Intégrations
Il est possible d’envoyer les données de Cyberwatch vers un système externe via les Intégrations.
Création d’une Intégration
- Cliquer sur Administration
- Cliquer sur Intégrations
- Cliquer sur Ajouter
Compléter les champs du formulaire de création d’intégration :
- Modèle d’intégration :
- Microsoft Teams - Informations d’actifs est un modèle de configuration vous permettant d’envoyer sur votre canal Teams, les informations relatives aux vulnérabilités présentes sur vos actifs
- Microsoft Teams - Informations de vulnérabilités est un modèle de configuration vous permettant d’envoyer les différentes informations relatives à des CVE
- Microsoft Teams - Gestion des correctifs est un modèle de configuration vous permettant d’envoyer les informations relatives aux correctifs à déployer sur vos actifs
- Protocole de l’intégration :
- HTTP hook pour envoyer des requêtes HTTP rest
- SMTP hook pour envoyer des e-mail avec la configuration SMTP paramétrée dans Administration > SMTP
- Nom de l’intégration : Nom de l’intégration qui sera affiché dans les listes de choix d’intégration
- Emplacement du déclencheur : Emplacement où il sera possible de retrouver l’intégration Les emplacements disponibles sont :
- Inventaire
- Détails d’un actif - Onglet Vulnérabilités
- Détails d’un actif - Onglet Gestion des correctifs
- Détails d’un actif - Onglet Conformité
- Détails d’un actif - Onglet Défauts de sécurité
- Encyclopédie des vulnérabilités
- Encyclopédie des règles de conformité
- Encyclopédie des défauts de sécurité
- Actions correctives
- Détails d’une vulnérabilité
- Détails d’une règle de conformité
- Détails d’un défaut de sécurité
- Détails d’une action corrective
- Aucun : concerne les intégrations disponibles uniquement pour les alertes
- Modèle d’intégration :
Pour les intégrations HTTP
- URL de la requête : URL vers laquelle seront envoyées les données
En-têtes de la requête : En-têtes de la requête sous la forme d’un dictionnaire, exemple :
{ "Accept-Charset": "utf-8", "Accept-Encoding": "gzip", "Authorization": "Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==", "Content-Type": "application/json", "User-Agent": "Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/12.0" }
- Corps de la requête : Corps de la requête contenant les données à envoyer. Compatible avec les Patrons
- Méthode HTTP de la requête : Choix de la méthode HTTP avec laquelle sera envoyée la requête
- Utiliser un certificat auto-signé pour la requête : Permet de se connecter à un serveur auto-signé. Attention : Se connecter à un serveur auto-signé expose à un risque qu’un tiers puisse intercepter le trafic vers le serveur via ce certificat
- Utiliser la configuration proxy pour la requête : Permet d’utiliser le proxy configuré dans Cyberwatch
Pour les intégrations SMTP
- Sauvegarder
Si les champs ont correctement été renseignés, l’intégration apparaîtra dans la liste des intégrations.
Afin de configurer des intégrations en utilisant Teams, cliquez ici.
Patrons
Cyberwatch utilise le moteur de template Liquid pour formater le corps des requêtes HTTP et des e-mails. Sa documentation est disponible en anglais à l’adresse https://shopify.dev/docs/api/liquid.
Les variables Cyberwatch de données suivantes sont disponibles :
Variable | Description | Exemple |
---|---|---|
asset | Actif concerné, pour les contextes où il n’y en a qu’un seul. Attributs : - name : nom de l’actif.- description : description de l’actif.- cve_announcements_count : nombre de vulnérabilités de l’actif.- critical_cve_announcements_count : nombre de vulnérabilités prioritaire de l’actif.- compliance_rules_count : nombre de règles de conformité de l’actif.- compliance_rules_failed_count : nombre de règles de conformité échouées de l’actif.- compliance_rules_succeed_count : nombre de règles de conformité réussies de l’actif.- compliance_rules_anomalies_count : nombre de règles de conformité en anomalie de l’actif.- security_issues_count : nombre de défauts de sécurité de l’actif. | {{ asset.name }} ⇒ MY-PC.DOMAIN |
assets | Liste des actifs concernés. Les attributs sont les mêmes que asset . | {{ assets | map: 'name' | join: ', ' }} ⇒ example-1.local, example-2.local |
cve | CVE concernée, pour les contextes où il n’y en a qu’une seule. Attributs : - code : référence de la CVE.- description : description de la CVE.- score : score CVSS de la CVE.- epss : score EPSS de la CVE. | {{ cve.code }} ⇒ CVE-2023-1234 |
cves | Liste des CVE concernées. Les attributs sont les mêmes que cve . | {{ cves | map: 'code' | join: ', ' }} ⇒ CVE-2023-0001, CVE-2023-0002 |
technology | Technologie concernée, pour les contextes où il n’y en a qu’une seule. Attributs : - product : nom de produit de la technologie.- target_title : titre de la technologie.- target_version_string : version cible de la technologie.- cve_announcements_count : nombre de vulnérabilités de la technologie.- critical_cve_announcements_count : nombre de vulnérabilités prioritaires de la technologie. | {{ technology.product }} ⇒ Google Chrome |
technologies | Technologies concernées. Les attributs sont les mêmes que technology . | {{ technologies | map: 'product' | join: ', ' }} ⇒ linux, linux-firmware |
compliance_rule | Règle de conformité concernée, pour les contextes où il n’y en a qu’une seule. Attributs : - name : nom de la règle de conformité.- description : description de la règle de conformité.- code : référence de la règle de conformité.- rationale : objectif de la règle de conformité.- audit : audit de la règle de conformité.- remediation : remédiation de la règle de conformité.- require_sudo : nécessité des droits administrateur de la règle de conformité.- reference : référence dans le benchmark de la règle de conformité. | {{ compliance_rule.name }} ⇒ Ensure rsyslog service is enabled |
compliance_rules | Règles de conformité concernées. Les attributs sont les mêmes que compliance_rule . | {{ compliance_rules | map: 'code' | join: ', ' }} ⇒ CIS-AWS-1.4, CIS-AWS-1.20 |
security_issue | Défaut de sécurité concerné, pour les contextes où il n’y en a qu’un seul. Attributs : - sid : référence du défaut de sécurité.- title : nom du défaut de sécurité.- description : description du défaut de sécurité. | {{ security_issue.title }} ⇒ TAA - TSX Asynchronous Abort |
security_issues | Défauts de sécurité concernés. Les attributs sont les mêmes que security_issue . | {{ security_issues | map: 'sid' | join: ', ' }} ⇒ WSTG-INPV-17, WSTG-ATHN-10 |
host | Actif découvert concerné, pour les contextes où il n’y en a qu’un seul. Attributs : - hostname : nom de l’hôte de l’actif découvert. | {{ host.hostname }} ⇒ bar.example.com |
hosts | Actifs découverts concernés. Les attributs sont les mêmes que host . | {{ hosts | map: 'hostname' | join: ', ' }} ⇒ bar.example.com, foo.example.com |
En plus des filtres par défaut, le filtre json
permet de formater une donnée en JSON. Il est par conséquent possible d’envoyer une liste de CVE à une API avec le corps : { "cves": {{ cves | json }} }
. La liste des CVE apparaitra alors comme un tableau JSON, par exemple { "cves": [{ "code": "CVE-2023-0001" }, { "code": "CVE-2023-0002" }] }
.
Les variables Cyberwatch d’alerte suivantes sont disponibles :
Variable | Description |
---|---|
alert_name | Nom de l’alerte ayant déclenché l’intégration |
manage_link | Lien vers la page d’édition de l’alerte |
node_name | Nom de l’instance sur laquelle l’alerte a été déclenchée |
node_url | Lien vers l’instance sur laquelle l’alerte a été déclenchée |
host | Dans le cas d’une découverte, nom de domaine de l’actif découvert |
hosts | Dans le cas d’une découverte, liste des noms de domaines des actifs découverts |
Variables disponibles par emplacement de déclencheur
Détail d’un actif
Emplacement de déclencheur | Variables disponibles |
---|---|
Onglet Vulnérabilités | asset , assets , cve , cves |
Onglet Gestion des correctifs | asset , assets , cve , cves , technology , technologies |
Onglet Conformité | asset , assets , technology , technologies |
Onglet Défauts de sécurité | asset , assets , security_issue , security_issues |
Encyclopédies
Emplacement de déclencheur | Variables disponibles |
---|---|
Vulnérabilités | asset , assets , cve , cves |
Règles de conformité | asset , assets , compliance_rule , compliance_rules |
Défauts de sécurité | asset , assets , security_issue , security_issues |
Action correctives | asset , assets , technology , technologies |
Inventaire | asset , assets |
Détails
Emplacement de déclencheur | Variables disponibles |
---|---|
Détails d’une vulnérabilité | asset , assets , cve , cves |
Détails d’une règle de conformité | asset , assets , compliance_rule , compliance_rules |
Détails d’un défaut de sécurité | asset , assets , security_issue , security_issues |
Détails d’une action corrective | asset , assets , cve , cves , technology , technologies |
Édition d’une Intégration
- Cliquer sur Administration
- Cliquer sur Intégrations
- Cliquer sur le bouton d’édition (icône de crayon) correspondant à l’intégration à éditer
- Modifier les champs souhaités dans le formulaire. Les champs sont complétés avec les valeurs de l’intégration éditée
- Sauvegarder
Suppression d’une Intégration
- Cliquer sur Administration
- Cliquer sur Intégrations
- Cliquer sur le bouton de suppression (icône de corbeille) correspondant à l’intégration à supprimer
- Valider en cliquant sur le bouton « OK » de l’alerte de confirmation
Tester une intégration
- Cliquer sur Administration
- Cliquer sur Intégrations
- Cliquer sur le bouton de test (icône de flèche) correspondant à l’intégration à tester
- Vérifier qu’une modale contenant l’état de la réponse apparaît, attestant de la connexion avec le serveur
Utilisation d’une intégration
Les intégrations sont utilisables à différents emplacements selon le choix qui est fait dans le formulaire de création/édition :
Inventaire
- Cliquer sur Inventaire
- Sélectionner les actifs à envoyer
- Cliquer sur le bouton
Actions groupées
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Détails d’un actif - Onglet Vulnérabilités
- Cliquer sur Inventaire
- Cliquer sur le nom de l’actif pour lequel envoyer les données
- Cliquer sur l’onglet
Vulnérabilités
- Sélectionner les vulnérabilités à envoyer
- Cliquer sur la flèche à droite du bouton
Ignorer
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Détails d’un actif - Onglet Gestion des correctifs
- Cliquer sur Inventaire
- Cliquer sur le nom de l’actif pour lequel envoyer les données
- Cliquer sur l’onglet
Gestion des correctifs
- Sélectionner les correctifs à envoyer
- Cliquer sur la flèche à droite du bouton
Planifier les correctifs sélectionnés
(ou sur le boutonEnvoyer la sélection
dans le cas d’un actif en mode « scan uniquement ») - Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Détails d’un actif - Onglet Conformité
- Cliquer sur Inventaire
- Cliquer sur le nom de l’actif pour lequel envoyer les données
- Cliquer sur l’onglet
Conformité
- Sélectionner les règles de conformité à envoyer
- Cliquer sur la flèche à droite du bouton
Envoyer la sélection
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Détails d’un actif - Onglet Défauts de sécurité
- Cliquer sur Inventaire
- Cliquer sur le nom de l’actif pour lequel envoyer les données
- Cliquer sur l’onglet
Défauts de sécurité
- Sélectionner les défauts de sécurité à envoyer
- Cliquer sur la flèche à droite du bouton
Ignorer
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Encyclopédie des vulnérabilités
- Cliquer sur Vulnérabilités
- Sélectionner les vulnérabilités à envoyer
- Cliquer sur le bouton
Actions groupées
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Détails d’une vulnérabilité
- Cliquer sur Vulnérabilités
- Cliquer sur une référence CVE dans l’encyclopédie pour se rendre dans la fiche de la CVE
- Sélectionner les actifs à envoyer
- Cliquer sur la flèche à droite du bouton
Ignorer et commenter
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Encyclopédie des règles de conformité
- Cliquer sur Règles de conformité
- Sélectionner les règles de conformité à envoyer
- Cliquer sur le bouton
Actions groupées
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Détails d’une règle de conformité
- Cliquer sur Règles de conformité
- Cliquer sur une référence de règle de conformité pour se rendre dans la fiche de la règle de conformité
- Sélectionner les actifs à envoyer
- Cliquer sur la flèche à droite du bouton
Contrôler les actifs
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Encyclopédie des défauts de sécurité
- Cliquer sur Défauts de sécurité
- Sélectionner les défauts de sécurité à envoyer
- Cliquer sur le bouton
Actions groupées
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Détails d’un défaut de sécurité
- Cliquer sur Défauts de sécurité
- Cliquer sur une référence de défaut de sécurité pour se rendre dans la fiche du défaut de sécurité
- Sélectionner les actifs à envoyer
- Cliquer sur la flèche à droite du bouton
Ignorer
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Actions correctives
- Cliquer sur Actions correctives
- Sélectionner les actions correctives à envoyer
- Cliquer sur le bouton
Actions groupées
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite
Détails d’une action corrective
- Cliquer sur Défauts de sécurité
- Cliquer sur une référence de défaut de sécurité pour se rendre dans la fiche du défaut de sécurité
- Sélectionner les actifs à envoyer
- Cliquer sur la flèche à droite du bouton
Déployer
- Cliquer sur le nom de l’intégration dans le menu déroulant
- Vérifier l’état de la réponse dans la notification en haut à droite