Documentation technique des index Elasticsearch
Cyberwatch embarque un module Elasticsearch et Kibana pour faciliter l’analyse et la visualisation des données générées par le logiciel.
Cyberwatch publie quotidiennement ses données dans les index Elasticsearch décrits ci-dessous. Ces données sont utilisées pour effectuer des requêtes ou produire des visualisations dans Kibana.
Les mêmes données sont également disponibles sous forme d’exports JSON.
Contenu de l’index computers
L’index computers représente la liste des actifs supervisés, avec pour chacun les informations suivantes :
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| _id | Entier | Id de l'actif dans Cyberwatch | 388 |
| agent_version | Texte | Version de l'agent utilisée pour la supervision en cas de supervision avec agent. Vide pour les connections sans agent | 4.2 |
| compliance_rules_count | Entier | Nombre de règles de conformités affectées à l'actif | 72 |
| computer_category | Texte | Différencie la catégorie des actifs | server, desktop, hypervisor, network_device... |
| computer_description | Texte | Description de l'actif telle que définie dans Cyberwatch | Serveur de production pour la plate-forme de ticketing |
| computer_environment | Texte | Criticité de l'actif telle que définie dans Cyberwatch | Medium |
| computer_name | Texte | Hostname de l'actif | server01 |
| computer_os | Texte | Clé unique du système d'exploitation | debian_9_64, windows_2008... |
| computer_os_arch | Texte | Architecture du système d'exploitation | AMD64, x86_64, i3686... |
| computer_os_build | Texte | Version du noyau du système d'exploitation | |
| computer_os_name | Texte | Nom du système d'exploitation | Debian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard... |
| computer_status | Texte | État global de l'actif pour Cyberwatch | server_vulnerable, server_compliant... |
| computer_status_compliance | Texte | État de l'actif vis à vis du module conformités de Cyberwatch | cbw_compliance_server_compliant, cbw_compliance_server_not_compliant... |
| created_at | Date | Date de création de l'actif dans Cyberwatch | 01/01/2018 |
| critical_cve_announcements_count | Entier | Nombre de vulnérabilités prioritaires pour l'actif | 0 |
| cve_announcements_count | Entier | Nombre de vulnérabilités actives sur l'actif | 0 |
| groups | Tableau d'éléments de type texte | Listes des groupes de l'actif | production, Paris |
| has_exploits | Booléen | Indique la présence d'une vulnérabilités pour laquelle Cyberwatch a détecté un exploit public | true |
| host | Texte | Nom de domaine ou adresse IP de l'actif | server01.example.com, 192.168.0.1... |
| last_communication | Date | Dernière communication de l'actif avec Cyberwatch | 07/08/18 |
| max_cve_epss | Flottant | Score EPSS maximal d'une vulnérabilité détectée sur cet actif | 0.93672 |
| max_cve_level | Texte | Niveau maximal d'une vulnérabilité détectée sur cet actif | level_medium |
| need_reboot | Booléen | Indique la nécessité pour l'actif de redémarrer | true |
| repositories | Tableau d'éléments textuels | Référentiels associés à l'actif | CIS_Benchmark, CIS_Benchmark_level_1 |
| remote_ip | Texte | IP de l'actif | 192.168.0.1 |
| scan_only | Booléen | Indique que l'actif est en mode supervision uniquement | false |
| updated_at | Date | Dernière mise à jour de l'actif | 07/08/18 |
| updates_count | Entier | Nombre de correctifs proposés | 22 |
Contenu de l’index computers_cves
L’index computers_cves représente la liste des couples actifs/vulnérabilités avec pour chacun les informations suivantes :
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| _id | Entier | Id du couple Actif/vulnérabilité dans Cyberwatch | 5153 |
| active | Booléen | Indique si la vulnérabilité est actuellement présente sur l'actif | true |
| computer_category | Texte | Différencie la catégorie des actifs | server, desktop, hypervisor, network_device... |
| computer_description | Texte | Description de l'actif telle que définie dans Cyberwatch | Serveur de production pour la plate-forme de ticketing |
| computer_environment | Texte | Criticité de l'actif telle que définie dans Cyberwatch | Medium |
| computer_id | Entier | Id de l'actif dans Cyberwatch | 255 |
| computer_name | Texte | Hostname de l'actif | server01 |
| computer_os | Texte | Clé unique du système d'exploitation | debian_9_64, windows_2008... |
| computer_os_arch | Texte | Architecture du système d'exploitation | AMD64, x86_64, i3686... |
| computer_os_build | Texte | Version du noyau du système d'exploitation | |
| computer_os_name | Texte | Nom du système d'exploitation | Debian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard... |
| created_at | Date | Création dans Cyberwatch | 01/01/2018 |
| critical | Booléen | Indique que la vulnérabilité est prioritaire pour l'actif | false |
| cve_code | Texte | Identifiant unique de la vulnérabilité | CVE-2016-6321 |
| cve_epss | Flottant | Score EPSS de la vulnérabilité | 0.93672 |
| cve_level | Texte | Niveau de sévérité de la vulnérabilité telle que configurée dans Cyberwatch | medium |
| cve_published_at | Date | Publication de la CVE | 07/08/18 |
| cve_score | Flottant | Score de sévérité de la vulnérabilité | 7.6 |
| cve_status | Texte | État de la vulnérabilité sur l'actif concerné | active, active_with_exploits, fixed, ignored |
| cvss_v3_access_complexity | Texte | Métrique d'exploitabilité de la vulnérabilité : complexité d'accès | access_complexity_medium |
| cvss_v3_access_vector | Texte | Métrique d'exploitabilité de la vulnérabilité : vecteur d'accès | access_vector_network |
| cvss_v3_availability_impact | Texte | Métrique d'impact de la vulnérabilité : disponibilité | availability_impact_partial |
| cvss_v3_confidentiality_impact | Texte | Métrique d'impact de la vulnérabilité : confidentialité | confidentiality_impact_partial |
| cvss_v3_integrity_impact | Texte | Métrique d'impact de la vulnérabilité : intégrité | integrity_impact_partial |
| cvss_v3_privileges_required | Texte | Métrique d'exploitabilité de la vulnérabilité : privilège requis | privileges_required_none |
| cvss_v3_scope | Texte | Métrique d'exploitabilité de la vulnérabilité : portée | scope_unchanged |
| cvss_v3_user_interaction | Texte | Métrique d'exploitabilité de la vulnérabilité : interaction utilisateur | user_interaction_required |
| exploit_code_maturity | Texte | Niveau de maturité des exploits publics disponibles pour la vulnérabilité | functional |
| fixed_at | Date | Date de correction de la vulnérabilité sur l'actif | 07/08/18 |
| groups | Tableau d'éléments de type texte | Listes des groupes de l'actif | production, Paris |
| ignored | Booléen | Indique que la vulnérabilité a été ignorée sur l'actif | false |
| most_regularly_used_cve | Booléen | Indique que la vulnérabilité fait partie des plus utilisées sur Internet | 7.6 |
| updated_at | Date | Dernière mise à jour | 07/08/18 |
Contenu de l’index computers_groups
L’index computers_groups représente la liste des couples groupes/actifs avec pour chacun les informations suivantes :
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| _id | Entier | Id du groupe dans Cyberwatch | 15 |
| average_exploitable_vulns | Entier | Nombre moyen de vulnérabilités avec exploits publics sur chaque actif du groupe | 58 |
| average_high_vulns | Entier | Nombre moyen de vulnérabilités de sévérité élevée sur chaque actif du groupe | 63 |
| average_low_or_med_vulns | Entier | Nombre moyen de vulnérabilités de sévérité basse ou moyenne sur chaque actif du groupe | 85 |
| computers_count | Entier | Nombre d'actifs dans le groupe | 73 |
| groups | Texte | Nom du groupe | admin_group |
Contenu de l’index computers_security_issues
L’index computers_security_issues liste toutes les occurrences de défauts de sécurité du parc informatique. Chaque entrée correspond à un défaut de sécurité détecté sur un actif précis, donc si le même défaut de sécurité est présent sur 3 actifs, il sera représenté 3 fois dans l’index.
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| _id | Entier | ID de l’occurrence du défaut de sécurité. | 123 |
| computer_category | Texte | Catégorie l’actif affecté. | server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device |
| computer_description | Texte | Description utilisateur de l’actif affecté. | |
| computer_environment | Texte | Criticité l’actif affecté. | low, medium, high |
| computer_id | Entier | ID de l’actif affecté. | 80 |
| computer_name | Texte | Nom de l’actif affecté. | DESKTOP-1234 |
| computer_os | Texte | Clé unique du système d'exploitation | ubuntu_2104_64, windows_10_21h1_64 |
| computer_os_arch | Texte | Architecture du système d'exploitation | i386, x86, x86_64, AMD64 |
| computer_os_build | Texte | Version du noyau du système d'exploitation | |
| computer_os_name | Texte | Nom du système d'exploitation | Ubuntu 21.04, Microsoft Windows 10 |
| created_at | Date | Date de première détection du défaut de sécurité. | |
| groups | Tableau d'éléments de type texte | Listes des groupes de l'actif. | production, Paris |
| security_issue_code | Texte | Référence du type de défaut de sécurité. | WSTG-INPV-01 |
| security_issue_level | Texte | Sévérité du défaut de sécurité. | info, low, medium, high, critical |
| status | Texte | État du défaut de sécurité. | active, fixed, ignored |
| updated_at | Date | Date de dernière mise à jour du défaut de sécurité. |
Contenu de l’index cve_announcements
L’index cve_announcements représente la liste des vulnérabilités ayant été détectées par Cyberwatch avec pour chacune les informations suivantes :
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| _id | Entier | Id de la vulnérabilité dans Cyberwatch | 102783 |
| computers_count | Entier | Nombre d'actifs affectés | 1 |
| cve_code | Texte | Identifiant unique de la vulnérabilité | CVE-2016-6321 |
| cve_level | Texte | Niveau de sévérité de la vulnérabilité telle que configuré dans Cyberwatch | level_medium |
| cve_published_at | Date | Date de publication de la CVE | 07/08/18 |
| cve_score | Flottant | Score de sévérité de la vulnérabilité | 7.6 |
| cvss_v3_access_complexity | Texte | Métrique d'exploitabilité de la vulnérabilité : complexité d'accès | access_complexity_medium |
| cvss_v3_access_vector | Texte | Métrique d'exploitabilité de la vulnérabilité : vecteur d'accès | access_vector_network |
| cvss_v3_availability_impact | Texte | Métrique d'impact de la vulnérabilité : disponibilité | availability_impact_partial |
| cvss_v3_confidentiality_impact | Texte | Métrique d'impact de la vulnérabilité : confidentialité | confidentiality_impact_partial |
| cvss_v3_integrity_impact | Texte | Métrique d'impact de la vulnérabilité : intégrité | integrity_impact_partial |
| cvss_v3_privileges_required | Texte | Métrique d'exploitabilité de la vulnérabilité : privilège requis | privileges_required_none |
| cvss_v3_scope | Texte | Métrique d'exploitabilité de la vulnérabilité : portée | scope_unchanged |
| cvss_v3_user_interaction | Texte | Métrique d'exploitabilité de la vulnérabilité : interaction utilisateur | user_interaction_required |
| cwe_code | Texte | Code CWE de la vulnérabilité | CWE-327 |
| epss | Flottant | Score EPSS de la vulnérabilité | 0.93672 |
| exploit_code_maturity | Texte | Niveau de maturité des exploits publics disponibles pour la vulnérabilité | functional |
| first_detected_at | Date | Date de première détection | 01/01/18 |
Contenu de l’index rules_server
L’index rules_server représente la liste des couples actifs/règles avec pour chacun les informations suivantes :
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| _id | Entier | Id du couple Actif/Règle dans Cyberwatch | 73 |
| computer_category | Texte | Différencie les postes de travails des serveurs | server, desktop |
| computer_description | Texte | Description de l'actif telle que définie dans Cyberwatch | Serveur de production pour la plate-forme de ticketing |
| computer_environment | Texte | Criticité de l'actif telle que définie dans Cyberwatch | Medium |
| computers_groups | Tableau d'éléments de type texte | Listes des groupes de l'actif | production, Paris |
| computer_id | Entier | Id de l'actif | 255 |
| computer_name | Texte | Hostname de l'actif | server01 |
| computer_os | Texte | Clé unique du système d'exploitation | debian_9_64, windows_2008... |
| computer_os_arch | Texte | Architecture du système d'exploitation | AMD64, x86_64, i3686... |
| computer_os_build | Texte | Version du noyau du système d'exploitation | |
| computer_os_name | Texte | Nom du système d'exploitation | Debian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard... |
| created_at | Date | Date d'affectation de la règle à l'actif sur Cyberwatch | 20/03/2019 |
| repositories | Tableau d'éléments textuels | Référentiels associés à la règle tels que définis dans Cyberwatch | CIS_Benchmark, CIS_Benchmark_level_1 |
| rule_code | Texte | Code de la règle dans l'Encyclopédie des Règles sur Cyberwatch | linux-007 |
| rule_level | Texte | Niveau de la règle de conformité | minimal, medium... |
| status | Texte | État de la règle sur l'actif | cbw_compliance_script_success, cbw_compliance_script_failed... |
| updated_at | Date | Dernière mise à jour de la règle | 26/03/21 |
Contenu de l’index computers_packages
L’index computers_packages liste toutes les occurrences de technologies du parc informatique. Chaque entrée correspond à une technologie détectée sur un actif précis, donc si la même technologie est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| id | Entier | ID de l’occurrence de la technologie. | 123 |
| computer_category | Texte | Catégorie l’actif affecté. | server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device |
| computer_description | Texte | Description utilisateur de l’actif affecté. | |
| computer_environment | Texte | Criticité l’actif affecté. | low, medium, high |
| computer_id | Entier | ID de l’actif affecté. | 80 |
| computer_name | Texte | Nom de l’actif affecté. | DESKTOP-1234 |
| computer_os | Texte | Clé unique du système d'exploitation | ubuntu_2104_64, windows_10_21h1_64 |
| computer_os_arch | Texte | Architecture du système d'exploitation | i386, x86, x86_64, AMD64 |
| computer_os_build | Texte | Version du noyau du système d'exploitation | |
| computer_os_name | Texte | Nom du système d'exploitation | Ubuntu 21.04, Microsoft Windows 10 |
| computer_os_type | Texte | Type du système d'exploitation | Linux, Windows |
| groups | Tableau d'éléments de type texte | Listes des groupes de l'actif. | production, Paris |
| package_vendor | Texte | Fournisseur de la technologie. | Mozilla |
| package_product | Texte | Nom de la technologie. | Firefox |
| package_version | Texte | Version de la technologie. | 66.0.3 |
| package_type | Texte | Type de la technologie | Application |
| package_eol | Date | Date de fin de vie de la technologie. | |
| package_updated_at | Date | Date de dernière mise à jour de l'occurrence de la technologie. |
Contenu de l’index computers_metadata
L’index computers_metadata liste toutes les occurrences de métadonnées du parc informatique. Chaque entrée correspond à une métadonnée détectée sur un actif précis, donc si la même métadonnée est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| id | Entier | ID de l’occurrence de la métadonnée. | 123 |
| computer_category | Texte | Catégorie l’actif affecté. | server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device |
| computer_description | Texte | Description utilisateur de l’actif affecté. | |
| computer_environment | Texte | Criticité l’actif affecté. | low, medium, high |
| computer_id | Entier | ID de l’actif affecté. | 80 |
| computer_name | Texte | Nom de l’actif affecté. | DESKTOP-1234 |
| computer_os | Texte | Clé unique du système d'exploitation | ubuntu_2104_64, windows_10_21h1_64 |
| computer_os_arch | Texte | Architecture du système d'exploitation | i386, x86, x86_64, AMD64 |
| computer_os_build | Texte | Version du noyau du système d'exploitation | |
| computer_os_name | Texte | Nom du système d'exploitation | Ubuntu 21.04, Microsoft Windows 10 |
| computer_os_type | Texte | Type du système d'exploitation | Linux, Windows |
| groups | Tableau d'éléments de type texte | Listes des groupes de l'actif. | production, Paris |
| metadatum_key | Texte | Clé de la métadonnée. | processor-version |
| metadatum_value | Texte | Valeur de la métadonnée. | Intel(R) Core(TM) i7-10700 CPU @ 2.90GHz |
Contenu de l’index computers_updates
L’index computers_updates liste toutes les mises à jour disponibles du parc informatique. Chaque entrée correspond à une mise à jour d’un actif précis, donc si celle-ci est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.
| Champ | Type | Description | Exemples de valeurs possibles |
|---|---|---|---|
| id | Entier | ID de la mise à jour. | 123 |
| computer_category | Texte | Catégorie de l'actif affecté. | server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device, ... |
| computer_environment | Texte | Criticité de l'actif telle que définie dans Cyberwatch. | low, medium, high, ... |
| computer_id | Entier | Id de l'actif dans Cyberwatch. | 80 |
| computer_name | Texte | Hostname de l'actif. | DESKTOP-1234 |
| computer_os | Texte | Clé unique du système d'exploitation | ubuntu_2104_64, windows_10_21h1_64 |
| computer_os_arch | Texte | Architecture du système d'exploitation | i386, x86, x86_64, AMD64 |
| computer_os_build | Texte | Version du noyau du système d'exploitation | |
| computer_os_name | Texte | Nom du système d'exploitation | Ubuntu 21.04, Microsoft Windows 10 |
| computer_os_type | Texte | Type du système d'exploitation | Linux, Windows |
| critical_cve_announcements_count | Entier | Nombre de vulnérabilités prioritaires corrigées | 0, 1, 2, 3 ... |
| cve_announcements_count | Entier | Nombre de vulnérabilités corrigées | 0, 1, 2, 3 ... |
| cve_code | Tableau d'éléments de type texte | Liste des identifiants uniques des vulnérabilités corrigées | ["CVE-2019-0759", "CVE-2019-0836"] |
| max_cve_epss | Flottant | Score EPSS maximum des vulnérabilités corrigées | 0.93672 |
| max_cve_level | Texte | Niveau de sévérité maximum des vulnérabilités corrigées | level_medium |
| max_cve_score | Flottant | Score de sévérité maximum des vulnérabilités corrigées. | 9.8 |
| max_exploit_code_maturity | Texte | Maturité maximum des exploits publics disponibles des vulnérabilités corrigées | unproven, high, proof_of_concept |
| update_current.product | Texte | Nom de la technologie actuelle | |
| update_current.vendor | Texte | Fournisseur de la technologie actuelle | elastic, cisco |
| update_current.version | Texte | Version de la technologie actuelle | 7.0.27-0+deb9u1 |
| update_ignored | Booléen | La mise a jour est elle ignorée sur l'actif | False |
| update_patchable | Booléen | La mise a jour est elle patchable | True |
| update_target.product | Texte | Nom de la technologie cible | curl.x86_64 |
| update_target.vendor | Texte | Fournisseur de la technologie cible | elastic, cisco |
| update_target.version | Texte | Version de la technologie cible | 7.0.27-0+deb9u1 |
| update_type | Texte | Type de la mise à jour | DEB, RPM, ... |