_io.vulnerability.plugin.vpr.drivers.threat_sources_last28 |
发生与此漏洞相关的威胁事件的所有来源(例如,社交媒体渠道、暗网等)的列表。项目类型:字符串。 |
关键词 |
tenable_io.vulnerability.plugin.vpr.score |
漏洞的漏洞优先级评级 (VPR)。如果插件旨在检测多个漏洞,则 VPR 表示为与该插件关联的漏洞计算的最高值。 |
double |
tenable_io.vulnerability.plugin.vpr.updated |
Tenable Vulnerability Management 上次导入此漏洞的 VPR 时的 ISO 时间戳。每次运行扫描时,Tenable Vulnerability Management 都会导入更新的 VPR 值。 |
日期 |
tenable_io.vulnerability.plugin.vuln_publication_date |
插件的发布日期。 |
日期 |
tenable_io.vulnerability.plugin.xref.id |
关键词 |
|
tenable_io.vulnerability.plugin.xref.type |
关键词 |
|
tenable_io.vulnerability.plugin.xrefs.id |
关键词 |
|
tenable_io.vulnerability.plugin.xrefs.type |
关键词 |
|
tenable_io.vulnerability.port.protocol |
扫描仪用于与资产通信的协议。 |
关键词 |
tenable_io.vulnerability.port.service |
扫描仪用于与资产通信的服务。 |
关键词 |
tenable_io.vulnerability.port.value |
扫描仪用于与资产通信的端口。 |
长整数 |
tenable_io.vulnerability.recast.reason |
在 Tenable Vulnerability Management 用户界面中,重铸规则的“注释”字段中显示的文本。 |
关键词 |
tenable_io.vulnerability.recast.rule_uuid |
应用于插件的重铸规则的 UUID。 |
关键词 |
tenable_io.vulnerability.scan.completed_at |
扫描完成时的 ISO 时间戳。 |
日期 |
tenable_io.vulnerability.scan.schedule_uuid |
发现该漏洞的扫描的计划 UUID。 |
关键词 |
tenable_io.vulnerability.scan.started_at |
扫描开始时的 ISO 时间戳。 |
日期 |
tenable_io.vulnerability.scan.uuid |
发现该漏洞的扫描的 UUID。 |
关键词 |
tenable_io.vulnerability.severity.default_id |
在用户重铸与漏洞相关的风险之前,最初分配给漏洞的严重性代码。可能的值与 severity_id 属性相同。 |
长整数 |
tenable_io.vulnerability.severity.id |
当用户重铸与漏洞相关的风险时分配的严重性代码。可能的值包括:0、1、2、3 和 4。 |
长整数 |
tenable_io.vulnerability.severity.modification_type |
用户对漏洞严重性进行的修改类型。可能的值包括:none、recasted 和 accepted。 |
关键词 |
tenable_io.vulnerability.severity.value |
使用通用漏洞评分系统 (CVSS) 基本分数定义的漏洞严重性。可能的值包括 info、low、medium、high 和 critical。 |
关键词 |
tenable_io.vulnerability.state |
Tenable Vulnerability Management 状态服务确定的漏洞状态。可能的值包括:open、reopen 和 fixed。 |
关键词 |
vulnerability.description |
漏洞的描述。 |
text |
scan
编辑这是 scan 数据集。
示例
scan 的示例事件如下
{
"@timestamp": "2024-04-02T09:14:42.329Z",
"agent": {
"ephemeral_id": "f945f2c2-fbaf-4b93-b6ca-7d51e6a0706d",
"id": "a0570906-16fc-4c38-821f-7c3aa6ed04bb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.12.0"
},
"data_stream": {
"dataset": "tenable_io.scan",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "a0570906-16fc-4c38-821f-7c3aa6ed04bb",
"snapshot": false,
"version": "8.12.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"configuration"
],
"dataset": "tenable_io.scan",
"ingested": "2024-04-02T09:14:52Z",
"kind": "state",
"original": "{\"control\":true,\"creation_date\":1683282785,\"enabled\":true,\"has_triggers\":false,\"id\":195,\"last_modification_date\":1683283158,\"legacy\":false,\"name\":\"Client Discovery\",\"owner\":\"[email protected]\",\"permissions\":128,\"policy_id\":194,\"progress\":100,\"read\":false,\"rrules\":\"FREQ=WEEKLY;INTERVAL=1;BYDAY=FR\",\"schedule_uuid\":\"11c56dea-as5f-65ce-ad45-9978045df65ecade45b6e3a76871\",\"shared\":true,\"starttime\":\"20220708T033000\",\"status\":\"completed\",\"status_times\":{\"initializing\":2623,\"pending\":52799,\"processing\":1853,\"publishing\":300329,\"running\":15759},\"template_uuid\":\"a1efc3b4-cd45-a65d-fbc4-0079ebef4a56cd32a05ec2812bcf\",\"timezone\":\"America/Los_Angeles\",\"total_targets\":21,\"type\":\"remote\",\"user_permissions\":128,\"uuid\":\"a456ef1c-cbd4-ad41-f654-119b766ff61f\",\"wizard_uuid\":\"32cbd657-fe65-a45e-a45f-0079eb89e56a1c23fd5ec2812bcf\"}",
"type": [
"info"
]
},
"input": {
"type": "cel"
},
"tags": [
"preserve_original_event",
"forwarded",
"tenable_io-scan"
],
"tenable_io": {
"scan": {
"control": true,
"creation_date": "2023-05-05T10:33:05.000Z",
"enabled": true,
"has_triggers": false,
"id": 195,
"last_modification_date": "2023-05-05T10:39:18.000Z",
"legacy": false,
"name": "Client Discovery",
"owner": "[email protected]",
"permissions": 128,
"policy_id": 194,
"progress": 100,
"read": false,
"rrules": "FREQ=WEEKLY;INTERVAL=1;BYDAY=FR",
"schedule_uuid": "11c56dea-as5f-65ce-ad45-9978045df65ecade45b6e3a76871",
"shared": true,
"starttime": "2022-07-08T03:30:00.000Z",
"status": "completed",
"status_times": {
"initializing": 2623,
"pending": 52799,
"processing": 1853,
"publishing": 300329,
"running": 15759
},
"template_uuid": "a1efc3b4-cd45-a65d-fbc4-0079ebef4a56cd32a05ec2812bcf",
"timezone": "America/Los_Angeles",
"total_targets": 21,
"type": "remote",
"user_permissions": 128,
"uuid": "a456ef1c-cbd4-ad41-f654-119b766ff61f",
"wizard_uuid": "32cbd657-fe65-a45e-a45f-0079eb89e56a1c23fd5ec2812bcf"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
输入类型 |
关键词 |
log.offset |
日志偏移量 |
长整数 |
tenable_io.scan.control |
如果为 true,则扫描具有计划并且可以启动。 |
布尔值 |
tenable_io.scan.creation_date |
对于新创建的扫描,扫描配置最初创建的日期。对于至少启动过一次的扫描,此属性不表示扫描配置最初创建的日期。相反,它表示扫描首次启动的日期,以 Unix 时间格式表示。 |
日期 |
tenable_io.scan.enabled |
指示扫描计划是活动 (true) 还是非活动 (false)。 |
布尔值 |
tenable_io.scan.has_triggers |
布尔值 |
|
tenable_io.scan.id |
扫描的唯一 ID。 |
长整数 |
tenable_io.scan.last_modification_date |
对于新创建的扫描,扫描配置创建的日期。对于至少启动过一次的扫描,此属性不表示扫描配置上次修改的日期。相反,它表示扫描上次启动的日期,以 Unix 时间格式表示。每次扫描启动时,Tenable Vulnerability Management 都会更新此属性。 |
日期 |
tenable_io.scan.legacy |
一个值,指示扫描结果是否在存储方法更改之前创建。如果为 true,则 Tenable Vulnerability Management 会将结果存储在旧的存储方法中。如果为 false,则 Tenable Vulnerability Management 会将结果存储在新的存储方法中。 |
布尔值 |
tenable_io.scan.name |
扫描的名称。 |
关键词 |
tenable_io.scan.owner |
扫描的所有者。 |
关键词 |
tenable_io.scan.permissions |
请求用户对扫描的权限。 |
长整数 |
tenable_io.scan.policy_id |
用户定义的模板(策略)的唯一 ID,扫描配置基于此模板。 |
长整数 |
tenable_io.scan.progress |
扫描的进度,范围从 0 到 100。 |
长整数 |
tenable_io.scan.read |
一个值,指示与请求消息关联的用户帐户是否在 Tenable Vulnerability Management 用户界面中查看了扫描。如果为 1,则用户帐户已查看扫描结果。 |
布尔值 |
tenable_io.scan.rrules |
扫描重复的间隔。间隔格式为以分号分隔的三个值的字符串。这些值是频率(FREQ=ONETIME 或 DAILY 或 WEEKLY 或 MONTHLY 或 YEARLY)、间隔(INTERVAL=1 或 2 或 3 … x)和星期几(BYDAY=SU,MO,TU,WE,TH,FR,SA)。对于每周一、三、五运行的扫描,该字符串将为 FREQ=WEEKLY;INTERVAL=3;BYDAY=MO,WE,FR。如果扫描未计划重复执行,则此属性为空。有关更多信息,请参阅 rrules 格式。 |
关键词 |
tenable_io.scan.schedule_uuid |
扫描计划中特定实例的 UUID。 |
关键词 |
tenable_io.scan.shared |
如果为 true,则该扫描将与扫描所有者以外的用户共享。共享级别在扫描详细信息的 acls 属性中指定。 |
布尔值 |
tenable_io.scan.starttime |
对于一次性扫描,扫描的开始时间和日期。对于重复扫描,基于 rrules 属性,扫描计划处于活动状态的第一个日期以及重复扫描启动的时间。 |
日期 |
tenable_io.scan.status |
扫描的状态。可能的值为 - aborted、canceled、completed、empty、imported、initializing、pausing、paused、pending、processing、publishing、resuming、running、stopped、stopping |
关键词 |
tenable_io.scan.status_times.initializing |
长整数 |
|
tenable_io.scan.status_times.pending |
长整数 |
|
tenable_io.scan.status_times.processing |
长整数 |
|
tenable_io.scan.status_times.publishing |
长整数 |
|
tenable_io.scan.status_times.running |
长整数 |
|
tenable_io.scan.template_uuid |
模板的 UUID。 |
关键词 |
tenable_io.scan.timezone |
扫描计划开始时区。 |
关键词 |
tenable_io.scan.total_targets |
扫描中的目标总数。 |
长整数 |
tenable_io.scan.type |
扫描的类型。 |
关键词 |
tenable_io.scan.user_permissions |
扫描的共享权限。 |
长整数 |
tenable_io.scan.uuid |
扫描的 UUID。 |
关键词 |
tenable_io.scan.wizard_uuid |
Tenable 提供的模板的 UUID,用于创建扫描或用户定义的模板(策略),扫描配置基于此模板。 |
关键词 |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
3.4.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.2.1 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.1.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.0.1 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
3.0.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.9.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.8.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.8.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.5.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.4.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.1.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.0.1 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.1 |
Bug 修复 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.1 |
Bug 修复 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |