Usar scripts de análisis personalizados

Los scripts de análisis personalizados permiten añadir scripts de análisis a los proporcionados por Cyberwatch. Los resultados de estos scripts se mostraran en la información de los activos asociados.

El interes puede ser agregar información del sistema, paquetes o aplicaciones, etc., al activo. Las propiedades que se pueden enviar y la sintaxis de los resultados de los scripts están descritas en la documentación de datos declarativos.

Activación de la funcionalidad

La funcionalidad se activa yendo a Administración y activando “Análisis personalizados”. Si el menu “Scripts personalizados” no esta disponible en las configuraciones, esto puede significar que esta funcionalidad no esta activa en su licencia Cyberwatch. Puede contactarnos a la dirección support@cyberwatch.com para que la activemos (sin costo adicional).

Creación de un script de análisis personalizado

1. Asegurarse de que la funcionalidad Análisis personalizados este activada
2. Ir a Ajustes > Scripts de análisis y hacer clic en el botón + Añadir

• El campo Nombre permite identificar el script de análisis personalizado
• El campo Sistema operativo permite especificar el objetivo del script de análisis personalizado. Este se ejecutara solo en los activos con el sistema operativo objetivo del script
• El campo Código fuente debe contener el script de análisis creado. Debe ser compatible con el sistema operativo objetivo y enviar la información deseada siguiendo la sintaxis de los datos declarativos

Después de guardar este nuevo script, es necesario asociarlo a una política de análisis para que se ejecute en los activos objetivo.

Asociar un script de análisis personalizado a una política de análisis

1. Seleccionar una política de análisis en la lista Ajustes > Políticas de análisis
2. Hacer clic en el botón de edición (icono de lápiz) correspondiente a la política de análisis a editar
3. En la linea “Análisis personalizados” del formulario, hacer clic en el botón “Añadir un análisis personalizado”
4. Seleccionar el análisis y su periodo de recurrencia
5. Guardar

Desasociar un script de análisis personalizado de una política de análisis

1. Seleccionar una política de análisis en la lista Ajustes > Políticas de análisis
2. Hacer clic en el botón de edición (icono de lápiz) correspondiente a la política de análisis a editar
3. En la linea “Análisis personalizados” del formulario, hacer clic en el icono de papelera correspondiente al análisis personalizado a desasociar
4. Guardar

Caso practico: Implementar un script de análisis

Supongamos que una tecnología no cubierta nativamente por los escaneos de vulnerabilidades Cyberwatch, como Keycloak, esta presente en nuestros activos Linux. Podemos entonces configurar un script de análisis personalizado para enviar la información necesaria a Cyberwatch, que podrá tenerla en cuenta y enviar las vulnerabilidades potenciales asociadas.

• El primer paso consiste en recuperar dinamicamente la version de la tecnología deseada en los activos. En el caso de Keycloak, se puede usar el siguiente comando:

bash-5.1$ /opt/keycloak/bin/kc.sh --version
Keycloak 24.0.2
JVM: 17.0.10 (Red Hat, Inc. OpenJDK 64-Bit Server VM 17.0.10+7-LTS)
OS: Linux 5.15.0-101-generic amd64
# Formateamos la salida del comando para obtener solo la version
bash-5.1$ /opt/keycloak/bin/kc.sh --version | grep 'Keycloak' | cut -d ' ' -f2
24.0.2

• Para comunicar la información sobre la tecnología y su version a Cyberwatch, podemos usar el formato del código CPE, que es un esquema de nombrado estructurado. En el caso de Keycloak, el código CPE asociado es el siguiente, donde se debe reemplazar por la version objetivo:

cpe:2.3:a:redhat:keycloak:<version>:*:*:*:*:*:*:*

Para simplificar la recuperacion del código CPE asociado a una tecnología, un formulario de búsqueda esta disponible.

• Una vez configurado el método de recuperacion dinamica de la version de nuestra tecnología, y con el código CPE, es posible implementar el siguiente script de análisis personalizado:

KC_VERSION=$(/opt/keycloak/bin/kc.sh --version | grep 'Keycloak' | cut -d ' ' -f2)
echo "NVD_APPLICATION:cpe:2.3:a:redhat:keycloak:$KC_VERSION:*:*:*:*:*:*:*"

La salida del script nos da el dato declarativo NVD_APPLICATION que permite informar una tecnología a partir de su código CPE.

• El ultimo paso consiste en implementar este script de análisis personalizado En Cyberwatch y asociarlo a una política de análisis

---

Table of contents

• Sintaxis de datos declarativos