Link Search Menu Expand Document

Documentation technique des index Elasticsearch

Cyberwatch embarque un module Elasticsearch et Kibana pour faciliter l’analyse et la visualisation des données générées par le logiciel.

Cyberwatch publie quotidiennement ses données dans les index Elasticsearch décrits ci-dessous. Ces données sont utilisées pour effectuer des requêtes ou produire des visualisations dans Kibana.

Les mêmes données sont également disponibles sous forme d’exports JSON.

Contenu de l’index computers

L’index computers représente la liste des actifs supervisés, avec pour chacun les informations suivantes :

Champ Type Description Exemples de valeurs possibles
_id Entier Id de l'actif dans Cyberwatch 388
agent_version Texte Version de l'agent utilisée pour la supervision en cas de supervision avec agent. Vide pour les connections sans agent 4.2
compliance_rules_count Entier Nombre de règles de conformités affectées à l'actif 72
computer_category Texte Différencie la catégorie des actifs server, desktop, hypervisor, network_device...
computer_description Texte Description de l'actif telle que définie dans Cyberwatch Serveur de production pour la plate-forme de ticketing
computer_environment Texte Criticité de l'actif telle que définie dans Cyberwatch Medium
computer_name Texte Hostname de l'actif server01
computer_os Texte Nom unique du système d'exploitation pour Cyberwatch debian_9_64, windows_2008...
computer_os_arch Texte Architecture du système d'exploitation AMD64, x86_64, i3686...
computer_os_build Texte Version du noyau du système d'exploitation
computer_os_name Texte Système d'exploitation tel que communiqué par l'actif Debian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard...
computer_status Texte État global de l'actif pour Cyberwatch server_vulnerable, server_compliant...
computer_status_compliance Texte État de l'actif vis à vis du module conformités de Cyberwatch cbw_compliance_server_compliant, cbw_compliance_server_not_compliant...
created_at Date Date de création de l'actif dans Cyberwatch 01/01/2018
critical_cve_announcements_count Entier Nombre de vulnérabilités prioritaires pour l'actif 0
cve_announcements_count Entier Nombre de vulnérabilités actives sur l'actif 0
groups Tableau d'éléments de type texte Listes des groupes de l'actif production, Paris
has_exploits Booléen Indique la présence d'une vulnérabilités pour laquelle Cyberwatch a détecté un exploit public true
host Texte Nom de domaine ou adresse IP de l'actif server01.example.com, 192.168.0.1...
last_communication Date Dernière communication de l'actif avec Cyberwatch 07/08/18
max_cve_epss Flottant Score EPSS maximal d'une vulnérabilité détectée sur cet actif 0.93672
max_cve_level Texte Niveau maximal d'une vulnérabilité détectée sur cet actif level_medium
need_reboot Booléen Indique la nécessité pour l'actif de redémarrer true
repositories Tableau d'éléments textuels Référentiels associés à l'actif CIS_Benchmark, CIS_Benchmark_level_1
remote_ip Texte IP de l'actif 192.168.0.1
scan_only Booléen Indique que l'actif est en mode supervision uniquement false
updated_at Date Dernière mise à jour de l'actif 07/08/18
updates_count Entier Nombre de correctifs proposés 22

Contenu de l’index computers_cves

L’index computers_cves représente la liste des couples actifs/vulnérabilités avec pour chacun les informations suivantes :

Champ Type Description Exemples de valeurs possibles
_id Entier Id du couple Actif/vulnérabilité dans Cyberwatch 5153
active Booléen Indique si la vulnérabilité est actuellement présente sur l'actif true
computer_category Texte Différencie la catégorie des actifs server, desktop, hypervisor, network_device...
computer_description Texte Description de l'actif telle que définie dans Cyberwatch Serveur de production pour la plate-forme de ticketing
computer_environment Texte Criticité de l'actif telle que définie dans Cyberwatch Medium
computer_id Entier Id de l'actif dans Cyberwatch 255
computer_name Texte Hostname de l'actif server01
computer_os Texte Nom unique du système d'exploitation pour Cyberwatch debian_9_64, windows_2008...
computer_os_arch Texte Architecture du système d'exploitation AMD64, x86_64, i3686...
computer_os_build Texte Version du noyau du système d'exploitation
computer_os_name Texte Système d'exploitation tel que communiqué par l'actif Debian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard...
created_at Date Création dans Cyberwatch 01/01/2018
critical Booléen Indique que la vulnérabilité est prioritaire pour l'actif false
cve_code Texte Identifiant unique de la vulnérabilité CVE-2016-6321
cve_epss Flottant Score EPSS de la vulnérabilité 0.93672
cve_level Texte Niveau de sévérité de la vulnérabilité telle que configurée dans Cyberwatch medium
cve_published_at Date Publication de la CVE 07/08/18
cve_score Flottant Score de sévérité de la vulnérabilité 7.6
cve_status Texte État de la vulnérabilité sur l'actif concerné active, active_with_exploits, fixed, ignored
cvss_v3_access_complexity Texte Métrique d'exploitabilité de la vulnérabilité : complexité d'accès access_complexity_medium
cvss_v3_access_vector Texte Métrique d'exploitabilité de la vulnérabilité : vecteur d'accès access_vector_network
cvss_v3_availability_impact Texte Métrique d'impact de la vulnérabilité : disponibilité availability_impact_partial
cvss_v3_confidentiality_impact Texte Métrique d'impact de la vulnérabilité : confidentialité confidentiality_impact_partial
cvss_v3_integrity_impact Texte Métrique d'impact de la vulnérabilité : intégrité integrity_impact_partial
cvss_v3_privileges_required Texte Métrique d'exploitabilité de la vulnérabilité : privilège requis privileges_required_none
cvss_v3_scope Texte Métrique d'exploitabilité de la vulnérabilité : portée scope_unchanged
cvss_v3_user_interaction Texte Métrique d'exploitabilité de la vulnérabilité : interaction utilisateur user_interaction_required
exploit_code_maturity Texte Niveau de maturité des exploits publics disponibles pour la vulnérabilité functional
fixed_at Date Date de correction de la vulnérabilité sur l'actif 07/08/18
groups Tableau d'éléments de type texte Listes des groupes de l'actif production, Paris
ignored Booléen Indique que la vulnérabilité a été ignorée sur l'actif false
most_regularly_used_cve Booléen Indique que la vulnérabilité fait partie des plus utilisées sur Internet 7.6
updated_at Date Dernière mise à jour 07/08/18

Contenu de l’index computers_groups

L’index computers_groups représente la liste des couples groupes/actifs avec pour chacun les informations suivantes :

Champ Type Description Exemples de valeurs possibles
_id Entier Id du groupe dans Cyberwatch 15
average_exploitable_vulns Entier Nombre moyen de vulnérabilités avec exploits publics sur chaque actif du groupe 58
average_high_vulns Entier Nombre moyen de vulnérabilités de sévérité élevée sur chaque actif du groupe 63
average_low_or_med_vulns Entier Nombre moyen de vulnérabilités de sévérité basse ou moyenne sur chaque actif du groupe 85
computers_count Entier Nombre d'actifs dans le groupe 73
groups Texte Nom du groupe admin_group

Contenu de l’index computers_security_issues

L’index computers_security_issues liste toutes les occurrences de défauts de sécurité du parc informatique. Chaque entrée correspond à un défaut de sécurité détecté sur un actif précis, donc si le même défaut de sécurité est présent sur 3 actifs, il sera représenté 3 fois dans l’index.

Champ Type Description Exemples de valeurs possibles
_id Entier ID de l’occurrence du défaut de sécurité. 123
computer_category Texte Catégorie l’actif affecté. server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device
computer_description Texte Description utilisateur de l’actif affecté.
computer_environment Texte Criticité l’actif affecté. low, medium, high
computer_id Entier ID de l’actif affecté. 80
computer_name Texte Nom de l’actif affecté. DESKTOP-1234
computer_os Texte Clé de l’OS de l’actif affecté. ubuntu_2104_64, windows_10_21h1_64
computer_os_arch Texte Architecture de l’OS de l’actif affecté. i386, x86, x86_64, AMD64
computer_os_build Texte Version du noyau de l’OS de l’actif affecté.
computer_os_name Texte Nom de l’OS de l’actif affecté. Ubuntu 21.04, Microsoft Windows 10
created_at Date Date de première détection du défaut de sécurité.
groups Tableau d'éléments de type texte Listes des groupes de l'actif. production, Paris
security_issue_code Texte Référence du type de défaut de sécurité. WSTG-INPV-01
security_issue_level Texte Sévérité du défaut de sécurité. info, low, medium, high, critical
status Texte État du défaut de sécurité. active, fixed, ignored
updated_at Date Date de dernière mise à jour du défaut de sécurité.

Contenu de l’index cve_announcements

L’index cve_announcements représente la liste des vulnérabilités ayant été détectées par Cyberwatch avec pour chacune les informations suivantes :

Champ Type Description Exemples de valeurs possibles
_id Entier Id de la vulnérabilité dans Cyberwatch 102783
computers_count Entier Nombre d'actifs affectés 1
cve_code Texte Identifiant unique de la vulnérabilité CVE-2016-6321
cve_level Texte Niveau de sévérité de la vulnérabilité telle que configuré dans Cyberwatch level_medium
cve_published_at Date Date de publication de la CVE 07/08/18
cve_score Flottant Score de sévérité de la vulnérabilité 7.6
cvss_v3_access_complexity Texte Métrique d'exploitabilité de la vulnérabilité : complexité d'accès access_complexity_medium
cvss_v3_access_vector Texte Métrique d'exploitabilité de la vulnérabilité : vecteur d'accès access_vector_network
cvss_v3_availability_impact Texte Métrique d'impact de la vulnérabilité : disponibilité availability_impact_partial
cvss_v3_confidentiality_impact Texte Métrique d'impact de la vulnérabilité : confidentialité confidentiality_impact_partial
cvss_v3_integrity_impact Texte Métrique d'impact de la vulnérabilité : intégrité integrity_impact_partial
cvss_v3_privileges_required Texte Métrique d'exploitabilité de la vulnérabilité : privilège requis privileges_required_none
cvss_v3_scope Texte Métrique d'exploitabilité de la vulnérabilité : portée scope_unchanged
cvss_v3_user_interaction Texte Métrique d'exploitabilité de la vulnérabilité : interaction utilisateur user_interaction_required
cwe_code Texte Code CWE de la vulnérabilité CWE-327
epss Flottant Score EPSS de la vulnérabilité 0.93672
exploit_code_maturity Texte Niveau de maturité des exploits publics disponibles pour la vulnérabilité functional
first_detected_at Date Date de première détection 01/01/18

Contenu de l’index rules_server

L’index rules_server représente la liste des couples actifs/règles avec pour chacun les informations suivantes :

Champ Type Description Exemples de valeurs possibles
_id Entier Id du couple Actif/Règle dans Cyberwatch 73
computer_category Texte Différencie les postes de travails des serveurs server, desktop
computer_description Texte Description de l'actif telle que définie dans Cyberwatch Serveur de production pour la plate-forme de ticketing
computer_environment Texte Criticité de l'actif telle que définie dans Cyberwatch Medium
computers_groups Tableau d'éléments de type texte Listes des groupes de l'actif production, Paris
computer_id Entier Id de l'actif 255
computer_name Texte Hostname de l'actif server01
computer_os Texte Nom unique du système d'exploitation pour Cyberwatch. debian_9_64, windows_2008...
computer_os_arch Texte Architecture du système d'exploitation AMD64, x86_64, i3686...
computer_os_build Texte Version du noyau du système d'exploitation
computer_os_name Texte Système d'exploitation tel que communiqué par l'actif Debian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard...
created_at Date Date d'affectation de la règle à l'actif sur Cyberwatch 20/03/2019
repositories Tableau d'éléments textuels Référentiels associés à la règle tels que définis dans Cyberwatch CIS_Benchmark, CIS_Benchmark_level_1
rule_code Texte Code de la règle dans l'Encyclopédie des Règles sur Cyberwatch linux-007
rule_level Texte Niveau de la règle de conformité minimal, medium...
status Texte État de la règle sur l'actif cbw_compliance_script_success, cbw_compliance_script_failed...
updated_at Date Dernière mise à jour de la règle 26/03/21

Contenu de l’index computers_packages

L’index computers_packages liste toutes les occurrences de technologies du parc informatique. Chaque entrée correspond à une technologie détectée sur un actif précis, donc si la même technologie est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.

Champ Type Description Exemples de valeurs possibles
id Entier ID de l’occurrence de la technologie. 123
computer_category Texte Catégorie l’actif affecté. server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device
computer_description Texte Description utilisateur de l’actif affecté.
computer_environment Texte Criticité l’actif affecté. low, medium, high
computer_id Entier ID de l’actif affecté. 80
computer_name Texte Nom de l’actif affecté. DESKTOP-1234
computer_os Texte Clé de l’OS de l’actif affecté. ubuntu_2104_64, windows_10_21h1_64
computer_os_arch Texte Architecture de l’OS de l’actif affecté. i386, x86, x86_64, AMD64
computer_os_build Texte Version du noyau de l’OS de l’actif affecté.
computer_os_name Texte Nom de l’OS de l’actif affecté. Ubuntu 21.04, Microsoft Windows 10
computer_os_type Texte Type de l’OS de l’actif affecté. Linux, Windows
groups Tableau d'éléments de type texte Listes des groupes de l'actif. production, Paris
package_vendor Texte Fournisseur de la technologie. Mozilla
package_product Texte Nom de la technologie. Firefox
package_version Texte Version de la technologie. 66.0.3
package_type Texte Type de la technologie Application
package_eol Date Date de fin de vie de la technologie.
package_updated_at Date Date de dernière mise à jour de l'occurrence de la technologie.

Contenu de l’index computers_metadata

L’index computers_metadata liste toutes les occurrences de métadonnées du parc informatique. Chaque entrée correspond à une métadonnée détectée sur un actif précis, donc si la même métadonnée est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.

Champ Type Description Exemples de valeurs possibles
id Entier ID de l’occurrence de la métadonnée. 123
computer_category Texte Catégorie l’actif affecté. server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device
computer_description Texte Description utilisateur de l’actif affecté.
computer_environment Texte Criticité l’actif affecté. low, medium, high
computer_id Entier ID de l’actif affecté. 80
computer_name Texte Nom de l’actif affecté. DESKTOP-1234
computer_os Texte Clé de l’OS de l’actif affecté. ubuntu_2104_64, windows_10_21h1_64
computer_os_arch Texte Architecture de l’OS de l’actif affecté. i386, x86, x86_64, AMD64
computer_os_build Texte Version du noyau de l’OS de l’actif affecté.
computer_os_name Texte Nom de l’OS de l’actif affecté. Ubuntu 21.04, Microsoft Windows 10
computer_os_type Texte Type de l’OS de l’actif affecté. Linux, Windows
groups Tableau d'éléments de type texte Listes des groupes de l'actif. production, Paris
metadatum_key Texte Clé de la métadonnée. processor-version
metadatum_value Texte Valeur de la métadonnée. Intel(R) Core(TM) i7-10700 CPU @ 2.90GHz

Contenu de l’index computers_updates

L’index computers_updates liste toutes les mises à jour disponibles du parc informatique. Chaque entrée correspond à une mise à jour d’un actif précis, donc si celle-ci est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.

Champ Type Description Exemples de valeurs possibles
id Entier ID de la mise à jour. 123
computer_category Texte Catégorie de l'actif affecté. server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device, ...
computer_environment Texte Criticité de l'actif telle que définie dans Cyberwatch. low, medium, high, ...
computer_id Entier Id de l'actif dans Cyberwatch. 80
computer_name Texte Hostname de l'actif. DESKTOP-1234
computer_os Texte Nom unique du système d'exploitation pour Cyberwatch. ubuntu_2104_64, windows_10_21h1_64
computer_os_arch Texte Architecture du système d'exploitation. i386, x86, x86_64, AMD64
computer_os_build Texte Version du noyau du système d'exploitation.
computer_os_name Texte Système d'exploitation tel que communiqué par l'actif. Ubuntu 21.04, Microsoft Windows 10
computer_os_type Texte Type de l’OS de l’actif affecté. Linux, Windows
critical_cve_announcements_count Entier Nombre de vulnérabilités prioritaires corrigées 0, 1, 2, 3 ...
cve_announcements_count Entier Nombre de vulnérabilités corrigées 0, 1, 2, 3 ...
cve_code Tableau d'éléments de type texte Liste des identifiants uniques des vulnérabilités corrigées ["CVE-2019-0759", "CVE-2019-0836"]
max_cve_epss Flottant Score EPSS maximum des vulnérabilités corrigées 0.93672
max_cve_level Texte Niveau de sévérité maximum des vulnérabilités corrigées level_medium
max_cve_score Flottant Score de sévérité maximum des vulnérabilités corrigées. 9.8
max_exploit_code_maturity Texte Maturité maximum des exploits publics disponibles des vulnérabilités corrigées unproven, high, proof_of_concept
update_current.product Texte Nom de la technologie actuelle
update_current.vendor Texte Fournisseur de la technologie actuelle elastic, cisco
update_current.version Texte Version de la technologie actuelle 7.0.27-0+deb9u1
update_ignored Booléen La mise a jour est elle ignorée sur l'actif False
update_patchable Booléen La mise a jour est elle patchable True
update_target.product Texte Nom de la technologie cible curl.x86_64
update_target.vendor Texte Fournisseur de la technologie cible elastic, cisco
update_target.version Texte Version de la technologie cible 7.0.27-0+deb9u1
update_type Texte Type de la mise à jour DEB, RPM, ...