本頁面由 Cloud Translation API 翻譯而成。

收集 Rapid7 InsightIDR 記錄

支援的國家/地區：

Google SecOps SIEM

這個剖析器會處理 Rapid7 InsightIDR 的 JSON 和 SYSLOG 格式記錄。這項服務會擷取欄位、將欄位正規化為 UDM，並針對安全漏洞資料執行特定邏輯，包括 CVSS 分數和利用資訊，分別處理 JSON 和系統記錄格式。此外，也會將驗證嘗試和工作階段事件對應至適當的 UDM 事件類型。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體。
InsightIDR 管理主控台的特殊存取權。

在 Rapid7 InsightIDR 中設定 API 金鑰

登入 InsightIDR Command Platform。
按一下「管理」。
點選「API 金鑰」。
前往「機構金鑰」分頁。
按一下「New Organization Key」。
選取機構，並提供金鑰名稱 (例如「Google SecOps」)。
產生金鑰。
在顯示產生金鑰的新視窗中複製金鑰。

注意： 關閉視窗後，您就無法再次查看。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

「SIEM 設定」>「動態消息」
內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態消息」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中輸入動態饋給名稱，例如「Rapid7 InsightIDR Logs」。
選取「第三方 API」做為「來源類型」。
選取「Rapid7 Insight」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- 驗證 HTTP 標頭：先前以 X-Api-Key:<value> 格式產生的權杖 (例如 X-Api-Key:AAAABBBBCCCC111122223333)。
- API 端點：輸入「vulnerabilities」或「assets」。
- API 主機名稱：Rapid7 API 端點的完整網域名稱 (FQDN)，格式為 [region].api.insight.rapid7.com。
點選「下一步」。
在「Finalize」畫面中檢查動態饋給設定，然後按一下「Submit」。

從內容中心設定動態饋給

為下列欄位指定值：

驗證 HTTP 標頭：先前以 X-Api-Key:<value> 格式產生的權杖 (例如 X-Api-Key:AAAABBBBCCCC111122223333)。
API 端點：輸入「vulnerabilities」或「assets」。
API 主機名稱：Rapid7 API 端點的完整網域名稱 (FQDN)，格式為 [region].api.insight.rapid7.com。

進階選項

動態饋給名稱：系統預先填入的值，用於識別動態饋給。
來源類型：將記錄收集到 Google SecOps 的方法。
資產命名空間：與動態饋給相關聯的命名空間。
擷取標籤：套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`added`	`vulnerabilities.first_found`	`added` 欄位會轉換為時間戳記，並對應至 `vulnerabilities.first_found`。
`Authentication`	`security_result.detection_fields.value`	原始記錄中的 `Authentication` 值會對應至 `security_result.detection_fields` 內的 `value` 欄位。對應的 `key` 設為「驗證」。
`critical_vulnerabilities`	`asset.attribute.labels.value`	`critical_vulnerabilities` 的值會對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 會設為「重大安全漏洞」。
`cves`	`vulnerabilities.cve_id`	`cves` 的值會對應至 `vulnerabilities.cve_id`。
`cvss_v2_access_complexity`	`asset.attribute.labels.value`	`cvss_v2_access_complexity` 的值會對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 設為「存取複雜度(Ac)」。
`cvss_v2_availability_impact`	`asset.attribute.labels.value`	`cvss_v2_availability_impact` 的值會對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 設為「空房狀況影響 (A)」。
`cvss_v2_confidentiality_impact`	`asset.attribute.labels.value`	`cvss_v2_confidentiality_impact` 的值會對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 會設為「機密性影響 (C)」。
`cvss_v2_integrity_impact`	`asset.attribute.labels.value`	`cvss_v2_integrity_impact` 的值會對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 會設為「完整性影響 (I)」。
`cvss_v2_score`	`vulnerabilities.cvss_base_score`	`cvss_v2_score` 的值會先轉換為字串，再轉換為浮點數，然後對應至 `vulnerabilities.cvss_base_score`。
`cvss_v2_vector`	`vulnerabilities.cvss_vector`	`cvss_v2_vector` 的值會對應至 `vulnerabilities.cvss_vector`。
`cvss_v3_availability_impact`	`asset.attribute.labels.value`	`cvss_v3_availability_impact` 的值會對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 設為「空房狀況影響 (A)」。
`cvss_v3_score`	`vulnerabilities.cvss_base_score`	`cvss_v3_score` 的值會先轉換為字串，再轉換為浮點數，然後對應至 `vulnerabilities.cvss_base_score`。
`cvss_v3_vector`	`vulnerabilities.cvss_vector`	`cvss_v3_vector` 的值會對應至 `vulnerabilities.cvss_vector`。
`description`	`vulnerabilities.description`	原始記錄中的 `description` 值會對應至 `vulnerabilities.description`。
`exploits`	`asset.attribute.labels.value`	`exploits` 的值會轉換為字串，並對應至 `asset.attribute.labels` 中的 `value` 欄位。如果 `exploits` 物件中存在「rank」欄位，對應的 `key` 會是「Number of Exploits」或「Rank of Exploit」。
`host_name`	`asset.hostname`	`host_name` 的值會對應至 `asset.hostname`。如果 `host_name` 為空，且 `ip` 和 `mac` 皆為空，系統會改用 `id` 的值。
`id`	`asset.product_object_id`	`id` 的值會對應至 `asset.product_object_id`。如果 `host_name` 為空，且 `ip` 和 `mac` 皆為空，系統會使用 `id` 的值做為 `asset.hostname` 的值。
`ip`	`asset.ip`、`entity.asset.ip`	`ip` 的值會同時對應至 `asset.ip` 和 `entity.asset.ip`。
`last_assessed_for_vulnerabilities`	`vulnerabilities.scan_end_time`	`last_assessed_for_vulnerabilities` 欄位會轉換為時間戳記，並對應至 `vulnerabilities.scan_end_time`。
`last_scan_end`	`vulnerabilities.last_found`	`last_scan_end` 欄位會轉換為時間戳記，並對應至 `vulnerabilities.last_found`。
`last_scan_start`	`vulnerabilities.first_found`	`last_scan_start` 欄位會轉換為時間戳記，並對應至 `vulnerabilities.first_found`。
`links`	`vulnerabilities.cve_id`、`vulnerabilities.vendor_knowledge_base_article_id`	`links` 內的 `id` 欄位會對應至 `vulnerabilities.cve_id`，`links` 內的 `href` 欄位則會對應至 `vulnerabilities.vendor_knowledge_base_article_id`。
`mac`	`asset.mac`、`entity.asset.mac`	`mac` 的值會轉換為小寫，並對應至 `asset.mac` 和 `entity.asset.mac`。
`MessageSourceAddress`	`principal.ip`、`principal.asset.ip`	從 `MessageSourceAddress` 擷取的 IP 位址會對應至 `principal.ip` 和 `principal.asset.ip`。
`Method`	`network.http.method`	`Method` 的值會對應至 `network.http.method`。
`moderate_vulnerabilities`	`asset.attribute.labels.value`	`moderate_vulnerabilities` 的值會轉換為字串，並對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 會設為「中度安全漏洞」。
`os_architecture`	`asset.hardware.cpu_platform`	`os_architecture` 的值會對應至 `asset.hardware.cpu_platform`。
`os_description`	`asset.platform_software.platform_version`	`os_description` 的值會對應至 `asset.platform_software.platform_version`。
`os_family`	`asset.platform_software.platform`	`os_family` 的值會轉換為大寫，並對應至 `asset.platform_software.platform`。系統會特別處理「MAC OS X」、「IOS」、「WINDOWS」、「MAC」和「LINUX」。如果與上述任何一項都不相符，則會設為「UNKNOWN_PLATFORM」。
`Port`	`principal.port`	`Port` 的值會對應至 `principal.port`，並轉換為整數。
`Principal`	`principal.user.email_addresses`	如果 `Principal` 是電子郵件地址，則會對應至 `principal.user.email_addresses`。
`product_event_type`	`metadata.product_event_type`	`product_event_type` 的值會對應至 `metadata.product_event_type`。
`Protocol`	`network.application_protocol`	如果 `Protocol` 是「HTTP」或「HTTPS」，則會對應至 `network.application_protocol`。
`published`	`vulnerabilities.last_found`	`published` 欄位會轉換為時間戳記，並對應至 `vulnerabilities.last_found`。
`Referer`	`network.http.referral_url`	`Referer` 的值會對應至 `network.http.referral_url`。
`risk_score`	`asset.attribute.labels.value`	`risk_score` 的值會轉換為字串，並對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 會設為「風險評分」。
`security_result_summary`	`security_result.summary`	`security_result_summary` 的值會對應至 `security_result.summary`。如果符合「Total sessions for principal: 」模式，系統會擷取該數字，並在 `security_result.detection_fields` 中將其對應至以「Session Count」為鍵的個別標籤。
`Session`	`network.session_id`	`Session` 的值會對應至 `network.session_id`。
`severe_vulnerabilities`	`asset.attribute.labels.value`	`severe_vulnerabilities` 的值會轉換為字串，並對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 設為「嚴重安全漏洞」。
`severity`	`vulnerabilities.severity`、`security_result.severity`	`severity` 的值會轉換為大寫。如果為「HIGH」、「LOW」、「CRITICAL」或「MEDIUM」，則會對應至 `vulnerabilities.severity`。如果是 Syslog 訊息，如果為「Info」，則會對應至 `security_result.severity` 中的「INFORMATIONAL」。如果是「Error」，則會對應至 `security_result.severity` 中的「ERROR」。
`severity_score`	`asset.attribute.labels.value`	`severity_score` 的值會轉換為字串，並對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 會設為「嚴重程度分數」。
`SiloID`	`security_result.detection_fields.value`	`SiloID` 的值會對應至 `security_result.detection_fields` 中的 `value` 欄位。對應的 `key` 會設為「筒倉 ID」。
`SourceModuleName`	`target.resource.name`	移除引號的 `SourceModuleName` 值會對應至 `target.resource.name`。
`SourceModuleType`	`observer.application`	系統會將移除引號和右方括號的 `SourceModuleType` 值對應至 `observer.application`。
`Status`	`network.http.response_code`	`Status` 的值會對應至 `network.http.response_code`，並轉換為整數。
`tags`	`asset.attribute.labels`	在 `asset.attribute.labels` 中，`tags` 陣列中的每個元素都會將 `type` 欄位對應至 `key`，並將 `name` 欄位對應至 `value`。
`Thread`	`security_result.detection_fields.value`	`Thread` 的值會對應至 `security_result.detection_fields` 中的 `value` 欄位。對應的 `key` 會設為「Thread」。
`timestamp`	`event.timestamp`、`metadata.collected_timestamp`、`read_only_udm.metadata.event_timestamp`	`timestamp` 欄位會轉換為時間戳記，並對應至 JSON 記錄的 `event.timestamp` 和實體事件的 `metadata.collected_timestamp`。如果是系統記錄檔訊息，則會對應至 `read_only_udm.metadata.event_timestamp`。
`title`	`vulnerabilities.description`	`title` 的值會對應至 `vulnerabilities.description`。
`total_vulnerabilities`	`asset.attribute.labels.value`	`total_vulnerabilities` 的值會轉換為字串，並對應至 `asset.attribute.labels` 中的 `value` 欄位。對應的 `key` 會設為「總弱點」。
`URI`	`security_result.detection_fields.value`	`URI` 的值會對應至 `security_result.detection_fields` 中的 `value` 欄位。對應的 `key` 設為「URI」。
`User-Agent`	`network.http.user_agent`、`network.http.parsed_user_agent`	`User-Agent` 的值會對應至 `network.http.user_agent`。這也會對應至 `network.http.parsed_user_agent`，並轉換為已剖析的使用者代理程式物件。已硬式編碼為「Rapid7 Insight」。已硬式編碼為「Rapid7 Insight」。JSON 記錄會硬式編碼為「ASSET」。一開始設為「GENERIC_EVENT」，然後根據其他欄位，可能變更為「PROCESS_UNCATEGORIZED」、「STATUS_UPDATE」或「USER_LOGIN」。如果是「USER_LOGIN」事件，請設為「AUTHTYPE_UNSPECIFIED」。根據 `product_event_type` 設為「ALLOW」或「BLOCK」。系統記錄檔訊息會硬式編碼為「RAPID7_INSIGHT」。
`username`	`principal.user.user_display_name`	`username` 的值 (已移除引號，且可能已剖析電子郵件地址) 會對應至 `principal.user.user_display_name`。如果存在，系統會將擷取的電子郵件地址對應至 `principal.user.email_addresses`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。