Integraciones

Es posible enviar los datos de Cyberwatch a un sistema externo mediante las Integraciones.

Creación de una Integración

Hacer clic en Administración
Hacer clic en Integraciones
Hacer clic en Añadir
Completar los campos del formulario de creación de integración:
- Modelo de integración:
  - Microsoft Teams - Información de activos es un modelo de configuración que permite enviar a su canal de Teams la información sobre las vulnerabilidades presentes en sus activos
  - Microsoft Teams - Información de vulnerabilidades es un modelo de configuración que permite enviar la información relacionada con las CVE
  - Microsoft Teams - Gestión de parches es un modelo de configuración que permite enviar la información sobre los parches a desplegar en sus activos
- Protocolo de la integración:
  - HTTP hook para enviar solicitudes HTTP rest
  - SMTP hook para enviar correos con la configuración SMTP definida en Administración > SMTP
- Nombre de la integración: nombre de la integración que se mostrara en las listas de seleccion de integraciones
- Ubicación del desencadenador: ubicación en la que sera posible encontrar la integración. Las ubicaciones disponibles son:
  - Inventario
  - Detalles de un activo - Pestaña Vulnerabilidades
  - Detalles de un activo - Pestaña Gestión de parches
  - Detalles de un activo - Pestaña Conformidad
  - Detalles de un activo - Pestaña Defectos de seguridad
  - Enciclopedia de vulnerabilidades
  - Enciclopedia de reglas de cumplimiento
  - Enciclopedia de defectos de seguridad
  - Acciones correctivas
  - Detalles de una vulnerabilidad
  - Detalles de una regla de cumplimiento
  - Detalles de un defecto de seguridad
  - Detalles de una acción correctiva
  - Ninguno: concierne a las integraciones disponibles solo para alertas
Para integraciones HTTP
- URL de la solicitud: URL a la que se enviaran los datos
- Encabezados de la solicitud: encabezados de la solicitud en forma de diccionario, ejemplo:
```
{
    "Accept-Charset": "utf-8",
    "Accept-Encoding": "gzip",
    "Authorization": "Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==",
    "Content-Type": "application/json",
    "User-Agent": "Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/12.0"
}
```
- Cuerpo de la solicitud: cuerpo de la solicitud que contiene los datos a enviar. Compatible con los Patrones
- Método HTTP de la solicitud: elección del método HTTP con el que se enviara la solicitud
- Usar un certificado autofirmado para la solicitud: permite conectarse a un servidor autofirmado. Atención: conectarse a un servidor autofirmado expone al riesgo de que un tercero pueda interceptar el trafico hacia el servidor mediante este certificado
- Usar la configuración de proxy para la solicitud: permite usar el proxy configurado en Cyberwatch
Para integraciones SMTP
- Dirección de correo del destinatario
- Asunto del correo. Compatible con los Patrones
- Contenido del correo: el mensaje que contiene los datos a enviar. Compatible con los Patrones
Guardar

Si los campos se han completado correctamente, la integración aparecera en la lista de integraciones.

Para configurar integraciones usando Teams, haga clic aquí.

Patrones

Cyberwatch usa el motor de plantillas Liquid para dar formato al cuerpo de las solicitudes HTTP y de los correos. Su documentación esta disponible en ingles en la dirección https://shopify.dev/docs/api/liquid.

Las siguientes variables de datos de Cyberwatch están disponibles:

Variable	Descripción	Ejemplo
`asset`	Activo concernido, para los contextos donde solo hay uno. Atributos: - `name`: nombre del activo. - `description`: descripción del activo. - `cve_announcements_count`: numero de vulnerabilidades del activo. - `critical_cve_announcements_count`: numero de vulnerabilidades prioritarias del activo. - `compliance_rules_count`: numero de reglas de cumplimiento del activo. - `compliance_rules_failed_count`: numero de reglas de cumplimiento fallidas del activo. - `compliance_rules_succeed_count`: numero de reglas de cumplimiento exitosas del activo. - `compliance_rules_anomalies_count`: numero de reglas de cumplimiento en anomalia del activo. - `security_issues_count`: numero de defectos de seguridad del activo.	`{{ asset.name }}` => `MY-PC.DOMAIN`
`assets`	Lista de activos concernidos. Los atributos son los mismos que `asset`.	`{{ assets \| map: 'name' \| join: ', ' }}` => `example-1.local, example-2.local`
`cve`	CVE concernida, para los contextos donde solo hay una. Atributos: - `code`: referencia de la CVE. - `content`: descripción de la CVE. - `summary`: descripción corta de la CVE. - `score`: puntuacion CVSS de la CVE. - `epss`: puntuacion EPSS de la CVE. - `catalogs`: lista de catálogos que referencian la vulnerabilidad (atributos: `name`, `added_at`). - `technologies`: lista de tecnologías afectadas por la CVE (atributos: `vendor`, `product`).	`{{ cve.code }}` => `CVE-2023-1234`
`cves`	Lista de CVE concernidas. Los atributos son los mismos que `cve`.	`{{ cves \| map: 'code' \| join: ', ' }}` => `CVE-2023-0001, CVE-2023-0002`
`technology`	Tecnología concernida, para los contextos donde solo hay una. Atributos: - `product`: nombre de producto de la tecnología. - `target_title`: titulo de la tecnología. - `target_version_string`: version objetivo de la tecnología. - `cve_announcements_count`: numero de vulnerabilidades de la tecnología. - `critical_cve_announcements_count`: numero de vulnerabilidades prioritarias de la tecnología.	`{{ technology.product }}` => `Google Chrome`
`technologies`	Tecnologías concernidas. Los atributos son los mismos que `technology`.	`{{ technologies \| map: 'product' \| join: ', ' }}` => `linux, linux-firmware`
`compliance_rule`	Regla de cumplimiento concernida, para los contextos donde solo hay una. Atributos: - `name`: nombre de la regla de cumplimiento. - `description`: descripción de la regla de cumplimiento. - `code`: referencia de la regla de cumplimiento. - `rationale`: objetivo de la regla de cumplimiento. - `audit`: auditoria de la regla de cumplimiento. - `remediation`: remediacion de la regla de cumplimiento. - `require_sudo`: necesidad de privilegios administrador de la regla de cumplimiento. - `reference`: referencia en el benchmark de la regla de cumplimiento.	`{{ compliance_rule.name }}` => `Ensure rsyslog service is enabled`
`compliance_rules`	Reglas de cumplimiento concernidas. Los atributos son los mismos que `compliance_rule`.	`{{ compliance_rules \| map: 'code' \| join: ', ' }}` => `CIS-AWS-1.4, CIS-AWS-1.20`
`security_issue`	Defecto de seguridad concernido, para los contextos donde solo hay uno. Atributos: - `sid`: referencia del defecto de seguridad. - `title`: nombre del defecto de seguridad. - `description`: descripción del defecto de seguridad.	`{{ security_issue.title }}` => `TAA - TSX Asynchronous Abort`
`security_issues`	Defectos de seguridad concernidos. Los atributos son los mismos que `security_issue`.	`{{ security_issues \| map: 'sid' \| join: ', ' }}` => `WSTG-INPV-17, WSTG-ATHN-10`
`host`	Activo descubierto concernido, para los contextos donde solo hay uno. Atributos: - `hostname`: nombre de host del activo descubierto.	`{{ host.hostname }}` => `bar.example.com`
`hosts`	Activos descubiertos concernidos. Los atributos son los mismos que `host`.	`{{ hosts \| map: 'hostname' \| join: ', ' }}` => `bar.example.com, foo.example.com`

Ademas de los filtros por defecto, el filtro json permite formatear un dato en JSON. Por lo tanto es posible enviar una lista de CVE a una API con el cuerpo: { "cves": {{ cves | json }} }. La lista de CVE aparecera entonces como un arreglo JSON, por ejemplo { "cves": [{ "code": "CVE-2023-0001" }, { "code": "CVE-2023-0002" }] }.

Las siguientes variables de alerta de Cyberwatch estan disponibles:

Variable	Descripcion
`alert_name`	Nombre de la alerta que desencadeno la integracion
`manage_link`	Enlace a la pagina de edicion de la alerta
`node_name`	Nombre de la instancia en la que se activo la alerta
`node_url`	Enlace a la instancia en la que se activo la alerta
`host`	En el caso de un descubrimiento, nombre de dominio del activo descubierto
`hosts`	En el caso de un descubrimiento, lista de nombres de dominio de los activos descubiertos

Variables disponibles por ubicacion del desencadenador

Detalle de un activo

Ubicacion del desencadenador	Variables disponibles
Pestana Vulnerabilidades	`asset`, `assets`, `cve`, `cves`
Pestana Gestion de parches	`asset`, `assets`, `cve`, `cves`, `technology`, `technologies`
Pestana Conformidad	`asset`, `assets`, `technology`, `technologies`
Pestana Defectos de seguridad	`asset`, `assets`, `security_issue`, `security_issues`

Enciclopedias

Ubicacion del desencadenador	Variables disponibles
Vulnerabilidades	`asset`, `assets`, `cve`, `cves`
Reglas de cumplimiento	`asset`, `assets`, `compliance_rule`, `compliance_rules`
Defectos de seguridad	`asset`, `assets`, `security_issue`, `security_issues`
Accion correctivas	`asset`, `assets`, `technology`, `technologies`
Inventario	`asset`, `assets`

Detalles

Ubicacion del desencadenador	Variables disponibles
Detalles de una vulnerabilidad	`asset`, `assets`, `cve`, `cves`
Detalles de una regla de cumplimiento	`asset`, `assets`, `compliance_rule`, `compliance_rules`
Detalles de un defecto de seguridad	`asset`, `assets`, `security_issue`, `security_issues`
Detalles de una accion correctiva	`asset`, `assets`, `cve`, `cves`, `technology`, `technologies`

Edicion de una Integracion

Hacer clic en Administracion
Hacer clic en Integraciones
Hacer clic en el boton de edicion (icono de lapiz) correspondiente a la integracion a editar
Modificar los campos deseados en el formulario. Los campos se completan con los valores de la integracion editada
Guardar

Eliminacion de una Integracion

Hacer clic en Administracion
Hacer clic en Integraciones
Hacer clic en el boton de eliminacion (icono de papelera) correspondiente a la integracion a eliminar
Validar haciendo clic en el boton “OK” de la alerta de confirmacion

Probar una integracion

Hacer clic en Administracion
Hacer clic en Integraciones
Hacer clic en el boton de prueba (icono de flecha) correspondiente a la integracion a probar
Verificar que aparezca una modal con el estado de la respuesta, que confirma la conexion con el servidor

Uso de una integracion

Las integraciones pueden usarse en diferentes ubicaciones segun la opcion elegida en el formulario de creacion/edicion:

Inventario

Hacer clic en Inventario
Seleccionar los activos a enviar
Hacer clic en el boton Acciones en grupo
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Detalles de un activo - Pestana Vulnerabilidades

Hacer clic en Inventario
Hacer clic en Inventario
Hacer clic en el nombre del activo para el que desea enviar los datos
Hacer clic en la pestana Vulnerabilidades
Seleccionar las vulnerabilidades a enviar
Hacer clic en la flecha a la derecha del boton Ignorar
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Detalles de un activo - Pestana Gestion de parches

Hacer clic en Inventario
Hacer clic en el nombre del activo para el que desea enviar los datos
Hacer clic en la pestana Gestion de parches
Seleccionar los parches a enviar
Hacer clic en la flecha a la derecha del boton Planificar los parches seleccionados (o en el boton Enviar la seleccion en el caso de un activo en modo “solo escaneo”)
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Detalles de un activo - Pestana Conformidad

Hacer clic en Inventario
Hacer clic en el nombre del activo para el que desea enviar los datos
Hacer clic en la pestana Conformidad
Seleccionar las reglas de cumplimiento a enviar
Hacer clic en la flecha a la derecha del boton Enviar la seleccion
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Detalles de un activo - Pestana Defectos de seguridad

Hacer clic en Inventario
Hacer clic en el nombre del activo para el que desea enviar los datos
Hacer clic en la pestana Defectos de seguridad
Seleccionar los defectos de seguridad a enviar
Hacer clic en la flecha a la derecha del boton Ignorar
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Enciclopedia de vulnerabilidades

Hacer clic en Vulnerabilidades
Seleccionar las vulnerabilidades a enviar
Hacer clic en el boton Acciones en grupo
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Detalles de una vulnerabilidad

Hacer clic en Vulnerabilidades
Hacer clic en una referencia CVE en la enciclopedia para ir a la ficha de la CVE
Seleccionar los activos a enviar
Hacer clic en la flecha a la derecha del boton Ignorar y comentar
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Enciclopedia de reglas de cumplimiento

Hacer clic en Reglas de cumplimiento
Seleccionar las reglas de cumplimiento a enviar
Hacer clic en el boton Acciones en grupo
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Detalles de una regla de cumplimiento

Hacer clic en Reglas de cumplimiento
Hacer clic en una referencia de regla de cumplimiento para ir a la ficha de la regla de cumplimiento
Seleccionar los activos a enviar
Hacer clic en la flecha a la derecha del boton Controlar los activos
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Enciclopedia de defectos de seguridad

Hacer clic en Defectos de seguridad
Seleccionar los defectos de seguridad a enviar
Hacer clic en el boton Acciones en grupo
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Detalles de un defecto de seguridad

Hacer clic en Defectos de seguridad
Hacer clic en una referencia de defecto de seguridad para ir a la ficha del defecto de seguridad
Seleccionar los activos a enviar
Hacer clic en la flecha a la derecha del boton Ignorar
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Acciones correctivas

Hacer clic en Acciones correctivas
Seleccionar las acciones correctivas a enviar
Hacer clic en el boton Acciones en grupo
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha

Detalles de una accion correctiva

Hacer clic en Defectos de seguridad
Hacer clic en una referencia de defecto de seguridad para ir a la ficha del defecto de seguridad
Seleccionar los activos a enviar
Hacer clic en la flecha a la derecha del boton Desplegar
Hacer clic en el nombre de la integracion en el menu desplegable
Verificar el estado de la respuesta en la notificacion de la parte superior derecha