Intégrations

Il est possible d’envoyer les données de Cyberwatch vers un système externe via les Intégrations.

Création d’une Intégration

Cliquer sur Administration
Cliquer sur Intégrations
Cliquer sur Ajouter
Compléter les champs du formulaire de création d’intégration :
- Modèle d’intégration :
  - Microsoft Teams - Informations d’actifs est un modèle de configuration vous permettant d’envoyer sur votre canal Teams, les informations relatives aux vulnérabilités présentes sur vos actifs
  - Microsoft Teams - Informations de vulnérabilités est un modèle de configuration vous permettant d’envoyer les différentes informations relatives à des CVE
  - Microsoft Teams - Gestion des correctifs est un modèle de configuration vous permettant d’envoyer les informations relatives aux correctifs à déployer sur vos actifs
- Protocole de l’intégration :
  - HTTP hook pour envoyer des requêtes HTTP rest
  - SMTP hook pour envoyer des e-mail avec la configuration SMTP paramétrée dans Administration > SMTP
- Nom de l’intégration : Nom de l’intégration qui sera affiché dans les listes de choix d’intégration
- Emplacement du déclencheur : Emplacement où il sera possible de retrouver l’intégration. Les emplacements disponibles sont :
  - Inventaire
  - Détails d’un actif - Onglet Vulnérabilités
  - Détails d’un actif - Onglet Gestion des correctifs
  - Détails d’un actif - Onglet Conformité
  - Détails d’un actif - Onglet Défauts de sécurité
  - Encyclopédie des vulnérabilités
  - Encyclopédie des règles de conformité
  - Encyclopédie des défauts de sécurité
  - Actions correctives
  - Détails d’une vulnérabilité
  - Détails d’une règle de conformité
  - Détails d’un défaut de sécurité
  - Détails d’une action corrective
  - Aucun : concerne les intégrations disponibles uniquement pour les alertes
Pour les intégrations HTTP
- URL de la requête : URL vers laquelle seront envoyées les données
- En-têtes de la requête : En-têtes de la requête sous la forme d’un dictionnaire, exemple :
```
{
    "Accept-Charset": "utf-8",
    "Accept-Encoding": "gzip",
    "Authorization": "Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==",
    "Content-Type": "application/json",
    "User-Agent": "Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/12.0"
}
```
- Corps de la requête : Corps de la requête contenant les données à envoyer. Compatible avec les Patrons
- Méthode HTTP de la requête : Choix de la méthode HTTP avec laquelle sera envoyée la requête
- Utiliser un certificat auto-signé pour la requête : Permet de se connecter à un serveur auto-signé. Attention : Se connecter à un serveur auto-signé expose à un risque qu’un tiers puisse intercepter le trafic vers le serveur via ce certificat
- Utiliser la configuration proxy pour la requête : Permet d’utiliser le proxy configuré dans Cyberwatch
Pour les intégrations SMTP
- Adresse e-mail du destinataire
- Sujet de l’e-mail. Compatible avec les Patrons
- Contenu de l’e-mail : Le message contenant les données à envoyer. Compatible avec les Patrons
Sauvegarder

Si les champs ont correctement été renseignés, l’intégration apparaîtra dans la liste des intégrations.

Afin de configurer des intégrations en utilisant Teams, cliquez ici.

Patrons

Cyberwatch utilise le moteur de template Liquid pour formater le corps des requêtes HTTP et des e-mails. Sa documentation est disponible en anglais à l’adresse https://shopify.dev/docs/api/liquid.

Les variables Cyberwatch de données suivantes sont disponibles :

Variable	Description	Exemple
`asset`	Actif concerné, pour les contextes où il n’y en a qu’un seul. Attributs : - `name` : nom de l’actif. - `description` : description de l’actif. - `cve_announcements_count` : nombre de vulnérabilités de l’actif. - `critical_cve_announcements_count` : nombre de vulnérabilités prioritaire de l’actif. - `compliance_rules_count` : nombre de règles de conformité de l’actif. - `compliance_rules_failed_count` : nombre de règles de conformité échouées de l’actif. - `compliance_rules_succeed_count` : nombre de règles de conformité réussies de l’actif. - `compliance_rules_anomalies_count` : nombre de règles de conformité en anomalie de l’actif. - `security_issues_count` : nombre de défauts de sécurité de l’actif.	`{{ asset.name }}` ⇒ `MY-PC.DOMAIN`
`assets`	Liste des actifs concernés. Les attributs sont les mêmes que `asset`.	`{{ assets \| map: 'name' \| join: ', ' }}` ⇒ `example-1.local, example-2.local`
`cve`	CVE concernée, pour les contextes où il n’y en a qu’une seule. Attributs : - `code` : référence de la CVE. - `content` : description de la CVE. - `summary` : description courte de la CVE. - `score` : score CVSS de la CVE. - `epss` : score EPSS de la CVE. - `cisa_exploit_add_at` : date d’ajout dans le CISA KEV. - `certfr_exploit_add_at` : date d’ajout dans le CERT-FR ALE.	`{{ cve.code }}` ⇒ `CVE-2023-1234`
`cves`	Liste des CVE concernées. Les attributs sont les mêmes que `cve`.	`{{ cves \| map: 'code' \| join: ', ' }}` ⇒ `CVE-2023-0001, CVE-2023-0002`
`technology`	Technologie concernée, pour les contextes où il n’y en a qu’une seule. Attributs : - `product` : nom de produit de la technologie. - `target_title` : titre de la technologie. - `target_version_string` : version cible de la technologie. - `cve_announcements_count` : nombre de vulnérabilités de la technologie. - `critical_cve_announcements_count` : nombre de vulnérabilités prioritaires de la technologie.	`{{ technology.product }}` ⇒ `Google Chrome`
`technologies`	Technologies concernées. Les attributs sont les mêmes que `technology`.	`{{ technologies \| map: 'product' \| join: ', ' }}` ⇒ `linux, linux-firmware`
`compliance_rule`	Règle de conformité concernée, pour les contextes où il n’y en a qu’une seule. Attributs : - `name` : nom de la règle de conformité. - `description` : description de la règle de conformité. -`code` : référence de la règle de conformité. -`rationale` : objectif de la règle de conformité. -`audit` : audit de la règle de conformité. -`remediation` : remédiation de la règle de conformité. -`require_sudo` : nécessité des droits administrateur de la règle de conformité. -`reference` : référence dans le benchmark de la règle de conformité.	`{{ compliance_rule.name }}` ⇒ `Ensure rsyslog service is enabled`
`compliance_rules`	Règles de conformité concernées. Les attributs sont les mêmes que `compliance_rule`.	`{{ compliance_rules \| map: 'code' \| join: ', ' }}` ⇒ `CIS-AWS-1.4, CIS-AWS-1.20`
`security_issue`	Défaut de sécurité concerné, pour les contextes où il n’y en a qu’un seul. Attributs : - `sid` : référence du défaut de sécurité. - `title` : nom du défaut de sécurité. - `description` : description du défaut de sécurité.	`{{ security_issue.title }}` ⇒ `TAA - TSX Asynchronous Abort`
`security_issues`	Défauts de sécurité concernés. Les attributs sont les mêmes que `security_issue`.	`{{ security_issues \| map: 'sid' \| join: ', ' }}` ⇒ `WSTG-INPV-17, WSTG-ATHN-10`
`host`	Actif découvert concerné, pour les contextes où il n’y en a qu’un seul. Attributs : - `hostname` : nom de l’hôte de l’actif découvert.	`{{ host.hostname }}` ⇒ `bar.example.com`
`hosts`	Actifs découverts concernés. Les attributs sont les mêmes que `host`.	`{{ hosts \| map: 'hostname' \| join: ', ' }}` ⇒ `bar.example.com, foo.example.com`

En plus des filtres par défaut, le filtre json permet de formater une donnée en JSON. Il est par conséquent possible d’envoyer une liste de CVE à une API avec le corps : { "cves": {{ cves | json }} }. La liste des CVE apparaitra alors comme un tableau JSON, par exemple { "cves": [{ "code": "CVE-2023-0001" }, { "code": "CVE-2023-0002" }] }.

Les variables Cyberwatch d’alerte suivantes sont disponibles :

Variable	Description
`alert_name`	Nom de l’alerte ayant déclenché l’intégration
`manage_link`	Lien vers la page d’édition de l’alerte
`node_name`	Nom de l’instance sur laquelle l’alerte a été déclenchée
`node_url`	Lien vers l’instance sur laquelle l’alerte a été déclenchée
`host`	Dans le cas d’une découverte, nom de domaine de l’actif découvert
`hosts`	Dans le cas d’une découverte, liste des noms de domaines des actifs découverts

Variables disponibles par emplacement de déclencheur

Détail d’un actif

Emplacement de déclencheur	Variables disponibles
Onglet Vulnérabilités	`asset`, `assets`, `cve`, `cves`
Onglet Gestion des correctifs	`asset`, `assets`, `cve`, `cves`, `technology`, `technologies`
Onglet Conformité	`asset`, `assets`, `technology`, `technologies`
Onglet Défauts de sécurité	`asset`, `assets`, `security_issue`, `security_issues`

Encyclopédies

Emplacement de déclencheur	Variables disponibles
Vulnérabilités	`asset`, `assets`, `cve`, `cves`
Règles de conformité	`asset`, `assets`, `compliance_rule`, `compliance_rules`
Défauts de sécurité	`asset`, `assets`, `security_issue`, `security_issues`
Action correctives	`asset`, `assets`, `technology`, `technologies`
Inventaire	`asset`, `assets`

Détails

Emplacement de déclencheur	Variables disponibles
Détails d’une vulnérabilité	`asset`, `assets`, `cve`, `cves`
Détails d’une règle de conformité	`asset`, `assets`, `compliance_rule`, `compliance_rules`
Détails d’un défaut de sécurité	`asset`, `assets`, `security_issue`, `security_issues`
Détails d’une action corrective	`asset`, `assets`, `cve`, `cves`, `technology`, `technologies`

Édition d’une Intégration

Cliquer sur Administration
Cliquer sur Intégrations
Cliquer sur le bouton d’édition (icône de crayon) correspondant à l’intégration à éditer
Modifier les champs souhaités dans le formulaire. Les champs sont complétés avec les valeurs de l’intégration éditée
Sauvegarder

Suppression d’une Intégration

Cliquer sur Administration
Cliquer sur Intégrations
Cliquer sur le bouton de suppression (icône de corbeille) correspondant à l’intégration à supprimer
Valider en cliquant sur le bouton « OK » de l’alerte de confirmation

Tester une intégration

Cliquer sur Administration
Cliquer sur Intégrations
Cliquer sur le bouton de test (icône de flèche) correspondant à l’intégration à tester
Vérifier qu’une modale contenant l’état de la réponse apparaît, attestant de la connexion avec le serveur

Utilisation d’une intégration

Les intégrations sont utilisables à différents emplacements selon le choix qui est fait dans le formulaire de création/édition :

Inventaire

Cliquer sur Inventaire
Sélectionner les actifs à envoyer
Cliquer sur le bouton Actions groupées
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Détails d’un actif - Onglet Vulnérabilités

Cliquer sur Inventaire
Cliquer sur le nom de l’actif pour lequel envoyer les données
Cliquer sur l’onglet Vulnérabilités
Sélectionner les vulnérabilités à envoyer
Cliquer sur la flèche à droite du bouton Ignorer
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Détails d’un actif - Onglet Gestion des correctifs

Cliquer sur Inventaire
Cliquer sur le nom de l’actif pour lequel envoyer les données
Cliquer sur l’onglet Gestion des correctifs
Sélectionner les correctifs à envoyer
Cliquer sur la flèche à droite du bouton Planifier les correctifs sélectionnés (ou sur le bouton Envoyer la sélection dans le cas d’un actif en mode « scan uniquement »)
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Détails d’un actif - Onglet Conformité

Cliquer sur Inventaire
Cliquer sur le nom de l’actif pour lequel envoyer les données
Cliquer sur l’onglet Conformité
Sélectionner les règles de conformité à envoyer
Cliquer sur la flèche à droite du bouton Envoyer la sélection
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Détails d’un actif - Onglet Défauts de sécurité

Cliquer sur Inventaire
Cliquer sur le nom de l’actif pour lequel envoyer les données
Cliquer sur l’onglet Défauts de sécurité
Sélectionner les défauts de sécurité à envoyer
Cliquer sur la flèche à droite du bouton Ignorer
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Encyclopédie des vulnérabilités

Cliquer sur Vulnérabilités
Sélectionner les vulnérabilités à envoyer
Cliquer sur le bouton Actions groupées
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Détails d’une vulnérabilité

Cliquer sur Vulnérabilités
Cliquer sur une référence CVE dans l’encyclopédie pour se rendre dans la fiche de la CVE
Sélectionner les actifs à envoyer
Cliquer sur la flèche à droite du bouton Ignorer et commenter
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Encyclopédie des règles de conformité

Cliquer sur Règles de conformité
Sélectionner les règles de conformité à envoyer
Cliquer sur le bouton Actions groupées
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Détails d’une règle de conformité

Cliquer sur Règles de conformité
Cliquer sur une référence de règle de conformité pour se rendre dans la fiche de la règle de conformité
Sélectionner les actifs à envoyer
Cliquer sur la flèche à droite du bouton Contrôler les actifs
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Encyclopédie des défauts de sécurité

Cliquer sur Défauts de sécurité
Sélectionner les défauts de sécurité à envoyer
Cliquer sur le bouton Actions groupées
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Détails d’un défaut de sécurité

Cliquer sur Défauts de sécurité
Cliquer sur une référence de défaut de sécurité pour se rendre dans la fiche du défaut de sécurité
Sélectionner les actifs à envoyer
Cliquer sur la flèche à droite du bouton Ignorer
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Actions correctives

Cliquer sur Actions correctives
Sélectionner les actions correctives à envoyer
Cliquer sur le bouton Actions groupées
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite

Détails d’une action corrective

Cliquer sur Défauts de sécurité
Cliquer sur une référence de défaut de sécurité pour se rendre dans la fiche du défaut de sécurité
Sélectionner les actifs à envoyer
Cliquer sur la flèche à droite du bouton Déployer
Cliquer sur le nom de l’intégration dans le menu déroulant
Vérifier l’état de la réponse dans la notification en haut à droite