Documentation technique des index Elasticsearch

Cyberwatch embarque un module Elasticsearch et Kibana pour faciliter l’analyse et la visualisation des données générées par le logiciel.

Cyberwatch publie quotidiennement ses données dans les index Elasticsearch décrits ci-dessous. Ces données sont utilisées pour effectuer des requêtes ou produire des visualisations dans Kibana.

Les mêmes données sont également disponibles sous forme d’exports JSON.

Contenu de l’index computers

L’index computers représente la liste des actifs supervisés, avec pour chacun les informations suivantes :

ChampTypeDescriptionExemples de valeurs possibles
_idEntierId de l'actif dans Cyberwatch388
agent_versionTexteVersion de l'agent utilisée pour la supervision en cas de supervision avec agent. Vide pour les connections sans agent4.2
compliance_rules_countEntierNombre de règles de conformités affectées à l'actif72
compliance_rules_failed_countEntierNombre de règles de conformités échouées affectées à l'actif32
compliance_rules_succeed_countEntierNombre de règles de conformités réussis affectées à l'actif40
computer_categoryTexteDifférencie la catégorie des actifsserver, desktop, hypervisor, network_device...
computer_descriptionTexteDescription de l'actif telle que définie dans CyberwatchServeur de production pour la plate-forme de ticketing
computer_environmentTexteCriticité de l'actif telle que définie dans CyberwatchMedium
computer_nameTexteHostname de l'actifserver01
computer_osTexteClé unique du système d'exploitationdebian_9_64, windows_2008...
computer_os_archTexteArchitecture du système d'exploitationAMD64, x86_64, i3686...
computer_os_buildTexteVersion du noyau du système d'exploitation
computer_os_nameTexteNom du système d'exploitationDebian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard...
computer_statusTexteÉtat global de l'actif pour Cyberwatchserver_vulnerable, server_compliant...
computer_status_complianceTexteÉtat de l'actif vis à vis du module conformités de Cyberwatchcbw_compliance_server_compliant, cbw_compliance_server_not_compliant...
created_atDateDate de création de l'actif dans Cyberwatch01/01/2018
critical_cve_announcements_countEntierNombre de vulnérabilités prioritaires pour l'actif0
cve_announcements_countEntierNombre de vulnérabilités actives sur l'actif0
groupsTableau d'éléments de type texteListes des groupes de l'actifproduction, Paris
has_exploitsBooléenIndique la présence d'une vulnérabilités pour laquelle Cyberwatch a détecté un exploit publictrue
hostTexteNom de domaine ou adresse IP de l'actifserver01.example.com, 192.168.0.1...
last_communicationDateDernière communication de l'actif avec Cyberwatch07/08/18
max_cve_epssFlottantScore EPSS maximal d'une vulnérabilité détectée sur cet actif0.93672
max_cve_levelTexteNiveau maximal d'une vulnérabilité détectée sur cet actiflevel_medium
need_rebootBooléenIndique la nécessité pour l'actif de redémarrertrue
repositoriesTableau d'éléments textuelsRéférentiels associés à l'actifCIS_Benchmark, CIS_Benchmark_level_1
remote_ipTexteIP de l'actif192.168.0.1
scan_onlyBooléenIndique que l'actif est en mode supervision uniquementfalse
updated_atDateDernière mise à jour de l'actif07/08/18
updates_countEntierNombre de correctifs proposés22

Contenu de l’index computers_cves

L’index computers_cves représente la liste des couples actifs/vulnérabilités avec pour chacun les informations suivantes :

ChampTypeDescriptionExemples de valeurs possibles
_idEntierId du couple Actif/vulnérabilité dans Cyberwatch5153
activeBooléenIndique si la vulnérabilité est actuellement présente sur l'actiftrue
certfr_exploit_added_atDateDate d'ajout dans le CERTFR-ALE01/01/2018
cisa_exploit_added_atDateDate d'ajout dans le CISA KEV01/01/2018
computer_categoryTexteDifférencie la catégorie des actifsserver, desktop, hypervisor, network_device...
computer_descriptionTexteDescription de l'actif telle que définie dans CyberwatchServeur de production pour la plate-forme de ticketing
computer_environmentTexteCriticité de l'actif telle que définie dans CyberwatchMedium
computer_idEntierId de l'actif dans Cyberwatch255
computer_nameTexteHostname de l'actifserver01
computer_osTexteClé unique du système d'exploitationdebian_9_64, windows_2008...
computer_os_archTexteArchitecture du système d'exploitationAMD64, x86_64, i3686...
computer_os_buildTexteVersion du noyau du système d'exploitation
computer_os_nameTexteNom du système d'exploitationDebian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard...
created_atDateCréation dans Cyberwatch01/01/2018
criticalBooléenIndique que la vulnérabilité est prioritaire pour l'actiffalse
cve_codeTexteIdentifiant unique de la vulnérabilitéCVE-2016-6321
cve_epssFlottantScore EPSS de la vulnérabilité0.93672
cve_levelTexteNiveau de sévérité de la vulnérabilité telle que configurée dans Cyberwatchmedium
cve_published_atDatePublication de la CVE07/08/18
cve_scoreFlottantScore de sévérité de la vulnérabilité7.6
environmental_scoreFlottantScore contextuel de la vulnérabilité7.6
cve_statusTexteÉtat de la vulnérabilité sur l'actif concernéactive, active_with_exploits, fixed, ignored
cvss_v3_access_complexityTexteMétrique d'exploitabilité de la vulnérabilité : complexité d'accèsaccess_complexity_medium
cvss_v3_access_vectorTexteMétrique d'exploitabilité de la vulnérabilité : vecteur d'accèsaccess_vector_network
cvss_v3_availability_impactTexteMétrique d'impact de la vulnérabilité : disponibilitéavailability_impact_partial
cvss_v3_confidentiality_impactTexteMétrique d'impact de la vulnérabilité : confidentialitéconfidentiality_impact_partial
cvss_v3_integrity_impactTexteMétrique d'impact de la vulnérabilité : intégritéintegrity_impact_partial
cvss_v3_privileges_requiredTexteMétrique d'exploitabilité de la vulnérabilité : privilège requisprivileges_required_none
cvss_v3_scopeTexteMétrique d'exploitabilité de la vulnérabilité : portéescope_unchanged
cvss_v3_user_interactionTexteMétrique d'exploitabilité de la vulnérabilité : interaction utilisateuruser_interaction_required
exploit_code_maturityTexteNiveau de maturité des exploits publics disponibles pour la vulnérabilitéfunctional
fixed_atDateDate de correction de la vulnérabilité sur l'actif07/08/18
groupsTableau d'éléments de type texteListes des groupes de l'actifproduction, Paris
ignoredBooléenIndique que la vulnérabilité a été ignorée sur l'actiffalse
most_regularly_used_cveBooléenIndique que la vulnérabilité fait partie des plus utilisées sur Internet7.6
ssvc_decisionTexteDécision SSVC selon les critères du CISATrack
updated_atDateDernière mise à jour07/08/18

Contenu de l’index computers_groups

L’index computers_groups représente la liste des couples groupes/actifs avec pour chacun les informations suivantes :

ChampTypeDescriptionExemples de valeurs possibles
_idEntierId du groupe dans Cyberwatch15
average_exploitable_vulnsEntierNombre moyen de vulnérabilités avec exploits publics sur chaque actif du groupe58
average_high_vulnsEntierNombre moyen de vulnérabilités de sévérité élevée sur chaque actif du groupe63
average_low_or_med_vulnsEntierNombre moyen de vulnérabilités de sévérité basse ou moyenne sur chaque actif du groupe85
computers_countEntierNombre d'actifs dans le groupe73
groupsTexteNom du groupeadmin_group

Contenu de l’index computers_security_issues

L’index computers_security_issues liste toutes les occurrences de défauts de sécurité du parc informatique. Chaque entrée correspond à un défaut de sécurité détecté sur un actif précis, donc si le même défaut de sécurité est présent sur 3 actifs, il sera représenté 3 fois dans l’index.

ChampTypeDescriptionExemples de valeurs possibles
_idEntierID de l’occurrence du défaut de sécurité.123
computer_categoryTexteCatégorie l’actif affecté.server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device
computer_descriptionTexteDescription utilisateur de l’actif affecté.
computer_environmentTexteCriticité l’actif affecté.low, medium, high
computer_idEntierID de l’actif affecté.80
computer_nameTexteNom de l’actif affecté.DESKTOP-1234
computer_osTexteClé unique du système d'exploitationubuntu_2104_64, windows_10_21h1_64
computer_os_archTexteArchitecture du système d'exploitationi386, x86, x86_64, AMD64
computer_os_buildTexteVersion du noyau du système d'exploitation
computer_os_nameTexteNom du système d'exploitationUbuntu 21.04, Microsoft Windows 10
created_atDateDate de première détection du défaut de sécurité.
groupsTableau d'éléments de type texteListes des groupes de l'actif.production, Paris
payloadTexteContenu de la charge utile.X-Frame-Options is not set
security_issue_codeTexteRéférence du type de défaut de sécurité.WSTG-INPV-01
security_issue_levelTexteSévérité du défaut de sécurité.info, low, medium, high, critical
security_issue_titleTexteDénomination du défaut de sécurité.HTTP Strict Transport Security
statusTexteÉtat du défaut de sécurité.active, fixed, ignored
updated_atDateDate de dernière mise à jour du défaut de sécurité.

Contenu de l’index cve_announcements

L’index cve_announcements représente la liste des vulnérabilités ayant été détectées par Cyberwatch avec pour chacune les informations suivantes :

ChampTypeDescriptionExemples de valeurs possibles
_idEntierId de la vulnérabilité dans Cyberwatch102783
certfr_exploit_added_atDateDate d'ajout dans le CERTFR-ALE01/01/2018
cisa_exploit_added_atDateDate d'ajout dans le CISA KEV01/01/2018
computers_countEntierNombre d'actifs affectés1
cve_codeTexteIdentifiant unique de la vulnérabilitéCVE-2016-6321
cve_levelTexteNiveau de sévérité de la vulnérabilité telle que configuré dans Cyberwatchlevel_medium
cve_published_atDateDate de publication de la CVE07/08/18
cve_scoreFlottantScore de sévérité de la vulnérabilité7.6
cvss_v3_access_complexityTexteMétrique d'exploitabilité de la vulnérabilité : complexité d'accèsaccess_complexity_medium
cvss_v3_access_vectorTexteMétrique d'exploitabilité de la vulnérabilité : vecteur d'accèsaccess_vector_network
cvss_v3_availability_impactTexteMétrique d'impact de la vulnérabilité : disponibilitéavailability_impact_partial
cvss_v3_confidentiality_impactTexteMétrique d'impact de la vulnérabilité : confidentialitéconfidentiality_impact_partial
cvss_v3_integrity_impactTexteMétrique d'impact de la vulnérabilité : intégritéintegrity_impact_partial
cvss_v3_privileges_requiredTexteMétrique d'exploitabilité de la vulnérabilité : privilège requisprivileges_required_none
cvss_v3_scopeTexteMétrique d'exploitabilité de la vulnérabilité : portéescope_unchanged
cvss_v3_user_interactionTexteMétrique d'exploitabilité de la vulnérabilité : interaction utilisateuruser_interaction_required
cwe_codeTexteCode CWE de la vulnérabilitéCWE-327
attack_patternsTableau d'éléments de type texteListe des modèles d'attaque[CAPEC-10, CAPEC-101]
attack_techniquesTableau d'éléments de type texteListe des techniques d'attaque[T1027, T1539]
epssFlottantScore EPSS de la vulnérabilité0.93672
exploit_code_maturityTexteNiveau de maturité des exploits publics disponibles pour la vulnérabilitéfunctional
first_detected_atDateDate de première détection01/01/18
last_modifiedDateDate de dernière modification20/07/23

Contenu de l’index rules_server

L’index rules_server représente la liste des couples actifs/règles avec pour chacun les informations suivantes :

ChampTypeDescriptionExemples de valeurs possibles
_idEntierId du couple Actif/Règle dans Cyberwatch73
computer_categoryTexteDifférencie les postes de travails des serveursserver, desktop
computer_descriptionTexteDescription de l'actif telle que définie dans CyberwatchServeur de production pour la plate-forme de ticketing
computer_environmentTexteCriticité de l'actif telle que définie dans CyberwatchMedium
computers_groupsTableau d'éléments de type texteListes des groupes de l'actifproduction, Paris
computer_idEntierId de l'actif255
computer_nameTexteHostname de l'actifserver01
computer_osTexteClé unique du système d'exploitationdebian_9_64, windows_2008...
computer_os_archTexteArchitecture du système d'exploitationAMD64, x86_64, i3686...
computer_os_buildTexteVersion du noyau du système d'exploitation
computer_os_nameTexteNom du système d'exploitationDebian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard...
created_atDateDate d'affectation de la règle à l'actif sur Cyberwatch20/03/2019
repositoriesTableau d'éléments textuelsRéférentiels associés à la règle tels que définis dans CyberwatchCIS_Benchmark, CIS_Benchmark_level_1
rule_codeTexteCode de la règle dans l'Encyclopédie des Règles sur Cyberwatchlinux-007
rule_levelTexteNiveau de la règle de conformitéminimal, medium...
statusTexteÉtat de la règle sur l'actifcbw_compliance_script_success, cbw_compliance_script_failed...
updated_atDateDernière mise à jour de la règle26/03/21

Contenu de l’index computers_packages

L’index computers_packages liste toutes les occurrences de technologies du parc informatique. Chaque entrée correspond à une technologie détectée sur un actif précis, donc si la même technologie est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.

ChampTypeDescriptionExemples de valeurs possibles
idEntierID de l’occurrence de la technologie.123
computer_categoryTexteCatégorie l’actif affecté.server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device
computer_descriptionTexteDescription utilisateur de l’actif affecté.
computer_environmentTexteCriticité l’actif affecté.low, medium, high
computer_idEntierID de l’actif affecté.80
computer_nameTexteNom de l’actif affecté.DESKTOP-1234
computer_osTexteClé unique du système d'exploitationubuntu_2104_64, windows_10_21h1_64
computer_os_archTexteArchitecture du système d'exploitationi386, x86, x86_64, AMD64
computer_os_buildTexteVersion du noyau du système d'exploitation
computer_os_nameTexteNom du système d'exploitationUbuntu 21.04, Microsoft Windows 10
computer_os_typeTexteType du système d'exploitationLinux, Windows
groupsTableau d'éléments de type texteListes des groupes de l'actif.production, Paris
package_vendorTexteFournisseur de la technologie.Mozilla
package_productTexteNom de la technologie.Firefox
package_versionTexteVersion de la technologie.66.0.3
package_typeTexteType de la technologieApplication
package_eolDateDate de fin de vie de la technologie.
package_detected_atDateDate de première détection de la technologie.
package_updated_atDateDate de dernière détection de la technologie.

Contenu de l’index computers_metadata

L’index computers_metadata liste toutes les occurrences de métadonnées du parc informatique. Chaque entrée correspond à une métadonnée détectée sur un actif précis, donc si la même métadonnée est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.

ChampTypeDescriptionExemples de valeurs possibles
idEntierID de l’occurrence de la métadonnée.123
computer_categoryTexteCatégorie l’actif affecté.server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device
computer_descriptionTexteDescription utilisateur de l’actif affecté.
computer_environmentTexteCriticité l’actif affecté.low, medium, high
computer_idEntierID de l’actif affecté.80
computer_nameTexteNom de l’actif affecté.DESKTOP-1234
computer_osTexteClé unique du système d'exploitationubuntu_2104_64, windows_10_21h1_64
computer_os_archTexteArchitecture du système d'exploitationi386, x86, x86_64, AMD64
computer_os_buildTexteVersion du noyau du système d'exploitation
computer_os_nameTexteNom du système d'exploitationUbuntu 21.04, Microsoft Windows 10
computer_os_typeTexteType du système d'exploitationLinux, Windows
groupsTableau d'éléments de type texteListes des groupes de l'actif.production, Paris
metadatum_keyTexteClé de la métadonnée.processor-version
metadatum_valueTexteValeur de la métadonnée.Intel(R) Core(TM) i7-10700 CPU @ 2.90GHz

Contenu de l’index computers_updates

L’index computers_updates liste toutes les mises à jour disponibles du parc informatique. Chaque entrée correspond à une mise à jour d’un actif précis, donc si celle-ci est présente sur 3 actifs, elle sera représentée 3 fois dans l’index.

ChampTypeDescriptionExemples de valeurs possibles
idEntierID de la mise à jour.123
computer_categoryTexteCatégorie de l'actif affecté.server, desktop, hypervisor, network_device, network_target_or_website, docker_image, industrial_device, ...
computer_environmentTexteCriticité de l'actif telle que définie dans Cyberwatch.low, medium, high, ...
computer_idEntierId de l'actif dans Cyberwatch.80
computer_nameTexteHostname de l'actif.DESKTOP-1234
computer_osTexteClé unique du système d'exploitationubuntu_2104_64, windows_10_21h1_64
computer_os_archTexteArchitecture du système d'exploitationi386, x86, x86_64, AMD64
computer_os_buildTexteVersion du noyau du système d'exploitation
computer_os_nameTexteNom du système d'exploitationUbuntu 21.04, Microsoft Windows 10
computer_os_typeTexteType du système d'exploitationLinux, Windows
critical_cve_announcements_countEntierNombre de vulnérabilités prioritaires corrigées0, 1, 2, 3 ...
cve_announcements_countEntierNombre de vulnérabilités corrigées0, 1, 2, 3 ...
cve_codeTableau d'éléments de type texteListe des identifiants uniques des vulnérabilités corrigées["CVE-2019-0759", "CVE-2019-0836"]
groupsTableau d'éléments de type texteListes des groupes de l'actifproduction, Paris
max_cve_epssFlottantScore EPSS maximum des vulnérabilités corrigées0.93672
max_cve_levelTexteNiveau de sévérité maximum des vulnérabilités corrigéeslevel_medium
max_cve_scoreFlottantScore de sévérité maximum des vulnérabilités corrigées.9.8
max_exploit_code_maturityTexteMaturité maximum des exploits publics disponibles des vulnérabilités corrigéesunproven, high, proof_of_concept
update_current.productTexteNom de la technologie actuelle
update_current.vendorTexteFournisseur de la technologie actuelleelastic, cisco
update_current.versionTexteVersion de la technologie actuelle7.0.27-0+deb9u1
update_ignoredBooléenLa mise a jour est elle ignorée sur l'actifFalse
update_patchableBooléenLa mise a jour est elle patchableTrue
update_target.productTexteNom de la technologie ciblecurl.x86_64
update_target.vendorTexteFournisseur de la technologie cibleelastic, cisco
update_target.versionTexteVersion de la technologie cible7.0.27-0+deb9u1
update_typeTexteType de la mise à jourDEB, RPM, ...

Contenu de l’index computers_ports

L’index computers_ports liste toutes les informations relatives aux ports disponibles du parc informatique. Chaque entrée correspond à un port précis, donc si celui-ci est présent sur 3 actifs, il sera représenté 3 fois dans l’index.

ChampTypeDescriptionExemples de valeurs possibles
computer_categoryTexteDifférencie la catégorie des actifsserver, desktop, hypervisor, network_device...
computer_descriptionTexteDescription de l'actif telle que définie dans CyberwatchServeur de production pour la plate-forme de ticketing
computer_environmentTexteCriticité de l'actif telle que définie dans CyberwatchMedium
computer_idEntierId de l'actif dans Cyberwatch255
computer_nameTexteHostname de l'actifserver01
computer_osTexteClé unique du système d'exploitationdebian_9_64, windows_2008...
computer_os_archTexteArchitecture du système d'exploitationAMD64, x86_64, i3686...
computer_os_buildTexteVersion du noyau du système d'exploitation
computer_os_nameTexteNom du système d'exploitationDebian GNU/Linux 9 (stretch), Microsoft® Windows Server® 2008 Standard...
created_atDateDate de création de l'actif dans Cyberwatch01/01/2018
groupsTableau d'éléments de type texteListes des groupes de l'actifproduction, Paris
port_numberEntierNuméro du port80, 443
port_productTexteNom du service exploitant le portopenssh-server, apache2-bin
port_protocolTexteProtocole utilisé par le portUDP, TCP
port_vendorTexteNom du fabriquant derrière le service exploitant le portsap
port_versionTexteVersion du service utilisant le port4.4.1-2.3ubuntu2.3

Retour en haut