Este tópico explica como criar uma tarefa de integração para importar vulnerabilidades de um determinado scanner do Nexpose através do módulo Administração. Dessa forma, é criada uma rotina para a importação de vulnerabilidades detectadas por uma determinada análise de vulnerabilidades executada com um scanner do Nexpose.
O Nexpose é uma solução para a gerência de vulnerabilidades do Rapid7 que analisa ativos tecnológicos para identificar, avaliar e mitigar os riscos neles. O Módulo Risk Manager fornece uma maneira de gerenciar vulnerabilidades na organização permitindo que essas vulnerabilidades identificadas pelo Nexpose sejam mostradas no módulo Organização, na aba Vulnerabilidades através de gráficos para um ativo ou consolidado por perímetro. Se mais de um scanner de vulnerabilidades for integrado ao sistema (por exemplo, Qualys, Nexpose, etc.), os dados serão mostrados no mesmo gráfico. A lista de vulnerabilidades irá identificar qual delas foi identificada por qual serviço. Observe que se dois ou mais scanners de vulnerabilidades analisarem o mesmo objeto, a informação não será consolidada e é possível que vulnerabilidades duplicadas dos objetos escaneados sejam reportadas.
A pontuação do Nexpose de 1 a 10 para a severidade da vulnerabilidade é ajustada por uma pontuação interna que vai de 1 a 5, como segue:
|
Nível do Nexpose |
|
Nível do |
|
1 - 2 |
=> |
1 |
|
3 - 4 |
=> |
2 |
|
5 - 6 |
=> |
3 |
|
7 - 8 |
=> |
4 |
|
9 - 10 |
=> |
5 |
Além de mostrar essas vulnerabilidades no módulo Organização, ativos tecnológicos podem ser incluídos no escopo de vulnerabilidades de um projeto de riscos. Quaisquer vulnerabilidades associadas a esses ativos podem, então, ser avaliadas para que os analistas possam decidir se elas devem ser aceitas ou enviadas para tratamento.
Quaisquer vulnerabilidades identificadas para ativos também são automaticamente incluídas no catálogo de vulnerabilidades na seção Conhecimento de Riscos do módulo de Conhecimento. Vulnerabilidades de scanners não suportados pelo sistema também podem ser importadas manualmente para o catálogo e mapeadas para ativos através de planilhas. Para obter mais detalhes sobre como incluir manualmente vulnerabilidades no catálogo, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Catálogo de vulnerabilidades. Para mais detalhes sobre mapeamento manual de vulnerabilidades do catálogo para ativos, veja o Capítulo 5: Riscos -> Ocorrências de vulnerabilidades.
O serviço de integração para Nexpose consulta informações no banco de dados desta solução utilizando a API do Nexpose. Solicitações através dessa API são realizadas através de HTTPS, que por sua vez transporta o conteúdo em XML para um servidor Nexpose. Mais detalhes podem ser vistos no site da Rapid7. Observe que é necessário que você tenha uma conta no Rapid7 para que esse serviço seja integrado. Os scans executados pelo Nexpose seguem a agenda definida no próprio serviço, sem nenhuma interferência do Módulo Risk Manager. Para executar a tarefa, o relatório gerado pelo Nexpose e utilizado pelo Módulo Risk Manager deve ser configurado para ser criado após a execução de cada scan e seu formato deve ser XML Export (versão 1) ou SCAP Compatible XML Report.
O mapeamento entre o equipamento analisado pelo scanner Nexpose e o ativo tecnológico correspondente no Módulo Risk Manager é feito de acordo com o critério de mapeamento de ativos definido na aba Propriedades de cada perímetro ou ativo individualmente. Se não existir nenhum mapeamento entre uma vulnerabilidade identificada em uma determinada máquina e um ativo do sistema, o histórico da tarefa de integração mostrará o número de ativos que não foram associados devido a esse problema de identificação. Observe ainda que somente as vulnerabilidades confirmadas ou potenciais serão importadas, diferente do que ocorre com o Qualys, que também importa informação coletada.
Ao criar uma tarefa de integração deste tipo, você pode selecionar uma opção que permite que sejam geradas notificações quando ocorrem inconsistências em relação à existência de vulnerabilidades importadas através da tarefa e que mais tarde foram enviadas para tratamento. Por exemplo, se uma vulnerabilidade for identificada através de um scan, depois importada e mapeada para um ativo através dessa tarefa de integração, e então enviada para tratamento através de um projeto de riscos, o sistema irá exibir notificações se a vulnerabilidade não for encontrada em execuções posteriores daquele mesmo scan. Essas notificações irão aparecer no projeto de riscos através do qual a vulnerabilidade foi enviada para tratamento, no módulo Meu Espaço para o usuário que foi alocado como líder do projeto e nas abas Progresso e Associações do evento criado para tratar a vulnerabilidade.
Essas notificações também serão geradas caso um ativo no escopo do projeto de riscos seja removido do escopo de um scan. Isso ocorre porque as vulnerabilidades encontradas para aquele ativo não foram mais encontradas, não necessariamente porque não existem mais, mas porque o ativo já não está mais sendo analisado pelo scanner naquele relatório específico. Se os ativos tiverem sido removidos propositalmente, o relatório do scan deve ser renomeado para evitar que sejam geradas notificações erroneamente. Além disso, o uso de credenciais diferentes ou de uma política diferente para acessar e fazer o scan dos ativos pode evitar que determinadas vulnerabilidades sejam identificadas novamente e gerem notificações erradas.