Rapid7 Threat Command 集成
编辑Rapid7 Threat Command 集成
编辑概述
编辑Rapid7 Threat Command 集成允许用户检索 IOC(入侵指标)、特定于组织的 Threat Command 警报和 CVE(常见漏洞和披露)。此外,从 Rapid7 Threat Command 平台收集的数据(IOC 和 CVE)与用户环境之间的关联有助于识别威胁。Rapid7 Threat Command 平台为防御者提供了评估其攻击面、检测可疑行为以及通过智能自动化快速响应和修复所需的工具和清晰度。
数据流
编辑Rapid7 Threat Command 集成收集三种类型的数据:ioc、alert 和 vulnerability。
IOC 使用 REST API 从 Rapid7 Threat Command 平台检索指标。
Alert 使用 REST API 从 Rapid7 Threat Command 平台检索警报。
Vulnerability 使用 REST API 从 Rapid7 Threat Command 平台检索 CVE。
兼容性
编辑- 此集成已针对 Rapid7 Threat Command
IOC API v2、Alert API v1和Vulnerability API v1进行了测试。 - Rapid7 Threat Command 集成与 Elastic Stack
v8.12.0及更高版本兼容。
要求
编辑Elasticsearch
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理数据。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
Elastic Agent
编辑必须安装 Elastic Agent。有关更多信息,请参阅此处的链接。
您可以通过几种方式安装和管理 Elastic Agent
安装 Fleet 管理的 Elastic Agent(推荐)
编辑通过这种方法,您可以安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的 Agent。我们建议使用 Fleet 管理,因为它使您的 Agent 的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过这种方法,您可以安装 Elastic Agent,并在安装它的系统上手动配置 Agent。您负责管理和升级 Agent。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论是使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可以从 Elastic Docker 注册表中获得,并且我们提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅此处的链接。
其他先决条件
编辑所需的最低 kibana.version 是 8.12.0。
检查转换的先决条件。
检查操作和连接器的先决条件。
设置
编辑集成设置
编辑IOC 过期时长
编辑此设置强制所有活动的入侵指标 (IOC) 在其在 Feed 中指示的上次看到时间后经过此持续时间后过期。使用以天、小时或分钟为单位的 Elasticsearch 时间单位(例如 10d)。如果提供了无效的单位,则使用默认值 90d,即 90 天来使指标过期。有关指标过期的更多详细信息,请阅读入侵指标 (IOC) 过期部分。
筛选 IOC
编辑为了根据严重性和类型筛选结果,可以使用 IOC 严重性 和 IOC 类型 参数
- IOC 严重性的允许值:高、中、低、待丰富。
- IOC 类型的允许值:IpAddresses、Urls、Domains、Hashes、Emails。
筛选警报
编辑为了根据严重性、类型和状态筛选结果,可以使用 警报严重性、警报类型、获取已关闭的警报 参数
- 警报严重性的允许值:高、中、低。
- 警报类型的允许值:AttackIndication、DataLeakage、Phishing、BrandSecurity、ExploitableData、vip。
需要配置单独的策略来检索 已关闭 和 已打开 的警报。
筛选漏洞
编辑为了根据严重性筛选结果,可以使用 漏洞严重性 参数
- 漏洞严重性的允许值:严重、高、中、低。
单击 添加行 以使用参数的多个值筛选出数据。
集成版本 1.16.0 之后的主要更改
编辑如果集成的版本是从 ≤1.16.0 升级到 ≥2.0.0,则需要执行下面部分中的一个或多个操作才能使集成工作。
删除自定义规则
编辑直到 1.16.0 的集成版本添加了自定义安全检测规则,用于将用户索引中匹配的指标和 CVE 存储到从 Rapid7 Threat Command 集成摄取的指标和 CVE。这些规则现在被一个或多个Elastic 预构建检测规则所取代。以下是更改
<= v1.16.0 中的规则 |
v2.0.0 中的规则所替换 |
|---|---|
|
|
|
|
升级到 2.0.0 后,建议用户禁用和删除旧规则,以避免重复安全警报。用户还必须安装并启用新的规则,如此处所述。
删除自定义视图和仪表板
编辑直到版本 1.16.0 的集成添加了自定义索引和数据视图,即 rapid7-tc-ioc-correlations 和 rapid7-tc-cve-correlations,以借助自定义规则存储来自用户索引的匹配指标和 CVE。由于自定义规则被 Elastic 预构建规则取代,因此删除了这些自定义视图。用户可以通过导航到 安全→ 警报页面来查看相同的匹配指标和 CVE。有关更多详细信息,请阅读查看检测警报。
一些依赖于上述自定义视图的仪表板也被删除。这些仪表板包括 IOC 相关性、IOC 相关性详细信息、漏洞相关性和 漏洞相关性详细信息。用户可以通过导航到相同的 安全→ 警报页面来查看这些相关性。
删除自定义转换
编辑此集成版本直到 1.16.0 引导用户在数据集 IOC、Alert 和 Vulnerability 上创建自定义转换,并使用要从 Kibana Dev Tools 执行的命令。从 2.0.0 开始,集成将它们替换为 Fleet 管理的转换,这些转换在升级后会自动安装和启动。以下是更改
转换名称 <= v1.16.0 |
转换名称 v2.0.0 |
|---|---|
|
|
|
|
|
|
|
|
|
|
在版本 <= v1.16.0 中,转换 ti_rapid7_threat_command_ioc_rule_transform 和 ti_rapid7_threat_command_cve_rule_transform 用于将从自定义规则生成的安全警报索引到自定义视图中。由于自定义规则和自定义视图都被删除,因此不再需要这些转换。
如果用户升级到 1.16.0 之后的任何版本,建议停止并删除旧版本中使用的所有转换,以避免重复数据和安全警报。
入侵指标 (IOC) 的过期
编辑威胁态势不断演变,因此 IOC 需要更新以反映当前状态,或者在指标不再相关时过期。
从集成摄取的指标在 IOC 过期时长 集成设置配置的持续时间后过期。此设置是 必需 属性,必须由用户设置。有关详细信息,请参阅IOC 过期时长部分。
创建名为 logs-ti_rapid7_threat_command.latest_ioc-default-* 的Elastic Transform,以便最终用户只能使用活跃的 IOC。此转换创建名为 logs-ti_rapid7_threat_command_latest.dest_ioc-* 的目标索引,其中仅包含活跃且未过期的 IOC。此最新的目标索引还有一个名为 logs-ti_rapid7_threat_command_latest.ioc 的别名。查询活跃指标或设置指标匹配规则时,请仅使用最新的目标索引或别名,以避免来自过期 IOC 的误报。
仪表板也指向仅包含活跃指标的最新目标索引。
添加了ILM 策略,以避免源数据流 .ds-logs-ti_rapid7_threat_command.ioc-* 索引无限制地增长。
ILM 策略
编辑由于添加了fleet 管理的转换,还为 IOC、Alert 和 Vulnerability 数据集添加了 ILM 策略,以便源数据流支持的索引 .ds-logs-ti_rapid7_threat_command.ioc-*、.ds-logs-ti_rapid7_threat_command.alert-*、.ds-logs-ti_rapid7_threat_command.vulnerability-* 不会导致无限制地增长。这意味着这些源索引中的数据将根据 ILM 策略删除,默认情况下为从摄取日期开始的 5 天。
| 源数据流支持的索引 | 策略名称 | 默认保留期 |
|---|---|---|
|
logs-ti_rapid7_threat_command.ioc-default_policy |
5 天 |
|
logs-ti_rapid7_threat_command.alert-default_policy |
5 天 |
|
logs-ti_rapid7_threat_command.vulnerability-default_policy |
5 天 |
可以根据用户需要修改 ILM 策略。
检测规则
编辑如上所述,有 5 个预构建的检测规则可用,需要用户添加。4 个规则用于匹配指标,1 个规则用于匹配漏洞。以下是规则:
- 威胁情报哈希指标匹配。
- 威胁情报 IP 地址指标匹配。
- 威胁情报 URL 指标匹配。
- 威胁情报 Windows 注册表指标匹配。
- Rapid7 Threat Command CVE 相关性。
在 Elasticsearch 中安装并启用检测规则
编辑- 在 Kibana 中,转到 安全性 > 规则 > 检测规则 (SIEM)。
- 单击 添加 Elastic 规则。
- 在集成搜索栏中,键入并搜索以上 5 个规则中的每个规则。
- 单击 安装规则 安装规则。
- 要启用检测规则,请打开规则的 已启用 开关。
为规则添加连接器
编辑- 在 Kibana 中,转到 安全性 > 规则 > 检测规则 (SIEM)。
- 在 已安装的规则 下,单击以上 5 个规则中的每个规则。
- 单击
编辑规则设置。 - 在 操作 选项卡下,从列表
选择连接器类型中选择一个连接器。 - 配置连接器.
有关规则操作的更多详细信息,请阅读规则操作。有关向规则操作添加 Webhook 连接器的信息,请阅读Webhook - 案例管理。
限制
编辑- IOC API 获取过去六个月内的 IOC。因此,可以收集最近六个月的指标。
- 对于预构建的 Elastic 规则,您无法修改大多数设置。创建重复规则以更改任何参数。
故障排除
编辑-
如果看不到 IOC、警报或 CVE 的任何数据,请检查代理日志以查看是否有错误。
常见错误:
-
该模块未包含在 ETP 套件订阅中。使用以下 CURL 请求验证您帐户的系统模块。
curl -u "<account_id>:<api_key>" https://api.intsights.com/public/v1/account/system-modules
-
配置错误的设置,例如
帐户 ID、访问密钥或筛选参数。使用以下 CURL 请求验证凭据。curl -u "<account_id>:<api_key>" --head https://api.intsights.com/public/v1/test-credentials
如果它给出 非 200 响应,请从 IntSights ETP 套件 UI 中的 订阅 页面重新生成 API 密钥。
-
-
如果看不到 IOC 或 CVE 的任何关联,
日志参考
编辑IOC
编辑检索随着时间推移所有相关的 IOC(入侵指标)。
示例
ioc 的示例事件如下所示
{
"@timestamp": "2022-06-16T10:39:07.851Z",
"agent": {
"ephemeral_id": "f8dfeb31-2b56-4f8e-bb91-d4b94b8086da",
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "ti_rapid7_threat_command.ioc",
"namespace": "98425",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8299ae35-ee0e-4107-9acb-1b6acfdda1fb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat"
],
"created": "2024-08-02T06:09:57.917Z",
"dataset": "ti_rapid7_threat_command.ioc",
"ingested": "2024-08-02T06:10:07Z",
"kind": "enrichment",
"module": "ti_rapid7_threat_command",
"original": "{\"firstSeen\":\"2022-05-04T20:11:04.000Z\",\"lastSeen\":\"2022-06-15T20:11:04.000Z\",\"lastUpdateDate\":\"2022-06-16T10:39:07.851Z\",\"relatedCampaigns\":[],\"relatedMalware\":[\"remcos\"],\"relatedThreatActors\":[],\"reportedFeeds\":[{\"confidenceLevel\":2,\"id\":\"5b68306df84f7c8696047fdd\",\"name\":\"Test Feed\"}],\"score\":13.26086956521739,\"severity\":\"Low\",\"status\":\"Active\",\"tags\":[\"Test\"],\"type\":\"IpAddresses\",\"value\":\"89.160.20.112\",\"whitelisted\":false}",
"risk_score": 13.26087,
"type": [
"indicator"
]
},
"input": {
"type": "httpjson"
},
"rapid7": {
"tc": {
"ioc": {
"deleted_at": "2022-08-05T10:39:07.851Z",
"expiration_duration": "50d",
"first_seen": "2022-05-04T20:11:04.000Z",
"last_seen": "2022-06-15T20:11:04.000Z",
"last_update_date": "2022-06-16T10:39:07.851Z",
"related": {
"malware": [
"remcos"
]
},
"reported_feeds": [
{
"confidence": 2,
"id": "5b68306df84f7c8696047fdd",
"name": "Test Feed"
}
],
"score": 13.26086956521739,
"severity": "Low",
"status": "Active",
"tags": [
"Test"
],
"type": "IpAddresses",
"value": "89.160.20.112",
"whitelisted": "false"
}
}
},
"related": {
"ip": [
"89.160.20.112"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"rapid7-threat-command-ioc",
"Test"
],
"threat": {
"indicator": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"confidence": "Low",
"first_seen": "2022-05-04T20:11:04.000Z",
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.112",
"last_seen": "2022-06-15T20:11:04.000Z",
"modified_at": "2022-06-16T10:39:07.851Z",
"name": "89.160.20.112",
"provider": [
"Test Feed"
],
"type": "ipv4-addr"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
labels.is_ioc_transform_source |
指示 IOC 是在原始源数据流中,还是在最新的目标索引中。 |
constant_keyword |
log.offset |
日志偏移量 |
long |
rapid7.tc.ioc.deleted_at |
指标过期(或将要过期)的时间戳。 |
date |
rapid7.tc.ioc.expiration_duration |
配置的过期时长。 |
keyword |
rapid7.tc.ioc.first_seen |
IOC 首次看到日期(Unix 毫秒时间戳)。 |
date |
rapid7.tc.ioc.geolocation |
IP 地址的地理位置。 |
keyword |
rapid7.tc.ioc.last_seen |
IOC 最近一次看到日期(Unix 毫秒时间戳)。 |
date |
rapid7.tc.ioc.last_update_date |
IOC 最近更新日期(Unix 毫秒时间戳)。 |
date |
rapid7.tc.ioc.provider |
指标提供者的列表。 |
keyword |
rapid7.tc.ioc.related.campaigns |
IOC 相关活动的列表。 |
keyword |
rapid7.tc.ioc.related.malware |
IOC 相关恶意软件家族的列表。 |
keyword |
rapid7.tc.ioc.related.threat_actors |
IOC 相关威胁行动者的列表。 |
keyword |
rapid7.tc.ioc.reported_feeds.confidence |
报告的馈送的置信度。 |
double |
rapid7.tc.ioc.reported_feeds.id |
报告的馈送的 ID。 |
keyword |
rapid7.tc.ioc.reported_feeds.name |
报告的馈送的名称。 |
keyword |
rapid7.tc.ioc.score |
IOC 分数,介于 0 - 100 之间。 |
double |
rapid7.tc.ioc.severity |
IOC 严重性。允许的值:High、Medium、Low、PendingEnrichment。 |
keyword |
rapid7.tc.ioc.status |
IOC 的状态。允许的值:Active、Retired。 |
keyword |
rapid7.tc.ioc.tags |
IOC 标签的列表。 |
keyword |
rapid7.tc.ioc.type |
IOC 类型。 |
keyword |
rapid7.tc.ioc.value |
IOC 值。 |
keyword |
rapid7.tc.ioc.whitelisted |
一个指标,指示是否已检查 IOC 并发现其在白名单中。 |
keyword |
threat.indicator.first_seen |
情报源首次报告看到此指标的日期和时间。 |
date |
threat.indicator.last_seen |
情报源最后一次报告看到此指标的日期和时间。 |
date |
threat.indicator.modified_at |
情报源最后一次修改此指标信息的日期和时间。 |
date |
警报
编辑检索随着时间推移特定于组织的 Threat Command 警报。
示例
alert 的示例事件如下所示
{
"@timestamp": "2022-11-02T10:12:46.260Z",
"agent": {
"ephemeral_id": "0a1f430f-ec76-4046-9683-49dd5ebaeab2",
"id": "34592ccf-10ae-4d24-a28c-97be832bde99",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "ti_rapid7_threat_command.alert",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "34592ccf-10ae-4d24-a28c-97be832bde99",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"created": "2024-06-26T07:01:05.859Z",
"dataset": "ti_rapid7_threat_command.alert",
"id": "123456789zxcvbnmas8a8q60",
"ingested": "2024-06-26T07:01:15Z",
"kind": "alert",
"module": "ti_rapid7_threat_command",
"original": "{\"Assets\":[{\"Type\":\"Domains\",\"Value\":\"example.com\"}],\"Assignees\":[],\"Closed\":{\"IsClosed\":true},\"Details\":{\"Description\":\"A suspicious subdomain 'example.com' was found to have characteristics indicating it may be used to carry out phishing attacks. | Recommendations: It is recommended to block the domain in your URL filtering and mail systems. This can prevent phishing emails being received by your employees and access to websites attempting to steal sensitive information. Click “Remediate” in order to initiate the takedown process for this domain.\",\"Images\":[],\"Severity\":\"Low\",\"Source\":{\"NetworkType\":\"ClearWeb\",\"Type\":\"WHOIS servers\",\"URL\":\"http://example.com\"},\"SubType\":\"RegisteredSuspiciousDomain\",\"Tags\":[{\"CreatedBy\":\"ProfilingRule\",\"Name\":\"Phishing Domain - Default Detection Rule\",\"_id\":\"1al3p6789z6c2b7m9s8a8q60\"}],\"Title\":\"Suspected Phishing Domain - 'example.com'\",\"Type\":\"Phishing\"},\"FoundDate\":\"2022-11-02T10:12:46.260Z\",\"IsFlagged\":false,\"RelatedIocs\":[\"example.com\"],\"RelatedThreatIDs\":[\"6a4e7t9a111bd0003bcc2a55\"],\"TakedownStatus\":\"NotSent\",\"UpdateDate\":\"2022-11-02T10:12:46.260Z\",\"_id\":\"123456789zxcvbnmas8a8q60\"}",
"reference": "https://dashboard.ti.insight.rapid7.com/#/threat-command/alerts/?search=123456789zxcvbnmas8a8q60"
},
"input": {
"type": "httpjson"
},
"rapid7": {
"tc": {
"alert": {
"assets": [
{
"type": "Domains",
"value": "example.com"
}
],
"details": {
"description": "A suspicious subdomain 'example.com' was found to have characteristics indicating it may be used to carry out phishing attacks. | Recommendations: It is recommended to block the domain in your URL filtering and mail systems. This can prevent phishing emails being received by your employees and access to websites attempting to steal sensitive information. Click “Remediate” in order to initiate the takedown process for this domain.",
"severity": "Low",
"source": {
"network_type": "ClearWeb",
"type": "WHOIS servers",
"url": "http://example.com"
},
"subtype": "RegisteredSuspiciousDomain",
"tags": [
{
"created_by": "ProfilingRule",
"id": "1al3p6789z6c2b7m9s8a8q60",
"name": "Phishing Domain - Default Detection Rule"
}
],
"title": "Suspected Phishing Domain - 'example.com'",
"type": "Phishing"
},
"found_date": "2022-11-02T10:12:46.260Z",
"id": "123456789zxcvbnmas8a8q60",
"is_closed": true,
"is_flagged": false,
"related_iocs": [
"example.com"
],
"related_threat_ids": [
"6a4e7t9a111bd0003bcc2a55"
],
"takedown_status": "NotSent",
"update_date": "2022-11-02T10:12:46.260Z"
}
}
},
"tags": [
"preserve_original_event",
"forwarded",
"rapid7-threat-command-alert",
"Phishing Domain - Default Detection Rule"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
log.offset |
日志偏移量 |
long |
rapid7.tc.alert.assets.type |
资产的类型。 |
keyword |
rapid7.tc.alert.assets.value |
资产的值。 |
keyword |
rapid7.tc.alert.assignees |
受让人列表。 |
keyword |
rapid7.tc.alert.details.description |
警报的描述。 |
keyword |
rapid7.tc.alert.details.images |
警报图像的列表。 |
keyword |
rapid7.tc.alert.details.severity |
警报严重性。允许的值:High、Medium、Low。 |
keyword |
rapid7.tc.alert.details.source.date |
警报的源日期(Unix 毫秒时间戳)。 |
date |
rapid7.tc.alert.details.source.email |
源电子邮件。 |
keyword |
rapid7.tc.alert.details.source.leak_name |
数据泄露警报中泄露数据库的名称。 |
keyword |
rapid7.tc.alert.details.source.network_type |
源网络类型。允许的值:ClearWeb、DarkWeb。 |
keyword |
rapid7.tc.alert.details.source.type |
警报的源类型。允许的值:ApplicationStores、BlackMarkets、HackingForums、SocialMedia、PasteSites、Others。 |
keyword |
rapid7.tc.alert.details.source.url |
源 URL。 |
keyword |
rapid7.tc.alert.details.subtype |
警报的子类型。 |
keyword |
rapid7.tc.alert.details.tags.created_by |
创建标签的人员的姓名。 |
keyword |
rapid7.tc.alert.details.tags.id |
标签的唯一 ID。 |
keyword |
rapid7.tc.alert.details.tags.name |
标签的值。 |
keyword |
rapid7.tc.alert.details.title |
警报的标题。 |
keyword |
rapid7.tc.alert.details.type |
警报的类型。允许的值:AttackIndication、DataLeakage、Phishing、BrandSecurity、ExploitableData、vip。 |
keyword |
rapid7.tc.alert.found_date |
警报的发现日期(Unix 毫秒时间戳)。 |
date |
rapid7.tc.alert.id |
警报的唯一 ID。 |
keyword |
rapid7.tc.alert.is_closed |
如果为 true,则警报已关闭。 |
boolean |
rapid7.tc.alert.is_flagged |
如果为 true,则警报已标记。 |
boolean |
rapid7.tc.alert.related_iocs |
相关 IOC 的列表。 |
keyword |
rapid7.tc.alert.related_threat_ids |
相关威胁 ID 的列表。 |
keyword |
rapid7.tc.alert.takedown_status |
警报补救状态。 |
keyword |
rapid7.tc.alert.update_date |
警报的最后更新日期(Unix 毫秒时间戳)。 |
date |
漏洞
编辑检索随着时间推移的 CVE(通用漏洞披露)。
示例
vulnerability 的示例事件如下所示
{
"@timestamp": "2020-08-24T21:46:48.619Z",
"agent": {
"ephemeral_id": "98178c63-7de1-4041-877c-bf829b4fc0d3",
"id": "34592ccf-10ae-4d24-a28c-97be832bde99",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "ti_rapid7_threat_command.vulnerability",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "34592ccf-10ae-4d24-a28c-97be832bde99",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"threat",
"vulnerability"
],
"created": "2024-06-26T07:02:37.947Z",
"dataset": "ti_rapid7_threat_command.vulnerability",
"ingested": "2024-06-26T07:02:49Z",
"kind": "event",
"module": "ti_rapid7_threat_command",
"original": "{\"cpe\":[{\"Range\":{\"VersionEndExcluding\":\"\",\"VersionEndIncluding\":\"4.0.0\",\"VersionStartExcluding\":\"\",\"VersionStartIncluding\":\"1.0.0\"},\"Title\":\"Php\",\"Value\":\"cpe:2.3:a:php:php:*:*:*:*:*:*:*:*\",\"VendorProduct\":\"php php\"}],\"cveId\":\"CVE-2020-7064\",\"cvssScore\":5.4,\"exploitAvailability\":false,\"firstMentionDate\":\"N/A\",\"intsightsScore\":16,\"lastMentionDate\":\"2020-04-01T04:15:00.000Z\",\"mentionsAmount\":0,\"mentionsPerSource\":{\"ClearWebCyberBlogs\":0,\"CodeRepositories\":0,\"DarkWeb\":0,\"Exploit\":0,\"HackingForum\":0,\"InstantMessage\":0,\"PasteSite\":0,\"SocialMedia\":0},\"publishedDate\":\"2020-04-01T04:15:00.000Z\",\"relatedCampaigns\":[\"SolarWinds\"],\"relatedMalware\":[\"doppeldridex\",\"dridex\"],\"relatedThreatActors\":[\"doppelspider\"],\"severity\":\"Low\",\"updateDate\":\"2020-08-24T21:46:48.619Z\",\"vulnerabilityOrigin\":[\"Qualys\"]}",
"type": [
"indicator"
]
},
"input": {
"type": "httpjson"
},
"rapid7": {
"tc": {
"vulnerability": {
"cpe": [
{
"range": {
"version": {
"end": {
"including": "4.0.0"
},
"start": {
"including": "1.0.0"
}
}
},
"title": "Php",
"value": "cpe:2.3:a:php:php:*:*:*:*:*:*:*:*",
"vendor_product": "php php"
}
],
"cvss_score": 5.4,
"exploit_availability": false,
"id": "CVE-2020-7064",
"intsights_score": 16,
"mention": {
"first_date": "N/A",
"last_date": "2020-04-01T04:15:00.000Z"
},
"mentions": {
"source": {
"clear_web_cyber_blogs": 0,
"code_repositories": 0,
"dark_web": 0,
"exploit": 0,
"hacking_forum": 0,
"instant_message": 0,
"paste_site": 0,
"social_media": 0
},
"total": 0
},
"origin": [
"Qualys"
],
"published_date": "2020-04-01T04:15:00.000Z",
"related": {
"campaigns": [
"SolarWinds"
],
"malware": [
"doppeldridex",
"dridex"
],
"threat_actors": [
"doppelspider"
]
},
"severity": "Low",
"update_date": "2020-08-24T21:46:48.619Z"
}
}
},
"tags": [
"preserve_original_event",
"forwarded",
"rapid7-threat-command-vulnerability"
],
"vulnerability": {
"classification": "CVSS",
"enumeration": "CVE",
"id": "CVE-2020-7064",
"reference": "https://dashboard.ti.insight.rapid7.com/#/risk-analyzer/vulnerabilities?search=CVE-2020-7064",
"scanner": {
"vendor": "Rapid7"
},
"score": {
"base": 5.4
},
"severity": "Low"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
log.offset |
日志偏移量 |
long |
rapid7.tc.vulnerability.cpe.range.version.end.excluding |
CPE 版本结束范围。 |
version |
rapid7.tc.vulnerability.cpe.range.version.end.including |
CPE 版本结束范围。 |
version |
rapid7.tc.vulnerability.cpe.range.version.start.excluding |
CPE 版本开始范围。 |
version |
rapid7.tc.vulnerability.cpe.range.version.start.including |
CPE 版本开始范围。 |
version |
rapid7.tc.vulnerability.cpe.title |
CPE 的标题。 |
keyword |
rapid7.tc.vulnerability.cpe.value |
CPE 的值。 |
keyword |
rapid7.tc.vulnerability.cpe.vendor_product |
CPE 的供应商和产品。 |
keyword |
rapid7.tc.vulnerability.cvss_score |
来自 NVD 的严重性评分。 |
double |
rapid7.tc.vulnerability.exploit_availability |
如果为 true,则此 CVE 有可用的漏洞利用。 |
boolean |
rapid7.tc.vulnerability.id |
CVE 的唯一 ID。 |
keyword |
rapid7.tc.vulnerability.intsights_score |
来自 Rapid7 Threat Command 的严重性评分。 |
double |
rapid7.tc.vulnerability.mention.first_date |
CVE 首次被提及的日期。 |
keyword |
rapid7.tc.vulnerability.mention.last_date |
CVE 最后一次被提及的日期。 |
keyword |
rapid7.tc.vulnerability.mentions.source.clear_web_cyber_blogs |
CVE 被 ClearWebCyberBlogs 提及的次数。 |
long |
rapid7.tc.vulnerability.mentions.source.code_repositories |
CVE 被 CodeRepositories 提及的次数。 |
long |
rapid7.tc.vulnerability.mentions.source.dark_web |
CVE 被 DarkWeb 提及的次数。 |
long |
rapid7.tc.vulnerability.mentions.source.exploit |
CVE 被 Exploit 提及的次数。 |
long |
rapid7.tc.vulnerability.mentions.source.hacking_forum |
CVE 被 HackingForum 提及的次数。 |
long |
rapid7.tc.vulnerability.mentions.source.instant_message |
CVE 被 InstantMessage 提及的次数。 |
long |
rapid7.tc.vulnerability.mentions.source.paste_site |
CVE 被 PasteSite 提及的次数。 |
long |
rapid7.tc.vulnerability.mentions.source.social_media |
CVE 被 SocialMedia 提及的次数。 |
long |
rapid7.tc.vulnerability.mentions.total |
CVE 在所有来源中被提及的总次数。 |
long |
rapid7.tc.vulnerability.origin |
漏洞的来源。 |
keyword |
rapid7.tc.vulnerability.published_date |
CVE 的发布日期,采用 ISO 8601 格式。 |
date |
rapid7.tc.vulnerability.related.campaigns |
相关威胁活动列表。 |
keyword |
rapid7.tc.vulnerability.related.malware |
相关恶意软件列表。 |
keyword |
rapid7.tc.vulnerability.related.threat_actors |
相关威胁行动者列表。 |
keyword |
rapid7.tc.vulnerability.severity |
CVE 严重性。允许的值:严重、高、中、低。 |
keyword |
rapid7.tc.vulnerability.update_date |
CVE 的更新日期,采用 ISO 8601 格式。 |
date |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.3 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.2 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.14.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
— |
1.10.0 |
增强 (查看拉取请求) 缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) |
— |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
0.1.0 |
增强 (查看拉取请求) |
— |