Efectuar una búsqueda

Cyberwatch le permite filtrar información en función de varios criterios.

Es posible definir pares en la forma palabra_clave:valor que se utilizarán para filtrar los resultados antes de mostrarlos.

Cyberwatch compara el valor de los filtros con la información contenida en la base de datos mediante ‘SQL Like’. Se conserva cualquier cadena que contenga el valor buscado. Así, una búsqueda de “cve:2019” devolverá todas las CVE cuyo código CVE contenga “2019”, es decir CVE-2019-0001 pero también CVE-2017-2019.

Buscar un activo

La barra de búsqueda situada en la esquina superior derecha le permite visualizar una lista de activos en función de los caracteres contenidos en su nombre.

Cuando la búsqueda devuelve solo un resultado, redirige a la página que contiene los detalles del activo correspondiente. Cuando varios activos pueden corresponder al criterio, la búsqueda redirige a la lista de activos correspondientes.

Buscar activos desde el tablero de control

Hacer clic en la pestaña Tablero de control.

Una búsqueda sin palabra clave filtra los resultados en función del hostname.

La barra de búsqueda propone autocompletado de las palabras clave utilizables.

A continuación se muestran todas las palabras clave disponibles:

  • Grupo: permite filtrar los activos según el nombre del grupo al que pertenecen
  • Criticidad: permite filtrar los activos según la criticidad que se les ha asignado
  • Categoría: permite filtrar los activos según su categoría
  • Descubrimiento: permite filtrar los activos que pertenecen a un descubrimiento
  • Estado de análisis: permite filtrar los activos según su estado de análisis (análisis planificado / análisis no planificado)
  • Modo de escaneo: permite filtrar los activos según su modo de escaneo o conector
  • Estado de comunicación: permite filtrar los activos según su estado de comunicación con Cyberwatch (pérdida de comunicación / comunicando)
  • Problema de seguridad: permite filtrar los activos afectados por un problema de seguridad
  • Exploit público:Disponible: permite filtrar los activos que tienen al menos una CVE con un exploit público disponible
  • Política de análisis: permite filtrar los activos según la política de análisis que se les ha asignado
  • Repositorio: permite filtrar los activos según los repositorios de cumplimiento que se les han asignado
  • Nombre de regla: permite filtrar los activos en los que se ha verificado la regla de cumplimiento seleccionada por su nombre
  • Referencia de regla: permite filtrar los activos en los que se ha verificado la regla de cumplimiento seleccionada por su referencia
  • Aplicación:nombre[:versión]: permite filtrar los activos según el nombre y la versión de una aplicación detectada en el activo (el campo versión es opcional)
  • Puerto: permite filtrar los activos según los puertos abiertos reportados por los escaneos
  • Metadato:clave[:valor]: permite filtrar los activos según la clave y el valor de un metadato detectado en el activo (el campo valor es opcional)
  • Servicio:nombre:estado: permite filtrar los activos según los servicios detectados
  • Dirección: permite filtrar los activos según sus direcciones de red (requiere una dirección IP completa)
  • Rango de direcciones IP: permite filtrar los activos con una dirección IP que pertenezca al rango de direcciones IP (requiere un rango de direcciones IP en formato 127.0.0.0/8)
  • Sistema operativo: permite filtrar los activos según su sistema operativo
  • Política de despliegue: permite filtrar los activos según la política de despliegue que se les ha asignado
  • Política de reinicio: permite filtrar los activos según la política de reinicio que se les ha asignado
  • Exclusión automática: permite filtrar los activos según la política de exclusión automática que se les ha asignado
  • Estado de parches: permite filtrar los activos según el estado de planificación de sus parches (parches planificados / parches no planificados)
  • Estado de reinicio: permite filtrar los activos según su necesidad de reinicio o no (reinicio necesario / no se requiere reinicio)

Para obtener la lista de activos del grupo server_asia, con el paquete apache versión 2.1 instalado, el puerto 80 detectado como abierto y cuyo hostname contiene “dsi”, seleccionar en la barra de búsqueda las palabras clave de esta forma:

dsi Grupo:server_asia Aplicación:apache:2.1 Puerto:80

Buscar activos desde el Inventario

Las búsquedas que pueden realizarse en el inventario de activos son muy similares a las que pueden hacerse desde el tablero de control.

Sin embargo, la barra de búsqueda del inventario ofrece palabras clave adicionales y mantiene el funcionamiento de las palabras clave antiguas usadas históricamente en la aplicación.

A continuación se muestran todas las palabras clave propuestas en autocompletado por la barra de búsqueda para limitar la visualización de activos:

  • Grupo: permite mostrar los activos según el nombre del grupo al que pertenecen

Se pueden usar filtros combinatorios con la palabra clave Grupo. Al seleccionar el filtro Grupo, se ponen a disposición los operadores:

  • ||: permite mostrar los activos que tienen al menos uno de los grupos especificados
  • =: permite mostrar los activos que tienen al menos todos los grupos especificados
  • !=: permite mostrar los activos que no tienen los grupos especificados

Por ejemplo, esta búsqueda:

(Grupo || Windows) (Grupo || Ubuntu) (Grupo = Admin) (Grupo = Web) (Grupo != Up_To_Date)

mostrará los activos que tienen necesariamente los grupos Admin y Web, que tienen al menos el grupo Windows o Ubuntu pero que no tienen el grupo Up_To_Date.

  • Criticidad: permite mostrar los activos según la criticidad que se les ha asignado
  • Categoría: permite mostrar los activos según su categoría
  • Descubrimiento: permite filtrar los activos que pertenecen a un descubrimiento
  • Estado de análisis: permite mostrar los activos según su estado de análisis (análisis planificado / análisis no planificado)
  • Modo de escaneo: permite mostrar los activos según su modo de escaneo o conector
  • Estado de comunicación: permite mostrar los activos según su estado de comunicación con Cyberwatch (pérdida de comunicación / comunicando)
  • Problema de seguridad: permite mostrar los activos afectados por un problema de seguridad
  • Exploit público:Disponible: permite mostrar los activos que tienen al menos una CVE con un exploit público disponible
  • Política de análisis: permite mostrar los activos según la política de análisis que se les ha asignado
  • CVE: permite mostrar los activos en los que se ha detectado la CVE seleccionada
  • Estado de vulnerabilidades: permite mostrar los activos según la presencia de vulnerabilidades (vulnerabilidades presentes / vulnerabilidades prioritarias / sin CVE detectadas)
  • Repositorio: permite mostrar los activos según los repositorios de cumplimiento que se les han asignado
  • Nombre de regla: permite mostrar los activos en los que se ha verificado la regla de cumplimiento seleccionada por su nombre
  • Referencia de regla: permite mostrar los activos en los que se ha verificado la regla de cumplimiento seleccionada por su referencia
  • Aplicación:nombre[:versión]: permite mostrar los activos según el nombre y la versión de una aplicación detectada en el activo (el campo versión es opcional)
  • Puerto: permite mostrar los activos según los puertos abiertos reportados por los escaneos
  • Metadato:clave[:valor]: permite mostrar los activos según la clave y el valor de un metadato detectado en el activo (el campo valor es opcional)
  • Servicio:nombre:estado: permite mostrar los activos según el nombre de los servicios detectados y su estado (el campo estado es opcional)
  • Dirección: permite mostrar los activos según sus direcciones de red (requiere una dirección IP completa, no es posible buscar por rango de IP)
  • Sistema operativo: permite mostrar los activos según su sistema operativo
  • Política de despliegue: permite mostrar los activos según la política de despliegue que se les ha asignado
  • Política de reinicio: permite mostrar los activos según la política de reinicio que se les ha asignado
  • Exclusión automática: permite mostrar los activos según la política de exclusión automática que se les ha asignado
  • Estado de parches: permite mostrar los activos según el estado de planificación de sus parches (parches planificados / parches no planificados)
  • Estado de reinicio: permite mostrar los activos según su necesidad de reinicio o no (reinicio necesario / no se requiere reinicio)

A continuación se muestran las palabras clave históricamente utilizadas y que se mantienen a la fecha de redacción de esta documentación:

  • target_package:nombre:versión: permite mostrar los activos según el nombre y la versión de un parche a instalar

Estas palabras clave deben escribirse completamente en la barra de búsqueda, no se ofrece autocompletado.

Buscar desde la página de un activo

Buscar vulnerabilidades

Desde la pestaña Vulnerabilidades de la ficha de un activo, una búsqueda sin palabra clave filtra los resultados según el código de la CVE.

La palabra clave techno permite filtrar las vulnerabilidades que afectan a la misma tecnología.

Para acceder directamente a la CVE-2019-1365, escribir en la barra de búsqueda:

CVE-2019-1365

Para visualizar la lista de CVE cuyo código contiene “2019” y cuyo título del parche contiene el término “forticlient”, escribir en la barra de búsqueda:

2019 techno:forticlient

Buscar una aplicación

Esta búsqueda se realiza desde la pestaña “Tecnologías” de la ficha de un activo.

Para visualizar la lista de todas las aplicaciones java, escribir en la barra de búsqueda:

java

Buscar parches

Esta búsqueda se realiza desde la pestaña “Gestión de parches” de la ficha de un activo.

Una búsqueda sin palabra clave filtra los resultados según el nombre de la tecnología corregida.

La palabra clave cve permite filtrar los parches en función de una CVE que corrigen.

Para acceder a los parches de la CVE 2019-1365, que se aplica a la tecnología “libsqlite”, escribir en la barra de búsqueda:

libsqlite cve:2019-1365

Buscar metadatos

Esta búsqueda se realiza desde la pestaña “Metadatos” de la ficha de un activo.

Una búsqueda sin palabra clave filtra los resultados según la clave del metadato.

La palabra clave “valor” permite filtrar los resultados según el valor del metadato buscado.

Ejemplo, para buscar una versión específica del bios, escribir en la barra de búsqueda:

bios-version valor:6

Buscar servicios

Esta búsqueda se realiza desde la pestaña “Servicios” de la ficha de un activo.

Una búsqueda sin palabra clave filtra los resultados según el nombre del servicio.

La palabra clave “estado” permite filtrar los resultados según el tipo de arranque de los servicios.

Ejemplo, para buscar el servicio del agente Cyberwatch con un tipo de arranque automático, escribir en la barra de búsqueda:

CyberwatchService estado:auto

Buscar vulnerabilidades en la enciclopedia

Las búsquedas desde la enciclopedia de vulnerabilidades funcionan de la misma manera que en el Inventario.

Una búsqueda sin palabra clave filtra los resultados según el nombre de la CVE.

A continuación se muestran todas las palabras clave disponibles propuestas por autocompletado:

  • Severidad: permite filtrar las vulnerabilidades según su severidad
  • Nivel de exploits: permite filtrar las vulnerabilidades
  • Vector de ataque: permite filtrar las vulnerabilidades según sus vectores de ataque (Físico / Local / Red adyacente / Red)
  • Estado: permite filtrar según el estado de presencia de vulnerabilidades en los activos (Vulnerabilidades presentes / Vulnerabilidades prioritarias)
  • Activo: permite filtrar las vulnerabilidades según el nombre de un activo al que afectan
  • CVE: permite filtrar las vulnerabilidades según su código CVE
  • CWE: permite filtrar las CVE relacionadas con una CWE
  • Grupo: permite filtrar las vulnerabilidades detectadas como presentes en los activos del grupo especificado (a utilizar con el filtro Estado:Vulnerabilidades presentes)
  • Tecnología: permite filtrar las vulnerabilidades según las tecnologías o tecnologías por proveedor afectadas
  • Técnica de ataque: permite filtrar las CVE relacionadas con una técnica de ataque
  • Modelo de ataque: permite filtrar las CVE relacionadas con un modelo de ataque (CAPEC)
  • Software de ataque: permite filtrar las CVE relacionadas con un software de ataque
  • Referencia: permite filtrar las CVE relacionadas con una referencia (más detalles en la sección “Buscar por referencia” de esta página)
  • Catálogo: permite filtrar las CVE relacionadas con un catálogo como CISA KEV, por ejemplo
  • SSVC: permite filtrar las CVE con la decisión SSVC especificada en al menos un activo
  • Detectadas desde (N): permite filtrar las vulnerabilidades detectadas en los últimos N días
  • Detectadas hasta (N): permite filtrar las vulnerabilidades detectadas antes de los últimos N días
  • Hasta (N): permite filtrar las vulnerabilidades publicadas hasta cierto número de días atrás
  • Desde (N): permite filtrar las vulnerabilidades publicadas desde cierto número de días atrás

Para mostrar la lista de CVE que afectan a activos cuyos nombres contienen “win” y forman parte del grupo “production”, relacionadas con SMB proporcionado por Microsoft y vinculadas a un boletín de seguridad cuyo código contiene “MS17-010”, seleccione en la barra de búsqueda:

Tecnología:microsoft:server_message_block Estado:Vulnerabilidades presentes Activo:win Grupo:production Referencia:MS17-010

De la misma manera que para el inventario, algunas palabras clave se mantienen y aún pueden usarse sin autocompletado; son las siguientes:

  • days_from:N: permite filtrar las vulnerabilidades publicadas hace menos de N días
  • days_to:N: permite filtrar las vulnerabilidades publicadas hace más de N días

Buscar por referencia

El filtro Referencia permite buscar CVE según el identificador de los avisos de seguridad o las referencias vinculadas a las vulnerabilidades.

A continuación se muestra la lista de tipos de identificadores de avisos de seguridad posibles.

  • ADV: para Microsoft Security Advisory (ejemplo: ADV200002)
  • ALAS: para Amazon Linux AMI Security Advisory (ejemplo: ALAS-2020-1376)
  • APSB: Adobe Security Bulletin (ejemplo: APSB20-13)
  • ASA: para Arch Linux (ejemplo: ASA-202005-7)
  • CESA: para CentOS (ejemplo: CESA-2020:2050)
  • CERTA: para ANSSI (ejemplo: CERTA-2013-AVI-198)
  • CERTFR: para ANSSI (ejemplo: CERTFR-2020-AVI-338)
  • CISCO-SA: para Cisco Security Advisory (ejemplo: cisco-sa-asr920-ABjcLmef)
  • CPU: para Critical Patch Update advisory de Oracle (ejemplo: CPUApr2020_14)
  • DSA: para Debian (ejemplo: DSA-4683-1)
  • DLA: para Debian LTS (ejemplo: DLA-2233-1)
  • ELSA: para Oracle (ejemplo: ELSA-2020-2103)
  • FG-IR: para FortiGuard (ejemplo: FG-IR-18-230)
  • GPCON: para Cisco (ejemplo: GPCON-551)
  • HT: para Apple (ejemplo: HT211168)
  • HUAWEI-SA: para Huawei (ejemplo: huawei-sa-20200415-01-oob)
  • ICSMA: para CISA ICS (ejemplo: icsma-22-277-01)
  • MAU: para Microsoft Auto Update (ejemplo: MAU)
  • MFSA: para Mozilla (ejemplo: MFSA2020-15)
  • MS: para Microsoft (ejemplo: MS16-148)
  • PAN: para Cisco (ejemplo: PAN-100415)
  • PAN-SA: para Palo Alto Network Security Advisories (ejemplo: PAN-SA-2019-0038)
  • PHSA: para Photon OS (ejemplo: PHSA-2020-3.0-0089)
  • RHSA: para Red Hat (ejemplo: RHSA-2020:2291)
  • SEVD: para Schneider Electric (ejemplo: SEVD-2021-222-01)
  • SSA: para Siemens (ejemplo: SSA-997732)
  • SUSE-SU: para Suse Security Update (ejemplo: SUSE-SU-2020:1289)
  • USN: para Ubuntu (ejemplo: USN-4371-1)
  • VDE: para VDE (ejemplo: VDE-2021-001)
  • VMSA: para VMware (ejemplo: VMSA-2020-0011_CVE-2020-3957)
  • VU#: para Carnegie Mellon University (ejemplo: VU#914124)
  • ZDI: para Zero Day Initiative Advisory Details (ejemplo: ZDI-20-675)

Para listar todas las vulnerabilidades mencionadas en boletines de seguridad emitidos por Arch Linux, seleccione en la barra de búsqueda:

Referencia:ASA

Filtrar los activos asociados desde la ficha de una vulnerabilidad

Estas búsquedas se realizan sobre los activos presentes en la sección Activos asociados desde la ficha de una vulnerabilidad.

Una búsqueda sin palabra clave permite filtrar los activos según su nombre.

Hacer clic en “Enciclopedia de vulnerabilidades” y luego en el código de una CVE.

La palabra clave grupo permite filtrar los activos según el nombre del grupo especificado.

Para visualizar la lista de todos los activos cuyo nombre contiene la palabra “srv_prd”, escribir en la barra de búsqueda:

srv_prd

Buscar desde la lista de problemas de seguridad

Desde la lista de problemas de seguridad, una búsqueda sin palabra clave muestra los problemas de seguridad cuya ficha contiene la cadena buscada.

De la misma manera que para la enciclopedia de vulnerabilidades, la barra de búsqueda propone palabras clave con autocompletado:

  • Severidad: permite filtrar los problemas de seguridad según su puntuación de severidad
  • Estado: permite mostrar únicamente los problemas de seguridad presentes
  • CVE: permite mostrar los problemas de seguridad vinculados a una CVE
  • Tecnología: permite mostrar los problemas de seguridad vinculados a una tecnología
  • Grupo: permite filtrar los problemas de seguridad presentes en los activos que pertenecen al grupo especificado
  • Referencia de regla: permite filtrar los problemas de seguridad por su referencia, que representa un campo único que permite identificar un problema de seguridad
  • Desde (días atrás): permite filtrar los problemas de seguridad publicados desde un cierto número de días atrás
  • Hasta (días atrás): permite filtrar los problemas de seguridad publicados hasta un cierto número de días atrás

Para mostrar la lista de problemas de seguridad cuyo título contiene “POODLE”, asociados a la vulnerabilidad “CVE-2014-3566”, en los activos que forman parte del grupo “production” y cuyo una de las tecnologías impactadas por las CVE asociadas es “netbsd”, seleccione en la barra de búsqueda:

POODLE CVE:CVE-2014-3566 Grupo:production Tecnología:netbsd

Table of contents

Volver arriba

English Français Español