Effectuer une recherche

Cyberwatch vous permet de filtrer des informations en fonction de plusieurs critères.

Il est possible de définir des couples sous la forme mot-clé:valeur qui seront utilisés pour filtrer les résultats avant de les afficher.

Cyberwatch compare la valeur des filtres avec les informations contenues dans la base de données via ‘SQL Like’. Toute chaîne contenant la valeur recherchée est retenue. Ainsi une recherche sur « cve:2019 » retournera toutes les CVE dont le code CVE contient « 2019 », c’est-à-dire CVE-2019-0001 mais aussi CVE-2017-2019.

Rechercher un actif

La barre de recherche présente dans le coin supérieur droit vous permet de visualiser une liste d’actifs en fonction des caractères contenus dans leur nom.

Lorsque la recherche ne retourne qu’un résultat, elle redirige vers la page contenant les détails de l’actif concerné. Lorsque plusieurs actifs peuvent correspondre au critère, la recherche redirige vers la liste des actifs concernés.

Rechercher des actifs depuis le Tableau de bord

Cliquer sur l’onglet Tableau de bord.

Une recherche sans mot-clé filtre les résultats en fonction du hostname.

La barre de recherche propose une autocomplétion des mots-clés utilisables.

Voici l’ensemble des mots-clés disponibles :

  • Groupe : permet de filtrer les actifs en fonction du nom du groupe dont ils font partie
  • Criticité : permet de filtrer les actifs selon la criticité qui leur est attribuée
  • Catégorie : permet de filtrer les actifs selon leur catégorie
  • Découverte : permet de filtrer les actifs qui appartiennent à une découverte
  • État d’analyse : permet de filtrer les actifs selon leur état d’analyse (analyse planifiée / analyse non planifiée)
  • Mode de scan : permet de filter les actifs selon leur mode de scan ou connecteur
  • État de communication : permet de filter les actifs selon leur état de communication avec Cyberwatch (perte de communication / communicants)
  • Défaut de sécurité : permet de filtrer les actifs affectés par un défaut de sécurité
  • Exploit public:Disponible : permet de filtrer les actifs qui ont au moins une CVE avec un exploit public disponible
  • Politique d’analyse : permet de filtrer les actifs selon la politique d’analyse qui leur est affectée
  • Référentiel : permet de filtrer les actifs selon les référentiels de conformité qui leurs sont affectés
  • Nom de règle : permet de filter les actifs sur lesquels a été vérifiée la règle de conformité sélectionnée par son nom
  • Référence de règle : permet de filter les actifs sur lesquels a été vérifiée la règle de conformité sélectionnée par sa référence
  • Application:nom[:version] : permet de filtrer les actifs en fonction du nom et de la version d’une application détectée sur l’actif (le champ version est facultatif)
  • Port : permet de filtrer les actifs en fonction des ports ouverts remontés par les scans
  • Métadonnée:clé[:valeur] : permet de filtrer les actifs en fonction de la clé et de la valeur d’une métadonnée détectée sur l’actif (le champ valeur est facultatif)
  • Service:nom:état : permet de filtrer les actifs en fonction des services détectés
  • Adresse : permet de filtrer les actifs en fonction de leurs adresses réseau (nécessite une adresse IP complète)
  • Plage d’adresses IP : permet de filtrer les actifs avec une adresse IP appartenant à la plage d’adresses IP (nécessite une plage d’adresses IP au format 127.0.0.0/8)
  • Système d’exploitation : permet de filtrer les actifs en fonction de leur système d’exploitation
  • Politique de déploiement : permet de filtrer les actifs en fonction de la politique de déploiement qui leur est affectée
  • Politique de redémarrage : permet de filtrer les actifs en fonction de la politique de redémarrage qui leur est affectée
  • Exclusion automatique : permet de filtrer les actifs en fonction de la politique d’exclusion automatique qui leur est affectée
  • État des correctifs : permet de filtrer les actifs en fonction de l’état de planification de leurs correctifs (correctifs planifiés / correctifs non planifiés)
  • État de redémarrage : permet de filtrer les actifs en fonction de leur nécessité de redémarrer ou non (redémarrage nécessaire / pas de redémarrage nécessaire)

Pour obtenir la liste des actifs, du groupe server_asia, ayant le package apache version 2.1 installé, le port 80 détecté comme ouvert et dont le hostname contient « dsi », sélectionner dans la barre de recherche les mots clés de cette façon :

dsi Groupe:server_asia Application:apache:2.1 Port:80

Rechercher des actifs depuis l’Inventaire

Les recherches qui peuvent être effectuées sur l’inventaire des actifs sont très similaires à celles faisable depuis le Tableau de bord.

La barre de recherche de l’inventaire propose cependant des mots clés supplémentaires et maintient le fonctionnement des anciens mots clés historiquement utilisés dans l’application.

Voici l’ensemble des mots clés proposés en autocomplétion par la barre de recherche permettant de limiter l’affichage des actifs :

  • Groupe : permet d’afficher les actifs en fonction du nom du groupe dont ils font partie

Des filtres combinatoires sont possibles avec le mot-clé Groupe. En sélectionnant le filtre Groupe, des opérateurs sont mis à disposition :

  • || : permet d’afficher les actifs possédant au moins un des groupes précisés
  • = : permet d’afficher les actifs possédant au moins tous les groupes précisés
  • != : permet d’afficher les actifs ne possédant pas les groupes précisés

Par exemple, cette recherche :

(Groupe || Windows) (Groupe || Ubuntu) (Groupe = Admin) (Groupe = Web) (Groupe != Up_To_Date)

affichera les actifs qui ont nécessairement les groupes Admin et Web, qui ont au moins le groupe Windows ou Ubuntu mais qui n’ont pas le groupe Up_To_Date.

  • Criticité : permet d’afficher les actifs selon la criticité qui leur est attribuée
  • Catégorie : permet d’afficher les actifs selon leur catégorie
  • Découverte : permet de filtrer les actifs qui appartiennent à une découverte
  • État d’analyse : permet d’afficher les actifs selon leur état d’analyse (analyse planifiée / analyse non planifiée)
  • Mode de scan : permet d’afficher les actifs selon leur mode de scan ou connecteur
  • État de communication : permet d’afficher les actifs selon leur état de communication avec Cyberwatch (perte de communication / communicants)
  • Défaut de sécurité : permet d’afficher les actifs affectés par un défaut de sécurité
  • Exploit public:Disponible : permet d’afficher les actifs qui ont au moins une CVE avec un exploit public disponible
  • Politique d’analyse : permet d’afficher les actifs selon la politique d’analyse qui leur est affectée
  • CVE : permet d’afficher les actifs sur lesquels la CVE sélectionnée a été détectée
  • État des vulnérabilités : permet d’afficher les actifs en fonction de la présence de vulnérabilités (vulnérabilités présentes / vulnérabilités prioritaires / sans CVE détectées)
  • Référentiel : permet d’afficher les actifs selon les référentiels de conformité qui leurs sont affectés
  • Nom de règle : permet d’afficher les actifs sur lesquels a été vérifiée la règle de conformité sélectionnée par son nom
  • Référence de règle : permet d’afficher les actifs sur lesquels a été vérifiée la règle de conformité sélectionnée par sa référence
  • Application:nom[:version] : permet d’afficher les actifs en fonction du nom et de la version d’une application détectée sur l’actif (le champ version est facultatif)
  • Port : permet d’afficher les actifs en fonction des ports ouverts remontés par les scans
  • Métadonnée:clé[:valeur] : permet d’afficher les actifs en fonction de la clé et de la valeur d’une métadonnée détectée sur l’actif (le champ valeur est facultatif)
  • Service:nom:état : permet d’afficher les actifs en fonction du nom services détectés et de leur état (le champ état est facultatif)
  • Adresse : permet d’afficher les actifs en fonction de leurs adresses réseau (nécessite une adresse IP complète, il n’est pas possible de rechercher par plage d’IP)
  • Système d’exploitation : permet d’afficher les actifs en fonction de leur système d’exploitation
  • Politique de déploiement : permet d’afficher les actifs en fonction de la politique de déploiement qui leur est affectée
  • Politique de redémarrage : permet d’afficher les actifs en fonction de la politique de redémarrage qui leur est affectée
  • Exclusion automatique : permet d’afficher les actifs en fonction de la politique d’exclusion automatique qui leur est affectée
  • État des correctifs : permet d’afficher les actifs en fonction de l’état de planification de leurs correctifs (correctifs planifiés / correctifs non planifiés)
  • État de redémarrage : permet d’afficher les actifs en fonction de leur nécessité de redémarrer ou non (redémarrage nécessaire / pas de redémarrage nécessaire)

Voici les mots clés historiquement utilisés et toujours maintenus à la date de rédaction de cette documentation :

  • target_package:nom:version : permet d’afficher les actifs en fonction du nom et de la version d’un correctif à installer

Ces mots clés doivent être tapés entièrement dans la barre de recherche, aucune autocomplétion n’est proposée.

Rechercher depuis la page d’un actif

Rechercher des vulnérabilités

Depuis l’onglet Vulnérabilités de la fiche d’un actif, une recherche sans mot-clé filtre les résultats en fonction du code de la CVE.

Le mot-clé techno permet de filtrer les vulnérabilités affectant la même technologie.

Pour atteindre directement la CVE-2019-1365, taper dans la barre de recherche :

CVE-2019-1365

Pour visualiser la liste des CVEs dont le code contient « 2019 » et dont l’intitulé du correctif contient le terme « forticlient », taper dans la barre de recherche :

2019 techno:forticlient

Rechercher une application

Cette recherche se fait depuis l’onglet « Technologies » de la fiche d’un actif.

Pour visualiser la liste de toutes les applications java, taper dans la barre de recherche :

java

Rechercher des correctifs

Cette recherche se fait depuis l’onglet « Gestion des correctifs » de la fiche d’un actif.

Une recherche sans mot-clé filtre les résultats en fonction du nom de la technologie corrigée.

Le mot-clé cve permet de filtrer les correctifs en fonction d’une CVE qu’il corrige.

Pour atteindre les correctifs de la CVE 2019-1365, qui s’applique à la technologie « libsqlite », taper dans la barre de recherche :

libsqlite cve:2019-1365

Rechercher des métadonnées

Cette recherche se fait depuis l’onglet « Métadonnées » de la fiche d’un actif.

Une recherche sans mot-clé filtre les résultats en fonction de la clé de la métadonnée.

Le mot-clé « valeur » permet de filtrer les résultats en fonction de la valeur de la métadonnée recherchée.

Exemple, pour rechercher une version spécifique du bios, taper dans la barre de recherche :

bios-version valeur:6

Rechercher des services

Cette recherche se fait depuis l’onglet « Services » de la fiche d’un actif.

Une recherche sans mot-clé filtre les résultats en fonction du nom du service.

Le mot-clé « état » permet de filtrer les résultats en fonction du type de démarrage des services.

Exemple, pour rechercher le service de l’agent Cyberwatch avec un type de démarrage automatique, taper dans la barre de recherche :

CyberwatchService etat:auto

Rechercher des vulnérabilités dans l’encyclopédie

Les recherches depuis l’encyclopédie des vulnérabilités fonctionnent de la même manière que dans l’Inventaire.

Une recherche sans mot-clé filtre les résultats en fonction du nom de la CVE.

Voici l’ensemble des mots-clés disponibles proposés par autocomplétion :

  • Sévérité : permet de filtrer les vulnérabilités en fonction de leur sévérité
  • Niveau des exploits : permet de filtrer les vulnérabilités
  • Vecteur d’Attaque : permet de filtrer les vulnérabilités selon leurs vecteurs d’attaque (Physique / Local / Réseau adjacent / Réseau)
  • État : permet de filtrer selon l’état de présence des vulnérabilités sur les actifs (Vulnérabilités présentes / Vulnérabilités prioritaires)
  • Actif : permet de filtrer les vulnérabilités en fonction du nom d’un actif qu’elles affectent
  • CVE : permet de filtrer les vulnérabilités en fonction de leur code CVE
  • CWE : permet de filtrer les CVEs liées à une CWE
  • Groupe : permet de filtrer les vulnérabilités détectées comme présente sur les actifs du groupe spécifié (à utiliser avec le filtre État:Vulnérabilités présentes)
  • Technologie : permet de filtrer les vulnérabilités en fonction des technologies ou des technologies par fournisseur affectées
  • Technique d’attaque : permet de filtrer les CVEs liées à une technique d’attaque
  • Modèle d’attaque : permet de filtrer les CVEs liées à un modèle d’attaque (CAPEC)
  • Logiciel d’attaque : permet de filtrer les CVEs liées à un logiciel d’attaque
  • Référence : permet de filtrer les CVEs liées à une référence (plus de détails dans la section « Rechercher par référence » de cette page)
  • Catalogue : permet de filtrer les CVEs liées à un catalogue comme le CISA KEV par example
  • SSVC : permet de filtrer les CVE avec la décision SSVC spécifiée sur au moins actif

Pour afficher la liste des CVEs affectant les actifs dont les noms contiennent « win » et font partie du groupe « production », concernant SMB fourni par Microsoft et liés à un bulletin de sécurité dont le code contient « MS17-010 », sélectionner dans la barre de recherche :

Technologie:microsoft:server_message_block État:Vulnérabilités présentes Actif:win Groupe:production Référence:MS17-010

De la même manière que pour l’inventaire, certains mots-clés sont maintenus et peuvent encore être utilisés sans autocomplétion possible, les voici :

  • days_from:N : permet de filtrer les vulnérabilités qui ont été publiées il y a moins de N jours
  • days_to:N : permet de filtrer les vulnérabilités qui ont été publiées il y a plus de N jours

Rechercher par Référence

Le filtre Référence permet de chercher des CVEs selon l’identifiant des alertes de sécurité ou des références liées aux vulnérabilités.

Voici la liste des types d’identifiants d’alertes de sécurité possibles.

  • ADV : pour Microsoft Security Advisory (exemple : ADV200002)
  • ALAS : pour Amazon Linux AMI Security Advisory (exemple : ALAS-2020-1376)
  • APSB : Adobe Security Bulletin (exemple : APSB20-13)
  • ASA : pour Arch Linux (exemple : ASA-202005-7)
  • CESA : pour CentOS (exemple : CESA-2020:2050)
  • CERTA : pour ANSSI (exemple : CERTA-2013-AVI-198)
  • CERTFR : pour ANSSI (exemple : CERTFR-2020-AVI-338)
  • CISCO-SA : pour Cisco Security Advisory (exemple : cisco-sa-asr920-ABjcLmef)
  • CPU : pour Critical Patch Update advisory de Oracle (exemple : CPUApr2020_14)
  • DSA : pour Debian (exemple : DSA-4683-1)
  • DLA : pour Debian LTS (exemple : DLA-2233-1)
  • ELSA : pour Oracle (exemple : ELSA-2020-2103)
  • FG-IR : pour FortiGuard (exemple : FG-IR-18-230)
  • GPCON : pour Cisco (exemple : GPCON-551)
  • HT : pour Apple (exemple : HT211168)
  • HUAWEI-SA : pour Huawei (exemple : huawei-sa-20200415-01-oob)
  • ICSMA : pour CISA ICS (exemple : icsma-22-277-01)
  • MAU : pour Microsoft Auto Update (exemple : MAU)
  • MFSA : pour Mozilla (exemple : MFSA2020-15)
  • MS : pour Microsoft (exemple : MS16-148)
  • PAN : pour Cisco (exemple : PAN-100415)
  • PAN-SA : pour Palo Alto Network Security Advisories (exemple : PAN-SA-2019-0038)
  • PHSA : pour Photon OS (exemple : PHSA-2020-3.0-0089)
  • RHSA : pour Red Hat (exemple : RHSA-2020:2291)
  • SEVD : pour Schneider Electric (exemple : SEVD-2021-222-01)
  • SSA : pour Siemens (exemple : SSA-997732)
  • SUSE-SU : pour Suse Security Update (exemple : SUSE-SU-2020:1289)
  • USN : pour Ubuntu (exemple : USN-4371-1)
  • VDE : pour VDE (exemple : VDE-2021-001)
  • VMSA : pour VMware (exemple : VMSA-2020-0011_CVE-2020-3957)
  • VU# : pour Carnegie Mellon University (exemple : VU#914124)
  • ZDI : pour Zero Day Initiative Advisory Details (exemple : ZDI-20-675)

Pour lister toutes les vulnérabilités mentionnées dans des bulletins de sécurité émis par Arch Linux, sélectionner dans la barre de recherche :

Référence:ASA

Filtrer les actifs associés depuis la fiche d’une vulnérabilité

Ces recherches se font sur les actifs présents dans la section Actifs associés depuis la fiche d’une vulnérabilité.

Une recherche sans mot-clé permet de filtrer les actifs selon leur nom.

Cliquer sur « Encyclopédie de Vulnérabilités », puis cliquer sur le code d’une CVE.

Le mot-clé groupe permet de filtrer les actifs en fonction du nom du groupe spécifié.

Pour visualiser la liste de tout les actifs dont le nom contient le mot « srv_prd », taper dans la barre de recherche :

srv_prd

Rechercher depuis la liste des défauts de sécurité

Depuis la liste des défauts de sécurité, une recherche sans mot-clé affiche les défauts de sécurité dont la fiche contient la chaîne recherchée.

De la même manière que pour l’encyclopédie des vulnérabilités, la barre de recherche propose des mots-clés par autocomplétion :

  • Sévérité : permet de filtrer les défauts de sécurité en fonction de leur score de sévérité
  • État : permet d’afficher uniquement les défauts de sécurité présents
  • CVE : permet d’afficher les défauts de sécurité liés à une CVE
  • Technologie : permet d’afficher les défauts de sécurité liés à une technologie
  • Groupe : permet de filtrer les défauts de sécurité présents sur les actifs appartenant au groupe spécifié
  • Référence de règle : permet de filtrer les défauts de sécurité par leur référence, qui représente un champ unique permettant d’identifier un défaut de sécurité

Pour afficher la liste des défauts de sécurité dont le titre contient « POODLE », associés à la vulnérabilité « CVE-2014-3566 », sur les actifs faisant partie du groupe « production » et dont l’une des technologies impactée par les CVEs associées est « netbsd », sélectionner dans la barre de recherche :

POODLE CVE:CVE-2014-3566 Groupe:production Technologie:netbsd

Table of contents


Retour en haut