VRM自动化用例#1:漏洞情报收集
在Rapid7,我们已经收集了超过20年的漏洞数据(对我们忠实的曝光客户大声喊出来!),我们总是发现共享可操作的漏洞数据对我们客户的成功至关重要。漏洞和补救信息可以通过报告、仪表板、票务系统、电子表格和许多许多其他媒介共享。最近,我们发现,像Microsoft Teams和Slack这样的聊天工具,已经帮助改善了安全与IT补救团队之间的补救工作,其效果比其他所有媒体加起来的效果还要好。它们已经成为几乎每个人日常工作的一部分,它们经常被检查,它们鼓励协作,而且它们与自动化工具的接口很好。
在这个快速入门指南中,我们的第一个用例专注于设置一些简单的自动化工作流程,将漏洞通知推送到您选择的渠道,并允许该渠道的成员检索关于已由InsightVM评估的任何主机的详细信息。我们称之为用例脆弱性情报收集.
此漏洞情报收集用例包括三个工作流程的实现:
工作流1:在聊天中接收CISA警报
了解最新的漏洞披露和安全新闻已经成为一项全天候的工作。有太多的披露信息需要跟踪,而且安全事件似乎成了每周(如果不是每天)的新闻。但是不要害怕!自动化可以帮助!
网络安全基础设施和安全局国家网络感知系统提供有关安全问题、漏洞和利用的及时信息。InsightConnect可以查询CISA的RSS提要,以获取新的警报,格式化它们,并将它们以消息的形式发送到微软团队或Slack频道。这可以帮助您和您的同事了解最新的破坏安全事件,并让您轻松访问所需的所有细节,以了解在您的环境中的影响和爆炸半径。
导入并配置工作流
导入接收CISA警报到微软团队/松弛开始工作流程(选择适合您环境的聊天工具)。
- 单击进口按钮,在扩展库的工作流页面上。
- 继续导入过程,选择或创建以下插件配置:
导入工作流后,您将发现工作流控制面板页面,其中包含一些工作流统计信息,如步骤计数、插件和创建者。设定节省时间值为5分钟(或任何你选择的时间长度)。这将有助于跟踪自动化节省的时间和投资回报。
最后需要的配置项是您的Microsoft Teams团队和通道名称或您的Slack通道名称。这些参数可以从控制面板页面更改,使其易于更新您的工作流,而无需进入工作流生成器。输入您希望发送警报的团队和/或频道的名称,然后单击Save。
请记住,您可能希望从一个测试通道开始,然后稍后将此参数切换到生产通道!
别忘了将InsightConnect添加到您的聊天频道!
- 如果使用Microsoft团队,请将与团队连接关联的用户添加到频道。
- 如果你使用Slack,那么将你的聊天机器人添加到频道中。
祝贺您,您的工作流已配置并准备好激活!
激活工作流程
使用“控制面板”页面顶部的滑块将工作流切换到活跃的!这意味着您的工作流将在满足触发器条件的任何时候自动运行。该工作流使用RSS触发器,每15分钟检查一次新的CISA警报。你可以在这里了解更多关于触发器的信息。
测试工作流程
一旦您的工作流被激活,您将看到新的CISA警报发送到您的聊天频道!由于这些警报不经常交付,您可能希望手动运行工作流。这样做:
- 复制下面的代码片段,它取自一个真实的CISA警报事件。
- 在InsightConnect的“工作流控制面板”页面中,单击
...菜单,然后单击运行. - 将JSON数据粘贴到
结果字段。 - 点击
运行!
json
1
{
2
“作者”:“中钢协”,
3.
“作者详细信息”:{“姓名”:“中钢协”},
4.
“作者”:[{“姓名”:“中钢协”}],
5.
“guidislink”:错误的,
6.
“id”:“16791”在https://us-cert.cisa.gov,
7.
“链接”:“https://us cert.cisa.gov/ncas/alerts/aa21 - 209”,
8.
“链接”:[{“href”:“https://us cert.cisa.gov/ncas/alerts/aa21 - 209”,“rel”:“候补”,“类型”:“text / html”}],
9
“出版”:2021年7月28日星期三12:00:00+0000,
10
“published_parsed”:[2021,7.,28,12,0,0,2,209,0],
11
“摘要”:“原始发布日期:2021年7月28日
摘要
本联合网络安全咨询由美国网络安全和基础设施安全局(CISA)、澳大利亚网络安全中心(ACSC)、英国国家网络安全中心(NCSC)和美国联邦调查局(FBI)共同撰写.
\n\n此咨询提供了前30个漏洞的详细信息,主要是常见漏洞和风险(CVE)-2020年经常被恶意网络参与者利用,2021年至今被广泛利用。网络参与者继续利用广为人知且经常过时的软件漏洞攻击广泛的目标集,包括世界各地的公共和私营部门组织。但是,世界各地的实体可以缓解通过将可用修补程序应用于其系统并实施集中修补程序管理系统,删除本报告中列出的漏洞。
\n\n点击此处获取本报告的PDF版本。
\n技术细节
主要发现
\n\n2020年,网络参与者随时利用最近披露的漏洞危害未修补的系统。根据向美国政府提供的可用数据,在过去两年中披露了2020年的主要目标漏洞。2020年,网络参与者对最近披露的软件缺陷的利用可能部分源于在新冠疫情期间远程工作选择的扩大。远程工作选项(如虚拟专用网络(VPN)和基于云的环境)的快速变化和使用的增加,可能会给网络防御者带来额外的负担,他们正努力维护和跟上常规软件修补的步伐。
\n\n2020年四个最具针对性的漏洞影响了远程工作,即VPN,或者基于云的技术\N\NP> CISA、ACSC、NCSC和FBI认为表1中列出的漏洞是2020年间由网络参与者最经常使用的CVE。p> \n\n表1:2020年顶级CVE\n\n
\n\t\t\t\t>\\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\p\t\t\t\t\t\p\t\t\t\t\t\t\t\t\t\t\t\p\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\文本对齐:左;\“>\n\t\t\tCitrix
\n\t\t\t\n\t\t\n\t\t\tCVE-2019-19781
\n\t\t\t\n\t\t\t\n\t\t\t任意代码执行
\n\t\t\t \n\t\t\n\t\t\n\t\t\n\t\t\tPulse
\n\t\t\t \n\t\t\n\t\t\tCVE 2019-11510
\n\t\t\t \n\t\t\t\n\t\t\t任意文件读取
\n\t\t\t \n\t\t \n\t\t\n\t\t\n\t\t\tFortinet
\n\t\t\t \n\t\t\n\t\t\tCVE 2018-13379
\n\t\t\t \n\t\t\t\n\t\t\t路径遍历
\n\t\t\t \n\t\t \n\t\t\n\t\t\n\t\t\tF5-大IP
\n\t\t\t \n\t\t\n\t\t\tCVE 2020-5902
\n\t\t\t \n\t\t\t\n\t\t\t远程代码执行(RCE)
\n\t\t\t \n\t\t \n\t\t\n\t\t\n\t\t\tMobileIron
\n\t\t\t\n\t\t\t\n\t\t\tCVE 2020-15505
\n\t\t\t \n\t\t\t\n\t\t\tRCE
\n\t\t\t \n\t\t \n\t\t\n\t\t\n\t\t\tMicrosoft
\n\t\t\t \n\t\t\n\t\t\tCVE-2017-11882
\n\t\t\t \n\t\t\t\n\t\t\tRCE
\n\t\t\t \n\t\t \n\t\t\n\t\t\n\t\t\tAtlassian
\n\t\t\t \n\t\t\t\n\t\t\tCVE-2019-11580
\n\t\t\t \n\t\t\t\n\t\t\tRCE
\n\t\t\t \n\t\t \n\t\t\n\t\t\t\n\t\t\tDrupal
\n\t\t\t \n\t\t\t\n\t\t\tCVE-2018-7600
\n\t\t\t \n\t\t\t\n\t\t\tRCE
\n\t\t\t \n\t\t \n\t\t\n\t\t\t\n\t\t\tTelerik
\n\t\t\t \n\t\t\t\n\t\t\tCVE 2019-18935
\n\t\t\t \n\t\t\t\n\t\t\tRCE
\n\t\t\t \n\t\t \n\t\t\n\t\t\t\n\t\t\tMicrosoft
\n\t\t\t \n\t\t\t\n\t\t\tCVE-2019-0604
\n\t\t\t \n\t\t\t\n\t\t\tRCE
\n\t\t\t \n\t\t \n\t\t\n\t\t\t\n\t\t\tMicrosoft
\n\t\t\t \n\t\t\t\n\t\t\tCVE-2020-0787
\n\t\t\t \n\t\t\t\n\t\t\televation of privilege
\n\t\t\t \n\t\t \n\t\t\n\t\t\t\n\t\t\tNetlogon
\n\t\t\t \n\t\t\t\n\t\t\tCVE-2020-1472
\n\t\t\t \n\t\t\t\n\t\t\televation of privilege
\n\t\t\t \n\t\t \n\t\n
\n\n
\n\n"
12
}
您应该会看到在新选项卡中打开了一个工作流作业。乔布斯是工作流执行的单个实例,并提供由InsightConnect工作流完成的所有事情的审计日志。你可以在这里了解更多关于乔布斯的信息.
如果您的作业成功完成,那么您应该在工作流配置中指定的Chat通道中看到一个新的CISA警报!
如果我的工作失败了怎么办?
如果作业没有成功运行,那么找到失败的步骤并查看错误日志以确定问题。这个工作流可能失败的最常见原因是聊天工具连接不良。确保您的聊天用户在通道中,并且您的通道名称在参数配置中拼写正确。对于Teams用户,请在错误日志中检查与权限相关的错误。如果一切都失败了,开一张支持票所以我们可以帮忙!
工作流2:查找聊天漏洞
您是否曾经阅读过漏洞标题并想知道“这是什么意思?”您是否必须向同事描述漏洞?它不容易!这个聊天查找漏洞这里概述的工作流程使获取和共享关于漏洞的信息变得快捷和容易。只使用查找vuln命令并输入漏洞的名称或CVE ID。几秒钟内,友好的邻居InsightConnect聊天机器人将回复标题、严重性、发布日期、解决方案和漏洞的详细描述。如果多个漏洞与您的搜索词相匹配,则bot将回复每个匹配漏洞的信息。这是获取有关任何漏洞的更多信息的一种快速简便的方法。更好的是,这是帮助补救者更好地了解其环境中存在的漏洞风险的一个好方法。
导入并配置工作流
导入查找漏洞从微软团队/松弛开始工作流程(选择适合您环境的聊天工具)。
导入工作流后,您将发现工作流控制面板页面,其中包含一些工作流统计信息,如步骤计数、插件和创建者。设定节省时间值为5分钟(或任何你选择的时间长度)。这将有助于跟踪自动化节省的时间和投资回报。
Microsoft团队用户将需要配置团队的名字和通道名称参数设置为可能触发工作流的通道。这些参数可以从控制面板页面更改,使其易于更新您的工作流,而无需进入工作流生成器。输入您希望查找漏洞的团队和/或渠道的名称,然后单击拯救.
请记住,您可能希望从一个测试通道开始,然后稍后将此参数切换到生产通道!
Slack用户可以从Slack Bot成员所在的任何渠道运行该工作流。
别忘了将InsightConnect添加到您的聊天频道!
要运行此工作流,InsightConnect需要位于运行查找vuln命令。
- 如果使用Microsoft Teams,请将与Teams连接关联的用户添加到
通道名称参数。 - 如果您使用Slack,那么将您的聊天机器人添加到您希望使用该工作流的频道。
祝贺您,您的工作流已配置并准备好激活!
激活工作流程
使用“控制面板”页面顶部的滑块将工作流切换到活跃的! 这意味着您的工作流将在满足触发条件时自动运行。此工作流使用聊天(Microsoft Team或Slack)触发器,该触发器设置为在提到触发器命令时随时运行。你可以在这里了解更多关于触发器的信息。
- 微软团队用户:触发您的工作流,在您的工作流通道名称参数中指定的通道中启动一个新的对话,然后是
!查找vuln触发命令- 你的信息可能看起来像
!查找vuln打印噩梦或!查找vuln ms08-067
- 你的信息可能看起来像
- 为松弛的用户:通过@命令调用Slack聊天机器人来触发您的工作流,然后是
查找vuln命令- 你的信息可能看起来像
@Rapid7 InsightConnect查找vuln打印噩梦或@Rapid7 InsightConnect lookup-vuln ms08-067
- 你的信息可能看起来像
测试工作流程
一旦您的工作流处于活动状态,您就可以通过聊天工具触发它!尝试运行上述命令之一以在聊天中获取漏洞结果。
微软团队触发可能需要一分钟来激活。请耐心等待,并记住,您可以随时查看InsightConnect中的Jobs页面,以查看您的工作流是否正在运行!
工作流3:从聊天查找主机
你的网络上有多少设备?可能比你或你的IT同事能追踪到的要多。幸运的是,在InsightVM中有一个漏洞和资产管理工具,可以记录和更新每一次评估的各种资产细节!这个工作流程将使在这些评估中收集的信息很容易从聊天工具中获得。这可以帮助您通过主机名或IP地址快速获取关于系统的详细信息,查看最后一次评估漏洞的时间,并检查系统上开放和运行的端口和服务。
导入并配置工作流
导入查找主机与InsightVM从微软团队/松弛开始工作流程(选择适合您环境的聊天工具)。
- 单击进口按钮,在扩展库的工作流页面上。
- 继续导入过程,选择或创建以下插件配置:
- 选择或创建连接微软团队或松弛
- 为您选择或创建连接InsightVM控制台
的连接配置说明一定要遵循虚拟机控制台插件!这允许InsightConnect访问仅在InsightVM控制台可用的详细主机信息。
导入工作流后,您将发现工作流控制面板页面,其中包含一些工作流统计信息,如步骤计数、插件和创建者。设定节省时间值为5分钟(或任何你选择的时间长度)。这将有助于跟踪自动化节省的时间和投资回报。
Microsoft团队用户将需要配置团队的名字和通道名称参数设置为可能触发工作流的通道。这些参数可以从控制面板页面更改,使其易于更新您的工作流,而无需进入工作流生成器。输入您希望查找漏洞的团队和/或渠道的名称,然后单击拯救.
请记住,您可能希望从一个测试通道开始,然后稍后将此参数切换到生产通道!
Slack用户可以从Slack Bot成员所在的任何渠道运行该工作流。
别忘了将InsightConnect添加到您的聊天频道!
要运行此工作流,InsightConnect需要位于运行查找vuln命令。
- 如果使用Microsoft Teams,请将与Teams连接关联的用户添加到
通道名称参数。 - 如果您使用Slack,那么将您的聊天机器人添加到您希望使用该工作流的频道。
祝贺您,您的工作流已配置并准备好激活!
激活工作流程
使用“控制面板”页面顶部的滑块将工作流切换到活跃的! 这意味着您的工作流将在满足触发条件时自动运行。此工作流使用聊天(Microsoft Team或Slack)触发器,该触发器设置为在提到触发器命令时随时运行。你可以在这里了解更多关于触发器的信息。
- 微软团队用户:触发您的工作流,在您的工作流通道名称参数中指定的通道中启动一个新的对话,然后是
!查找主机触发命令- 你的信息可能看起来像
!查找主机工作站123或! lookup-host 10.1.2.3
- 你的信息可能看起来像
- 为松弛的用户:通过@命令调用Slack聊天机器人来触发您的工作流,然后是
查找vuln命令- 你的信息可能看起来像
@Rapid7 InsightConnect查找主机工作站123或@Rapid7 InsightConnect lookup-host 10.1.2.3
- 你的信息可能看起来像
测试工作流程
一旦您的工作流处于活动状态,您就可以通过聊天工具触发它!尝试运行上述命令之一以在聊天中获取漏洞结果。
微软团队触发可能需要一分钟来激活。请耐心等待,并记住,您可以随时查看InsightConnect中的Jobs页面,以查看您的工作流是否正在运行!
用例1!
这就是我们的漏洞情报收集用例!如果你已经完成了本指南,那么你现在已经激活了自动化工作流:
- 向聊天频道推送关键安全和漏洞警报,
- 允许用户从聊天室获取漏洞信息,以及
- 允许用户从聊天中获取资产信息。
我们的第二个用例是,它将以工作流为特征,在聊天中提供高严重性漏洞警报和漏洞异常警报马上就来!