Tenable.sc
编辑Tenable.sc
编辑Tenable Security Center 集成从 Tenable Security Center API 收集和解析数据。
兼容性
编辑此模块已针对 Tenable.sc 版本 5.23 和 Tenable.sc 版本 6.4.0 进行测试。
要求
编辑为了从 Tenable.sc 提取数据,您必须拥有访问密钥和密钥。
启用 API 密钥以允许用户执行 API 密钥身份验证。
有关更多信息,请参阅 Tenable 的文档:
默认值是 Tenable 建议的批量大小值。它可以在高级选项下找到,并且可以根据要求进行配置。根据 API 和实例限制,非常大的值可能无法按预期工作。
日志
编辑资产
编辑这是 asset 数据集。
示例
asset 的示例事件如下所示:
{
"@timestamp": "2023-09-22T18:00:18.358Z",
"agent": {
"ephemeral_id": "87389b96-4d7e-4a86-a055-4d34d251c4c0",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "tenable_sc.asset",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"created": "2023-09-22T18:00:18.358Z",
"dataset": "tenable_sc.asset",
"ingested": "2023-09-22T18:00:21Z",
"kind": "state",
"original": "{\"biosGUID\":\"9e8c4d43-982b-4405-a76c-d56c1d6cf117\",\"dnsName\":\"rnkmigauv2l8zeyf.example\",\"hostUniqueness\":\"repositoryID,ip,dnsName\",\"ip\":\"0.0.228.153\",\"lastAuthRun\":\"\",\"lastUnauthRun\":\"\",\"macAddress\":\"00:00:00:47:05:0d\",\"mcafeeGUID\":\"\",\"netbiosName\":\"UNKNOWN\\\\\RNKMIGAUV2L8ZEYF.EXAMPLE\",\"osCPE\":\"cpe:/o:microsoft:windows_10:::x64-home\",\"pluginSet\":\"201901281542\",\"policyName\":\"Basic Agent Scan\",\"repository\":{\"dataFormat\":\"IPv4\",\"description\":\"\",\"id\":\"2\",\"name\":\"Staged-Large\",\"sciID\":\"1\"},\"score\":\"307\",\"severityCritical\":\"6\",\"severityHigh\":\"4\",\"severityInfo\":\"131\",\"severityLow\":\"0\",\"severityMedium\":\"9\",\"total\":\"150\",\"tpmID\":\"\",\"uniqueness\":\"repositoryID,ip,dnsName\",\"uuid\":\"4add65d0-27fc-491c-91ba-3f498a61f49e\"}",
"type": [
"info"
]
},
"host": {
"domain": "example",
"hostname": "rnkmigauv2l8zeyf.example",
"ip": [
"0.0.228.153"
],
"mac": [
"00-00-00-47-05-0D"
],
"name": "rnkmigauv2l8zeyf"
},
"input": {
"type": "httpjson"
},
"related": {
"hosts": [
"rnkmigauv2l8zeyf.example",
"rnkmigauv2l8zeyf",
"UNKNOWN\\RNKMIGAUV2L8ZEYF.EXAMPLE"
],
"ip": [
"0.0.228.153"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"tenable_sc-asset"
],
"tenable_sc": {
"asset": {
"bios": {
"guid": "9e8c4d43-982b-4405-a76c-d56c1d6cf117"
},
"custom_hash": "ilZiksv+pbvyBkKXgFRLGuMuUovfGI0pjIX5yLMp+I8=",
"dns": {
"name": "rnkmigauv2l8zeyf.example"
},
"host_uniqueness": "repositoryID,ip,dnsName",
"ip": "0.0.228.153",
"mac": "00-00-00-47-05-0D",
"netbios": {
"name": "UNKNOWN\\RNKMIGAUV2L8ZEYF.EXAMPLE"
},
"os_cpe": "cpe:/o:microsoft:windows_10:::x64-home",
"plugin_set": "201901281542",
"policy": {
"name": "Basic Agent Scan"
},
"repository": {
"data_format": "IPv4",
"id": "2",
"name": "Staged-Large",
"sci": {
"id": "1"
}
},
"score": 307,
"severity": {
"critical": 6,
"high": 4,
"info": 131,
"low": 0,
"medium": 9
},
"total": 150,
"uniqueness": "repositoryID,ip,dnsName",
"uuid": "4add65d0-27fc-491c-91ba-3f498a61f49e"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
输入类型 |
关键词 |
log.offset |
日志偏移量 |
长整型 |
tenable_sc.asset.bios.guid |
BIOS 的 GUID。 |
关键词 |
tenable_sc.asset.custom_hash |
哈希值,表示唯一性字段中提到的字段名称的值,以便唯一标识资产。 |
关键词 |
tenable_sc.asset.dns.name |
资产的 DNS 名称。 |
关键词 |
tenable_sc.asset.host_uniqueness |
主机唯一性。 |
关键词 |
tenable_sc.asset.ip |
资产的 IPv4 地址。 |
关键词 |
tenable_sc.asset.last_auth_run |
上次身份验证运行的时间戳。 |
关键词 |
tenable_sc.asset.last_unauth_run |
上次未经验证运行的时间戳。 |
关键词 |
tenable_sc.asset.mac |
资产的 MAC 地址。 |
关键词 |
tenable_sc.asset.mcafee.guid |
McAfee 的 GUID。 |
关键词 |
tenable_sc.asset.netbios.name |
资产的 NetBIOS 名称。 |
关键词 |
tenable_sc.asset.os_cpe |
操作系统 CPE(通用平台枚举是一种用于命名软件应用程序、操作系统和硬件平台的标准化方法)。 |
关键词 |
tenable_sc.asset.plugin_set |
资产所属的插件集。 |
关键词 |
tenable_sc.asset.policy.name |
分配给资产的策略名称。 |
关键词 |
tenable_sc.asset.repository.data_format |
数据格式。 |
关键词 |
tenable_sc.asset.repository.description |
存储库的描述。 |
关键词 |
tenable_sc.asset.repository.id |
资产所属存储库的 ID。 |
关键词 |
tenable_sc.asset.repository.name |
资产所属存储库的名称。 |
关键词 |
tenable_sc.asset.repository.sci.id |
Sci ID。 |
关键词 |
tenable_sc.asset.score |
资产的分数。 |
长整型 |
tenable_sc.asset.severity.critical |
资产的严重分数。 |
长整型 |
tenable_sc.asset.severity.high |
资产的高分数。 |
长整型 |
tenable_sc.asset.severity.info |
资产的信息分数。 |
长整型 |
tenable_sc.asset.severity.low |
资产的低分数。 |
长整型 |
tenable_sc.asset.severity.medium |
资产的中等分数。 |
长整型 |
tenable_sc.asset.total |
资产的总分。 |
长整型 |
tenable_sc.asset.tpm.id |
TPM 的 ID。 |
关键词 |
tenable_sc.asset.uniqueness |
唯一性。 |
关键词 |
tenable_sc.asset.uuid |
资产的 UUID。 |
关键词 |
插件
编辑这是 plugin 数据集。
示例
plugin 的示例事件如下所示:
{
"@timestamp": "2021-09-27T01:33:53.000Z",
"agent": {
"ephemeral_id": "7f93fe8a-bef7-46ec-8a36-47d48e2f8e7c",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "tenable_sc.plugin",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"created": "2023-09-22T18:01:18.245Z",
"dataset": "tenable_sc.plugin",
"ingested": "2023-09-22T18:01:21Z",
"kind": "event",
"original": "{\"baseScore\":\"7.8\",\"checkType\":\"remote\",\"copyright\":\"This script is Copyright (C) 2003-2020 John Lampe\",\"cpe\":\"\",\"cvssV3BaseScore\":null,\"cvssV3TemporalScore\":null,\"cvssV3Vector\":\"\",\"cvssV3VectorBF\":\"0\",\"cvssVector\":\"AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C\",\"cvssVectorBF\":\"2164920932\",\"dependencies\":\"find_service1.nasl,http_version.nasl,www_fingerprinting_hmap.nasl\",\"description\":\"Microsoft IIS, running Frontpage extensions, is vulnerable to a remote denial of service attack usually called the 'malformed web submission' vulnerability. An attacker, exploiting this vulnerability, will be able to render the service unusable.\\n\\nIf this machine serves a business-critical function, there could be an impact to the business.\",\"dstPort\":null,\"exploitAvailable\":\"false\",\"exploitEase\":\"No known exploits are available\",\"exploitFrameworks\":\"\",\"family\":{\"id\":\"11\",\"name\":\"Web Servers\",\"type\":\"active\"},\"id\":\"10585\",\"md5\":\"38b2147401eb5c3a15af52182682f345\",\"modifiedTime\":\"1632706433\",\"name\":\"Microsoft IIS Frontpage Server Extensions (FPSE) Malformed Form DoS\",\"patchModDate\":\"-1\",\"patchPubDate\":\"-1\",\"pluginModDate\":\"1591963200\",\"pluginPubDate\":\"1058875200\",\"protocol\":\"\",\"requiredPorts\":\"\",\"requiredUDPPorts\":\"\",\"riskFactor\":\"High\",\"seeAlso\":\"https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2000/ms00-100\",\"solution\":\"Microsoft has released a set of patches for IIS 4.0 and 5.0.\",\"sourceFile\":\"IIS_frontpage_DOS_2.nasl\",\"srcPort\":null,\"stigSeverity\":null,\"synopsis\":\"The remote web server is vulnerable to a denial of service\",\"temporalScore\":\"5.8\",\"type\":\"active\",\"version\":\"1.28\",\"vprContext\":\"[{\\\"id\\\":\\\"age_of_vuln\\\",\\\"name\\\":\\\"Vulnerability Age\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"730 days +\\\"},{\\\"id\\\":\\\"cvssV3_impactScore\\\",\\\"name\\\":\\\"CVSS v3 Impact Score\\\",\\\"type\\\":\\\"number\\\",\\\"value\\\":3.6000000000000001},{\\\"id\\\":\\\"exploit_code_maturity\\\",\\\"name\\\":\\\"Exploit Code Maturity\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"Unproven\\\"},{\\\"id\\\":\\\"product_coverage\\\",\\\"name\\\":\\\"Product Coverage\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"Low\\\"},{\\\"id\\\":\\\"threat_intensity_last_28\\\",\\\"name\\\":\\\"Threat Intensity\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"Very Low\\\"},{\\\"id\\\":\\\"threat_recency\\\",\\\"name\\\":\\\"Threat Recency\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"\\u003e 365 days\\\"},{\\\"id\\\":\\\"threat_sources_last_28\\\",\\\"name\\\":\\\"Threat Sources\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"No recorded events\\\"}]\",\"vprScore\":\"4.4\",\"vulnPubDate\":\"977486400\",\"xrefs\":\"CVE:CVE-2001-0096, BID:2144, MSFT:MS00-100, MSKB:280322\"}",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"related": {
"hash": [
"38b2147401eb5c3a15af52182682f345"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"tenable_sc-plugin"
],
"tenable_sc": {
"plugin": {
"base_score": 7.8,
"check_type": "remote",
"copyright": "This script is Copyright (C) 2003-2020 John Lampe",
"cvss_vector": "AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C",
"cvss_vector_bf": "2164920932",
"dependencies": [
"find_service1.nasl",
"http_version.nasl",
"www_fingerprinting_hmap.nasl"
],
"description": "Microsoft IIS, running Frontpage extensions, is vulnerable to a remote denial of service attack usually called the 'malformed web submission' vulnerability. An attacker, exploiting this vulnerability, will be able to render the service unusable.\n\nIf this machine serves a business-critical function, there could be an impact to the business.",
"exploit": {
"ease": "No known exploits are available",
"is_available": "false"
},
"family": {
"id": "11",
"name": "Web Servers",
"type": "active"
},
"id": "10585",
"is_patch_modified": false,
"is_patch_published": false,
"is_plugin_modified": true,
"is_plugin_published": true,
"is_vulnerability_published": true,
"md5": "38b2147401eb5c3a15af52182682f345",
"modified_time": "2021-09-27T01:33:53.000Z",
"name": "Microsoft IIS Frontpage Server Extensions (FPSE) Malformed Form DoS",
"plugin_mod_date": "2020-06-12T12:00:00.000Z",
"plugin_pub_date": "2003-07-22T12:00:00.000Z",
"risk_factor": "High",
"see_also": [
"https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2000/ms00-100"
],
"solution": "Microsoft has released a set of patches for IIS 4.0 and 5.0.",
"source_file": "IIS_frontpage_DOS_2.nasl",
"synopsis": "The remote web server is vulnerable to a denial of service",
"temporal_score": 5.8,
"type": "active",
"version": 1.28,
"vpr": {
"context": {
"_original": [
{
"id": "age_of_vuln",
"name": "Vulnerability Age",
"type": "string",
"value": "730 days +"
},
{
"id": "cvssV3_impactScore",
"name": "CVSS v3 Impact Score",
"type": "number",
"value": 3.6
},
{
"id": "exploit_code_maturity",
"name": "Exploit Code Maturity",
"type": "string",
"value": "Unproven"
},
{
"id": "product_coverage",
"name": "Product Coverage",
"type": "string",
"value": "Low"
},
{
"id": "threat_intensity_last_28",
"name": "Threat Intensity",
"type": "string",
"value": "Very Low"
},
{
"id": "threat_recency",
"name": "Threat Recency",
"type": "string",
"value": "> 365 days"
},
{
"id": "threat_sources_last_28",
"name": "Threat Sources",
"type": "string",
"value": "No recorded events"
}
],
"age_of_vuln": "730 days +",
"cvssV3_impactScore": 3.6,
"exploit_code_maturity": "Unproven",
"product_coverage": "Low",
"threat_intensity_last_28": "Very Low",
"threat_recency": "> 365 days",
"threat_sources_last_28": "No recorded events"
},
"score": 4.4
},
"vuln_pub_date": "2000-12-22T12:00:00.000Z",
"xrefs": [
"CVE:CVE-2001-0096",
"BID:2144",
"MSFT:MS00-100",
"MSKB:280322"
]
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
输入类型 |
关键词 |
log.offset |
日志偏移量 |
长整型 |
tenable_sc.plugin.base_score |
CVSSv2 基本分数(漏洞的内在和基本特征,这些特征随时间和用户环境保持不变)。 |
双精度浮点数 |
tenable_sc.plugin.check_type |
检测到漏洞的合规性检查的类型。 |
关键词 |
tenable_sc.plugin.copyright |
与插件相关的版权信息。 |
关键词 |
tenable_sc.plugin.cpe |
由通用平台枚举 (CPE) 标识的插件目标系统列表。 |
关键词 |
tenable_sc.plugin.cvss_vector |
漏洞的原始 CVSSv2 指标。有关更多信息,请参阅 CVSSv2 文档。 |
关键词 |
tenable_sc.plugin.cvss_vector_bf |
不适用。 |
关键词 |
tenable_sc.plugin.cvssv3_base_score |
CVSSv3 基本分数(漏洞的内在和基本特征,这些特征随时间和用户环境保持不变)。 |
双精度浮点数 |
tenable_sc.plugin.cvssv3_temporal_score |
漏洞的 CVSSv3 时间指标。 |
双精度浮点数 |
tenable_sc.plugin.cvssv3_vector |
漏洞的原始 CVSSv3 指标。有关更多信息,请参阅 CVSSv3 文档。 |
关键词 |
tenable_sc.plugin.cvssv3_vector_bf |
不适用。 |
关键词 |
tenable_sc.plugin.dependencies |
不适用。 |
关键词 |
tenable_sc.plugin.description |
插件的扩展描述。 |
关键词 |
tenable_sc.plugin.dst_port |
目标端口。 |
长整型 |
tenable_sc.plugin.exploit.ease |
关于利用漏洞的难易程度的描述。 |
关键词 |
tenable_sc.plugin.exploit.frameworks |
漏洞利用使用的框架。 |
关键词 |
tenable_sc.plugin.exploit.is_available |
指示是否存在已知公开漏洞利用该漏洞。 |
布尔值 |
tenable_sc.plugin.family.id |
插件系列的 ID。 |
关键词 |
tenable_sc.plugin.family.name |
插件系列的名称。 |
关键词 |
tenable_sc.plugin.family.type |
插件系列的类型。 |
关键词 |
tenable_sc.plugin.id |
插件的 ID。 |
关键词 |
tenable_sc.plugin.is_patch_modified |
指示修补程序是否被修改的标志。 |
布尔值 |
tenable_sc.plugin.is_patch_published |
指示修补程序是否已发布的标志。 |
布尔值 |
tenable_sc.plugin.is_plugin_modified |
指示插件是否被修改的标志。 |
布尔值 |
tenable_sc.plugin.is_plugin_published |
指示插件是否已发布的标志。 |
布尔值 |
tenable_sc.plugin.is_vulnerability_published |
指示漏洞是否已发布的标志。 |
布尔值 |
tenable_sc.plugin.md5 |
不适用。 |
关键词 |
tenable_sc.plugin.modified_time |
插件中上次修改的时间戳。 |
日期 |
tenable_sc.plugin.name |
插件的名称。 |
关键词 |
tenable_sc.plugin.patch_mod_date |
供应商修改漏洞修补程序的日期。 |
日期 |
tenable_sc.plugin.patch_pub_date |
供应商发布漏洞修补程序的日期。 |
日期 |
tenable_sc.plugin.plugin_mod_date |
Tenable 上次更新插件的日期。 |
日期 |
tenable_sc.plugin.plugin_pub_date |
Tenable 最初发布插件的日期。 |
日期 |
tenable_sc.plugin.protocol |
漏洞使用的协议。 |
关键词 |
tenable_sc.plugin.required_ports |
不适用。 |
关键词 |
tenable_sc.plugin.required_udp_ports |
不适用。 |
关键词 |
tenable_sc.plugin.risk_factor |
与插件关联的风险因素。 |
关键词 |
tenable_sc.plugin.see_also |
指向外部网站的链接,其中包含有关漏洞的有用信息。 |
关键词 |
tenable_sc.plugin.solution |
漏洞的修复信息。 |
关键词 |
tenable_sc.plugin.source |
不适用。 |
关键词 |
tenable_sc.plugin.source_file |
不适用。 |
关键词 |
tenable_sc.plugin.src_port |
源端口。 |
长整型 |
tenable_sc.plugin.stig_severity |
漏洞的 STIG 严重性代码。 |
关键词 |
tenable_sc.plugin.synopsis |
与插件关联的一个或多个漏洞的简要摘要。 |
关键词 |
tenable_sc.plugin.temporal_score |
漏洞的原始 CVSSv2 时间指标。 |
双精度浮点数 |
tenable_sc.plugin.type |
插件的类型。 |
关键词 |
tenable_sc.plugin.version |
插件的版本。 |
版本 |
tenable_sc.plugin.vpr.context |
漏洞的漏洞优先级评级 (VPR) 矩阵。 |
扁平化 |
tenable_sc.plugin.vpr.score |
漏洞的漏洞优先级评级 (VPR) 分数。 |
双精度浮点数 |
tenable_sc.plugin.vuln_pub_date |
漏洞发布日期。 |
日期 |
tenable_sc.plugin.xrefs |
引用与插件关联的漏洞、漏洞利用或更新的第三方信息,以对象数组的形式呈现。 |
关键词 |
漏洞
编辑这是 vulnerability 数据集。
示例
vulnerability 的示例事件如下所示:
{
"@timestamp": "2021-09-25T16:08:45.000Z",
"agent": {
"ephemeral_id": "4e859f73-e37a-4b88-926b-cb67d01e20e1",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "tenable_sc.vulnerability",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat",
"vulnerability"
],
"created": "2023-09-22T18:02:19.559Z",
"dataset": "tenable_sc.vulnerability",
"ingested": "2023-09-22T18:02:22Z",
"kind": "event",
"original": "{\"acceptRisk\":\"0\",\"baseScore\":\"0.0\",\"bid\":\"\",\"checkType\":\"remote\",\"cpe\":\"\",\"cve\":\"CVE-1999-0524\",\"cvssV3BaseScore\":\"0.0\",\"cvssV3TemporalScore\":\"\",\"cvssV3Vector\":\"AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N\",\"cvssVector\":\"AV:L/AC:L/Au:N/C:N/I:N/A:N\",\"description\":\"The remote host answers to an ICMP timestamp request. This allows an attacker to know the date that is set on the targeted machine, which may assist an unauthenticated, remote attacker in defeating time-based authentication protocols.\\n\\nTimestamps returned from machines running Windows Vista / 7 / 2008 / 2008 R2 are deliberately incorrect, but usually within 1000 seconds of the actual system time.\",\"dnsName\":\"_gateway.lxd\",\"exploitAvailable\":\"No\",\"exploitEase\":\"\",\"exploitFrameworks\":\"\",\"family\":{\"id\":\"30\",\"name\":\"General\",\"type\":\"active\"},\"firstSeen\":\"1551284872\",\"hasBeenMitigated\":\"0\",\"hostUniqueness\":\"repositoryID,ip,dnsName\",\"ip\":\"10.238.64.1\",\"ips\":\"10.238.64.1\",\"lastSeen\":\"1632586125\",\"macAddress\":\"00:16:3e:a1:12:f7\",\"netbiosName\":\"\",\"operatingSystem\":\"Linux Kernel 2.6\",\"patchPubDate\":\"-1\",\"pluginID\":\"10114\",\"pluginInfo\":\"10114 (0/1) ICMP Timestamp Request Remote Date Disclosure\",\"pluginModDate\":\"1570190400\",\"pluginName\":\"ICMP Timestamp Request Remote Date Disclosure\",\"pluginPubDate\":\"933508800\",\"pluginText\":\"\\u003cplugin_output\\u003eThe remote clock is synchronized with the local clock.\\n\\u003c/plugin_output\\u003e\",\"port\":\"0\",\"protocol\":\"ICMP\",\"recastRisk\":\"0\",\"repository\":{\"dataFormat\":\"IPv4\",\"description\":\"\",\"id\":\"1\",\"name\":\"Live\",\"sciID\":\"1\"},\"riskFactor\":\"None\",\"seeAlso\":\"\",\"severity\":{\"description\":\"Informative\",\"id\":\"0\",\"name\":\"Info\"},\"solution\":\"Filter out the ICMP timestamp requests (13), and the outgoing ICMP timestamp replies (14).\",\"stigSeverity\":\"\",\"synopsis\":\"It is possible to determine the exact time set on the remote host.\",\"temporalScore\":\"\",\"uniqueness\":\"repositoryID,ip,dnsName\",\"uuid\":\"\",\"version\":\"1.48\",\"vprContext\":\"[{\\\"id\\\":\\\"age_of_vuln\\\",\\\"name\\\":\\\"Vulnerability Age\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"730 days +\\\"},{\\\"id\\\":\\\"cvssV3_impactScore\\\",\\\"name\\\":\\\"CVSS v3 Impact Score\\\",\\\"type\\\":\\\"number\\\",\\\"value\\\":0},{\\\"id\\\":\\\"exploit_code_maturity\\\",\\\"name\\\":\\\"Exploit Code Maturity\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"Unproven\\\"},{\\\"id\\\":\\\"product_coverage\\\",\\\"name\\\":\\\"Product Coverage\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"Very High\\\"},{\\\"id\\\":\\\"threat_intensity_last_28\\\",\\\"name\\\":\\\"Threat Intensity\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"Very Low\\\"},{\\\"id\\\":\\\"threat_recency\\\",\\\"name\\\":\\\"Threat Recency\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"No recorded events\\\"},{\\\"id\\\":\\\"threat_sources_last_28\\\",\\\"name\\\":\\\"Threat Sources\\\",\\\"type\\\":\\\"string\\\",\\\"value\\\":\\\"No recorded events\\\"}]\",\"vprScore\":\"0.8\",\"vulnPubDate\":\"788961600\",\"xref\":\"CWE #200\"}",
"type": [
"info"
]
},
"host": {
"domain": "lxd",
"hostname": "_gateway.lxd",
"ip": [
"10.238.64.1"
],
"mac": [
"00-16-3E-A1-12-F7"
],
"name": "_gateway",
"os": {
"full": "Linux Kernel 2.6"
}
},
"input": {
"type": "httpjson"
},
"network": {
"transport": "icmp"
},
"related": {
"hosts": [
"_gateway.lxd",
"_gateway"
],
"ip": [
"10.238.64.1"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"tenable_sc-vulnerability"
],
"tenable_sc": {
"vulnerability": {
"accept_risk": "0",
"age": 940,
"base_score": "0.0",
"check_type": "remote",
"custom_hash": "qVUXK2YtClsBlXncLYHLhVzynYK4hG2NbT0hY6guQm0=",
"cvss_v3_vector": "AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N",
"cvss_vector": "AV:L/AC:L/Au:N/C:N/I:N/A:N",
"dns": {
"name": "_gateway.lxd"
},
"exploit": {
"is_available": false
},
"family": {
"id": "30",
"name": "General",
"type": "active"
},
"first_seen": "2019-02-27T16:27:52.000Z",
"has_been_mitigated": false,
"host_uniqueness": "repositoryID,ip,dnsName",
"id": "1_10.238.64.1__gateway.lxd",
"ip": "10.238.64.1",
"is_vulnerability_published": true,
"last_seen": "2021-09-25T16:08:45.000Z",
"mac": "00-16-3E-A1-12-F7",
"operating_system": "Linux Kernel 2.6",
"patch": {
"is_published": false
},
"plugin": {
"id": "10114",
"info": "10114 (0/1) ICMP Timestamp Request Remote Date Disclosure",
"is_modified": true,
"is_published": true,
"mod_date": "2019-10-04T12:00:00.000Z",
"name": "ICMP Timestamp Request Remote Date Disclosure",
"pub_date": "1999-08-01T12:00:00.000Z",
"text": "<plugin_output>The remote clock is synchronized with the local clock.\n</plugin_output>"
},
"port": "0",
"protocol": "ICMP",
"recast_risk": "0",
"repository": {
"data_format": "IPv4",
"id": "1",
"name": "Live",
"sci_id": "1"
},
"risk_factor": "None",
"severity": {
"description": "Informative",
"id": "0"
},
"solution": "Filter out the ICMP timestamp requests (13), and the outgoing ICMP timestamp replies (14).",
"synopsis": "It is possible to determine the exact time set on the remote host.",
"uniqueness": "repositoryID,ip,dnsName",
"version": "1.48",
"vpr": {
"context": {
"_original": [
{
"id": "age_of_vuln",
"name": "Vulnerability Age",
"type": "string",
"value": "730 days +"
},
{
"id": "cvssV3_impactScore",
"name": "CVSS v3 Impact Score",
"type": "number",
"value": 0
},
{
"id": "exploit_code_maturity",
"name": "Exploit Code Maturity",
"type": "string",
"value": "Unproven"
},
{
"id": "product_coverage",
"name": "Product Coverage",
"type": "string",
"value": "Very High"
},
{
"id": "threat_intensity_last_28",
"name": "Threat Intensity",
"type": "string",
"value": "Very Low"
},
{
"id": "threat_recency",
"name": "Threat Recency",
"type": "string",
"value": "No recorded events"
},
{
"id": "threat_sources_last_28",
"name": "Threat Sources",
"type": "string",
"value": "No recorded events"
}
],
"age_of_vuln": "730 days +",
"cvssV3_impactScore": 0,
"exploit_code_maturity": "Unproven",
"product_coverage": "Very High",
"threat_intensity_last_28": "Very Low",
"threat_recency": "No recorded events",
"threat_sources_last_28": "No recorded events"
},
"score": 0.8
},
"vuln_pub_date": "1995-01-01T12:00:00.000Z",
"xref": [
"CWE #200"
]
}
},
"vulnerability": {
"category": [
"General"
],
"classification": "CVSS",
"description": "The remote host answers to an ICMP timestamp request. This allows an attacker to know the date that is set on the targeted machine, which may assist an unauthenticated, remote attacker in defeating time-based authentication protocols.\n\nTimestamps returned from machines running Windows Vista / 7 / 2008 / 2008 R2 are deliberately incorrect, but usually within 1000 seconds of the actual system time.",
"enumeration": "CVE",
"id": [
"CVE-1999-0524"
],
"reference": [
"https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0524"
],
"scanner": {
"vendor": "Tenable"
},
"score": {
"base": 0,
"version": "3.0"
},
"severity": "Info"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
输入类型 |
关键词 |
log.offset |
日志偏移量 |
长整型 |
tenable_sc.vulnerability.accept_risk |
不适用。 |
关键词 |
tenable_sc.vulnerability.age |
首次看到漏洞和上次看到漏洞之间的时间(以天为单位)。 |
长整型 |
tenable_sc.vulnerability.base_score |
漏洞的内在和基本特征,这些特征随时间和用户环境保持不变。 |
关键词 |
tenable_sc.vulnerability.bid |
Bugtraq ID。 |
关键词 |
tenable_sc.vulnerability.check_type |
检测到漏洞的合规性检查的类型。 |
关键词 |
tenable_sc.vulnerability.cpe |
插件的通用平台枚举 (CPE) 编号。 |
关键词 |
tenable_sc.vulnerability.custom_hash |
字段 plugin_id、port、protocol、tenable_sc.vulnerability.id 的哈希值,用于唯一标识漏洞。 |
关键词 |
tenable_sc.vulnerability.cvss_v3_vector |
漏洞的其他 CVSSv3 指标。 |
关键词 |
tenable_sc.vulnerability.cvss_vector |
漏洞的其他 CVSSv2 指标。 |
关键词 |
tenable_sc.vulnerability.dns.name |
DNS 名称。 |
关键词 |
tenable_sc.vulnerability.exploit.ease |
关于利用漏洞的难易程度的描述。 |
关键词 |
tenable_sc.vulnerability.exploit.frameworks |
漏洞利用使用的框架。 |
关键词 |
tenable_sc.vulnerability.exploit.is_available |
一个值,指定是否存在公开漏洞利用该漏洞。 |
布尔值 |
tenable_sc.vulnerability.family.id |
漏洞的系列 ID。 |
关键词 |
tenable_sc.vulnerability.family.name |
漏洞的系列名称。 |
关键词 |
tenable_sc.vulnerability.family.type |
漏洞的系列类型。 |
关键词 |
tenable_sc.vulnerability.first_seen |
扫描首次识别出漏洞的时间和日期。 |
日期 |
tenable_sc.vulnerability.has_been_mitigated |
指示漏洞是否已缓解。 |
布尔值 |
tenable_sc.vulnerability.host_uniqueness |
用于确定主机唯一性的字段名称。 |
关键词 |
tenable_sc.vulnerability.id |
字符串,包含唯一性中提到的字段名称的值,并用 _ 连接。 |
关键词 |
tenable_sc.vulnerability.ip |
扫描发现漏洞的资产的 IP 地址。 |
关键词 |
tenable_sc.vulnerability.is_vulnerability_published |
指示漏洞是否已发布的标志。 |
布尔值 |
tenable_sc.vulnerability.last_seen |
扫描最近一次识别出漏洞的时间和日期。 |
日期 |
tenable_sc.vulnerability.mac |
扫描发现漏洞的资产的 MAC 地址。 |
关键词 |
tenable_sc.vulnerability.netbios.name |
扫描发现漏洞的资产的 NetBIOS 名称。 |
关键词 |
tenable_sc.vulnerability.operating_system |
扫描发现漏洞的资产的操作系统。 |
关键词 |
tenable_sc.vulnerability.patch.is_published |
指示漏洞是否已修补的标志。 |
布尔值 |
tenable_sc.vulnerability.patch.pub_date |
发布漏洞修补程序的日期。 |
日期 |
tenable_sc.vulnerability.plugin.id |
插件的 ID。 |
关键词 |
tenable_sc.vulnerability.plugin.info |
有关插件的信息。 |
关键词 |
tenable_sc.vulnerability.plugin.is_modified |
指示插件是否被修改的标志。 |
布尔值 |
tenable_sc.vulnerability.plugin.is_published |
指示插件是否已发布的标志。 |
布尔值 |
tenable_sc.vulnerability.plugin.mod_date |
修改漏洞的日期。 |
日期 |
tenable_sc.vulnerability.plugin.name |
插件的名称。 |
关键词 |
tenable_sc.vulnerability.plugin.pub_date |
漏洞发布的日期。 |
日期 |
tenable_sc.vulnerability.plugin.text |
插件提供的文本。(通常是插件输出的文本)。 |
关键词 |
tenable_sc.vulnerability.port |
扫描器用于与资产通信的端口。 |
关键词 |
tenable_sc.vulnerability.protocol |
扫描器用于与资产通信的协议。 |
关键词 |
tenable_sc.vulnerability.recast_risk |
使用重铸规则修改漏洞的严重性风险度量。 |
关键词 |
tenable_sc.vulnerability.repository.data_format |
存储库的数据格式。 |
关键词 |
tenable_sc.vulnerability.repository.description |
存储库的描述。 |
关键词 |
tenable_sc.vulnerability.repository.id |
存储库的 ID。 |
关键词 |
tenable_sc.vulnerability.repository.name |
存储库的名称。 |
关键词 |
tenable_sc.vulnerability.repository.sci_id |
不适用。 |
关键词 |
tenable_sc.vulnerability.risk_factor |
与漏洞相关的风险因素。 |
关键词 |
tenable_sc.vulnerability.severity.description |
严重性的描述。 |
关键词 |
tenable_sc.vulnerability.severity.id |
当用户重铸与漏洞相关的风险时,分配的严重性代码。 |
关键词 |
tenable_sc.vulnerability.solution |
漏洞的修复信息。 |
关键词 |
tenable_sc.vulnerability.stig_severity |
漏洞的安全技术实施指南 (STIG) 严重性代码。 |
关键词 |
tenable_sc.vulnerability.synopsis |
漏洞的简要描述。 |
关键词 |
tenable_sc.vulnerability.temporal_score |
随时间变化但在用户环境之间不变化的漏洞特征。 |
关键词 |
tenable_sc.vulnerability.uniqueness |
用于确定漏洞唯一性的字段名称。 |
关键词 |
tenable_sc.vulnerability.uuid |
不适用。 |
关键词 |
tenable_sc.vulnerability.version |
漏洞的版本。 |
关键词 |
tenable_sc.vulnerability.vpr.context |
漏洞的漏洞优先级评级 (VPR) 矩阵。 |
扁平化 |
tenable_sc.vulnerability.vpr.score |
漏洞的漏洞优先级评级 (VPR) 分数。 |
双精度浮点数 |
tenable_sc.vulnerability.vuln_pub_date |
漏洞发布的日期。 |
日期 |
tenable_sc.vulnerability.xref |
引用与插件相关的漏洞、利用或更新的第三方信息。 |
关键词 |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.27.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.26.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.25.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.24.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.20.2 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.20.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.7.1 |
Bug 修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.6.2 |
Bug 修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.6.1 |
Bug 修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.4.1 |
Bug 修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.3.1 |
Bug 修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.2.2 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.2.1 |
Bug 修复 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |