Efectuar una búsqueda

Cyberwatch le permite filtrar información en función de varios criterios.

Es posible definir parejas en la forma palabra-clave:valor que serán utilizadas para filtrar los resultados antes de mostrarlos.

Cyberwatch compara el valor de los filtros con la información contenida en la base de datos a través de ‘SQL Like’. Cualquier cadena que contenga el valor buscado será seleccionada. Así, una búsqueda sobre «cve:2019» devolverá todas las CVE cuyo código CVE contenga «2019», es decir, CVE-2019-0001 pero también CVE-2017-2019.

Buscar un activo

La barra de búsqueda situada en la esquina superior derecha le permite visualizar una lista de activos en función de los caracteres contenidos en su nombre.

Cuando la búsqueda devuelve solo un resultado, redirige a la página que contiene los detalles del activo en cuestión. Cuando varios activos pueden corresponder al criterio, la búsqueda redirige a la lista de los activos correspondientes.

Buscar activos desde el Panel

Haga clic en la pestaña Panel.

Una búsqueda sin palabra clave filtra los resultados en función del hostname.

La barra de búsqueda ofrece autocompletado de las palabras clave utilizables.

Aquí tiene el conjunto de palabras clave disponibles:

  • Grupo: permite filtrar los activos en función del nombre del grupo al que pertenecen
  • Priorización: permite filtrar los activos según la política de priorización que se les ha asignado
  • Categoría: permite filtrar los activos según su categoría
  • Descubrimiento: permite filtrar los activos que pertenecen a un descubrimiento
  • Estado de planificación de análisis: permite filtrar los activos según su estado de análisis planificado (análisis planificado / análisis no planificado)
  • Modo de escaneo: permite filtrar los activos según su modo de escaneo o conector
  • Estado de comunicación: permite filtrar los activos según su estado de comunicación con Cyberwatch (pérdida de comunicación / en comunicación)
  • Defecto de seguridad: permite filtrar los activos afectados por un defecto de seguridad
  • Exploit público:Disponible: permite filtrar los activos que tienen al menos una CVE con un exploit público disponible
  • Política de análisis: permite filtrar los activos según la política de análisis que se les ha asignado
  • Referencial: permite filtrar los activos según los referenciales de cumplimiento que les han sido asignados
  • Nombre de regla: permite filtrar los activos sobre los que se ha verificado la regla de cumplimiento seleccionada por su nombre
  • Referencia de regla: permite filtrar los activos sobre los que se ha verificado la regla de cumplimiento seleccionada por su referencia
  • Aplicación:nombre[:versión]: permite filtrar los activos en función del nombre y la versión de una aplicación detectada en el activo (el campo versión es opcional)
  • Puerto: permite filtrar los activos en función de los puertos abiertos detectados por los análisis
  • Metadato:clave[:valor]: permite filtrar los activos en función de la clave y el valor de un metadato detectado en el activo (el campo valor es opcional)
  • Servicio:nombre:estado: permite filtrar los activos en función de los servicios detectados
  • Dirección: permite filtrar los activos en función de sus direcciones de red (requiere una dirección IP completa)
  • Rango de direcciones IP: permite filtrar los activos con una dirección IP perteneciente al rango de direcciones IP (requiere un rango de direcciones IP en formato 127.0.0.0/8)
  • Sistema operativo: permite filtrar los activos en función de su sistema operativo
  • Política de despliegue: permite filtrar los activos en función de la política de despliegue que se les ha asignado
  • Política de reinicio: permite filtrar los activos en función de la política de reinicio que se les ha asignado
  • Exclusión automática: permite filtrar los activos en función de la política de exclusión automática que se les ha asignado
  • Estado de los parches: permite filtrar los activos en función del estado de planificación de sus parches (parches planificados / parches no planificados)
  • Estado de reinicio: permite filtrar los activos en función de la necesidad de reinicio o no (reinicio necesario / no requiere reinicio)

Para obtener la lista de activos, del grupo server_asia, que tengan el paquete apache versión 2.1 instalado, el puerto 80 detectado como abierto y cuyo hostname contenga «dsi», seleccione en la barra de búsqueda las palabras clave de la siguiente manera:

dsi Grupo:server_asia Aplicación:apache:2.1 Puerto:80

Buscar activos desde el Inventario

Las búsquedas que pueden realizarse sobre el inventario de activos son muy similares a las posibles desde el Panel.

Sin embargo, la barra de búsqueda del inventario ofrece palabras clave adicionales y mantiene el funcionamiento de las antiguas palabras clave utilizadas históricamente en la aplicación.

Aquí tiene el conjunto de palabras clave propuestas en autocompletado por la barra de búsqueda que permiten limitar la visualización de los activos:

  • Grupo: permite mostrar los activos en función del nombre del grupo al que pertenecen

Son posibles filtros combinatorios con la palabra clave Grupo. Al seleccionar el filtro Grupo, se ponen a disposición operadores:

  • ||: permite mostrar los activos que tengan al menos uno de los grupos indicados
  • =: permite mostrar los activos que tengan al menos todos los grupos indicados
  • !=: permite mostrar los activos que no tengan los grupos indicados

Por ejemplo, esta búsqueda:

(Grupo || Windows) (Grupo || Ubuntu) (Grupo = Admin) (Grupo = Web) (Grupo != Up_To_Date)

mostrará los activos que tienen necesariamente los grupos Admin y Web, que tienen al menos el grupo Windows o Ubuntu pero que no tienen el grupo Up_To_Date.

  • Política de priorización: permite mostrar los activos según la política de priorización que se les ha asignado
  • Categoría: permite mostrar los activos según su categoría
  • Descubrimiento: permite filtrar los activos que pertenecen a un descubrimiento
  • Estado de planificación de análisis: permite mostrar los activos según su estado de análisis planificado (análisis planificado / análisis no planificado)
  • Modo de escaneo: permite mostrar los activos según su modo de escaneo o conector
  • Estado de comunicación: permite mostrar los activos según su estado de comunicación con Cyberwatch (pérdida de comunicación / en comunicación)
  • Defecto de seguridad: permite mostrar los activos afectados por un defecto de seguridad
  • Exploit público:Disponible: permite mostrar los activos que tienen al menos una CVE con un exploit público disponible
  • Política de análisis: permite mostrar los activos según la política de análisis que se les ha asignado
  • CVE: permite mostrar los activos en los que se ha detectado la CVE seleccionada
  • Estado de las vulnerabilidades: permite mostrar los activos en función de la presencia de vulnerabilidades (vulnerabilidades presentes / vulnerabilidades prioritarias / sin CVE detectadas)
  • Referencial: permite mostrar los activos según los referenciales de cumplimiento que les han sido asignados
  • Nombre de regla: permite mostrar los activos sobre los que se ha verificado la regla de cumplimiento seleccionada por su nombre
  • Referencia de regla: permite mostrar los activos sobre los que se ha verificado la regla de cumplimiento seleccionada por su referencia
  • Aplicación:nombre[:versión]: permite mostrar los activos en función del nombre y la versión de una aplicación detectada en el activo (el campo versión es opcional)
  • Puerto: permite mostrar los activos en función de los puertos abiertos detectados por los análisis
  • Metadato:clave[:valor]: permite mostrar los activos en función de la clave y el valor de un metadato detectado en el activo (el campo valor es opcional)
  • Servicio:nombre:estado: permite mostrar los activos en función del nombre de los servicios detectados y de su estado (el campo estado es opcional)
  • Dirección: permite mostrar los activos en función de sus direcciones de red (requiere una dirección IP completa, no es posible buscar por rango de IP)
  • Sistema operativo: permite mostrar los activos en función de su sistema operativo
  • Política de despliegue: permite mostrar los activos en función de la política de despliegue que se les ha asignado
  • Política de reinicio: permite mostrar los activos en función de la política de reinicio que se les ha asignado
  • Exclusión automática: permite mostrar los activos en función de la política de exclusión automática que se les ha asignado
  • Estado de los parches: permite mostrar los activos en función del estado de planificación de sus parches (parches planificados / parches no planificados)
  • Estado de reinicio: permite mostrar los activos en función de la necesidad de reinicio o no (reinicio necesario / no requiere reinicio)

Aquí están las palabras clave utilizadas históricamente y que siguen estando disponibles en la fecha de redacción de esta documentación:

  • target_package:nombre:versión: permite mostrar los activos en función del nombre y la versión de un parche a instalar

Estas palabras clave deben escribirse completamente en la barra de búsqueda, no se ofrece autocompletado.

Buscar desde la ficha de un activo

Buscar vulnerabilidades

Desde la pestaña Vulnerabilidades de la ficha de un activo, una búsqueda sin palabra clave filtra los resultados en función del código de la CVE.

La palabra clave techno permite filtrar las vulnerabilidades que afectan a la misma tecnología.

Para acceder directamente a la CVE-2019-1365, escriba en la barra de búsqueda:

CVE-2019-1365

Para visualizar la lista de las CVEs cuyo código contiene «2019» y cuyo título del parche contiene el término «forticlient», escriba en la barra de búsqueda:

2019 techno:forticlient

Buscar una aplicación

Esta búsqueda se realiza desde la pestaña «Tecnologías» de la ficha de un activo.

Para visualizar la lista de todas las aplicaciones java, escriba en la barra de búsqueda:

java

Buscar parches

Esta búsqueda se realiza desde la pestaña «Gestión de parches» de la ficha de un activo.

Una búsqueda sin palabra clave filtra los resultados en función del nombre de la tecnología corregida.

La palabra clave cve permite filtrar los parches en función de una CVE que corrige.

Para acceder a los parches de la CVE 2019-1365, que se aplica a la tecnología «libsqlite», escriba en la barra de búsqueda:

libsqlite cve:2019-1365

Buscar metadatos

Esta búsqueda se realiza desde la pestaña «Metadatos» de la ficha de un activo.

Una búsqueda sin palabra clave filtra los resultados en función de la clave del metadato.

La palabra clave «valor» permite filtrar los resultados en función del valor del metadato buscado.

Ejemplo, para buscar una versión específica del bios, escriba en la barra de búsqueda:

bios-version valor:6

Buscar servicios

Esta búsqueda se realiza desde la pestaña «Servicios» de la ficha de un activo.

Una búsqueda sin palabra clave filtra los resultados en función del nombre del servicio.

La palabra clave «estado» permite filtrar los resultados en función del tipo de inicio de los servicios.

Ejemplo, para buscar el servicio del agente Cyberwatch con un tipo de inicio automático, escriba en la barra de búsqueda:

CyberwatchService estado:auto

Buscar vulnerabilidades en la enciclopedia

Las búsquedas desde la enciclopedia de vulnerabilidades funcionan de la misma manera que en el Inventario.

Una búsqueda sin palabra clave filtra los resultados en función del nombre de la CVE.

Aquí tiene el conjunto de palabras clave disponibles propuestas por autocompletado:

  • Puntuación de severidad: permite filtrar las vulnerabilidades en función de su puntuación de severidad
  • Nivel de los exploits: permite filtrar las vulnerabilidades
  • Vector de ataque: permite filtrar las vulnerabilidades según sus vectores de ataque (Físico / Local / Red adyacente / Red)
  • Estado: permite filtrar según el estado de presencia de las vulnerabilidades en los activos (Vulnerabilidades presentes / Vulnerabilidades prioritarias)
  • Activo: permite filtrar las vulnerabilidades en función del nombre de un activo al que afectan
  • CVE: permite filtrar las vulnerabilidades en función de su código CVE
  • CWE: permite filtrar las CVEs relacionadas con una CWE
  • Grupo: permite filtrar las vulnerabilidades detectadas como presentes en los activos del grupo especificado (a utilizar con el filtro Estado:Vulnerabilidades presentes)
  • Tecnología: permite filtrar las vulnerabilidades en función de las tecnologías o de las tecnologías por proveedor afectadas
  • Técnica de ataque: permite filtrar las CVEs relacionadas con una técnica de ataque
  • Modelo de ataque: permite filtrar las CVEs relacionadas con un modelo de ataque (CAPEC)
  • Software de ataque: permite filtrar las CVEs relacionadas con un software de ataque
  • Referencia: permite filtrar las CVEs relacionadas con una referencia (más detalles en la sección «Buscar por referencia» de esta página)
  • Catálogo: permite filtrar las CVEs relacionadas con un catálogo como el CISA KEV por ejemplo
  • SSVC: permite filtrar las CVE con la decisión SSVC especificada en al menos un activo
  • Detectadas desde (N): permite filtrar las vulnerabilidades detectadas en los N últimos días
  • Detectadas hasta (N): permite filtrar las vulnerabilidades detectadas antes de los N últimos días
  • Hasta (N): permite filtrar las vulnerabilidades publicadas hasta un cierto número de días atrás
  • Desde (N): permite filtrar las vulnerabilidades publicadas desde un cierto número de días atrás

Para mostrar la lista de las CVEs que afectan a los activos cuyos nombres contienen «win» y forman parte del grupo «production», sobre SMB proporcionado por Microsoft y relacionadas con un boletín de seguridad cuyo código contiene «MS17-010», seleccione en la barra de búsqueda:

Tecnología:microsoft:server_message_block Estado:Vulnerabilidades presentes Activo:win Grupo:production Referencia:MS17-010

De la misma manera que para el inventario, algunas palabras clave se mantienen y aún pueden ser utilizadas sin autocompletado, aquí están:

  • days_from:N: permite filtrar las vulnerabilidades que han sido publicadas hace menos de N días
  • days_to:N: permite filtrar las vulnerabilidades que han sido publicadas hace más de N días

Buscar por Referencia

El filtro Referencia permite buscar CVEs según el identificador de las alertas de seguridad o de las referencias relacionadas con las vulnerabilidades.

Aquí tiene la lista de los tipos de identificadores de alertas de seguridad posibles.

  • ADV: para Microsoft Security Advisory (ejemplo: ADV200002)
  • ALAS: para Amazon Linux AMI Security Advisory (ejemplo: ALAS-2020-1376)
  • APSB: Adobe Security Bulletin (ejemplo: APSB20-13)
  • ASA: para Arch Linux (ejemplo: ASA-202005-7)
  • CESA: para CentOS (ejemplo: CESA-2020:2050)
  • CERTA: para ANSSI (ejemplo: CERTA-2013-AVI-198)
  • CERTFR: para ANSSI (ejemplo: CERTFR-2020-AVI-338)
  • CISCO-SA: para Cisco Security Advisory (ejemplo: cisco-sa-asr920-ABjcLmef)
  • CPU: para Critical Patch Update advisory de Oracle (ejemplo: CPUApr2020_14)
  • DSA: para Debian (ejemplo: DSA-4683-1)
  • DLA: para Debian LTS (ejemplo: DLA-2233-1)
  • ELSA: para Oracle (ejemplo: ELSA-2020-2103)
  • FG-IR: para FortiGuard (ejemplo: FG-IR-18-230)
  • GPCON: para Cisco (ejemplo: GPCON-551)
  • HT: para Apple (ejemplo: HT211168)
  • HUAWEI-SA: para Huawei (ejemplo: huawei-sa-20200415-01-oob)
  • ICSMA: para CISA ICS (ejemplo: icsma-22-277-01)
  • MAU: para Microsoft Auto Update (ejemplo: MAU)
  • MFSA: para Mozilla (ejemplo: MFSA2020-15)
  • MS: para Microsoft (ejemplo: MS16-148)
  • PAN: para Cisco (ejemplo: PAN-100415)
  • PAN-SA: para Palo Alto Network Security Advisories (ejemplo: PAN-SA-2019-0038)
  • PHSA: para Photon OS (ejemplo: PHSA-2020-3.0-0089)
  • RHSA: para Red Hat (ejemplo: RHSA-2020:2291)
  • SEVD: para Schneider Electric (ejemplo: SEVD-2021-222-01)
  • SSA: para Siemens (ejemplo: SSA-997732)
  • SUSE-SU: para Suse Security Update (ejemplo: SUSE-SU-2020:1289)
  • USN: para Ubuntu (ejemplo: USN-4371-1)
  • VDE: para VDE (ejemplo: VDE-2021-001)
  • VMSA: para VMware (ejemplo: VMSA-2020-0011_CVE-2020-3957)
  • VU#: para Carnegie Mellon University (ejemplo: VU#914124)
  • ZDI: para Zero Day Initiative Advisory Details (ejemplo: ZDI-20-675)

Para listar todas las vulnerabilidades mencionadas en boletines de seguridad emitidos por Arch Linux, seleccione en la barra de búsqueda:

Referencia:ASA

Filtrar los activos asociados desde la ficha de una vulnerabilidad

Estas búsquedas se realizan sobre los activos presentes en la sección Activos asociados desde la ficha de una vulnerabilidad.

Una búsqueda sin palabra clave permite filtrar los activos según su nombre.

Haga clic en «Enciclopedia de vulnerabilidades», luego haga clic en el código de una CVE.

La palabra clave grupo permite filtrar los activos en función del nombre del grupo especificado.

Para visualizar la lista de todos los activos cuyo nombre contiene la palabra «srv_prd», escriba en la barra de búsqueda:

srv_prd

Buscar desde la lista de defectos de seguridad

Desde la lista de defectos de seguridad, una búsqueda sin palabra clave muestra los defectos de seguridad cuya ficha contiene la cadena buscada.

De la misma manera que para la enciclopedia de vulnerabilidades, la barra de búsqueda propone palabras clave por autocompletado:

  • Puntuación de severidad: permite filtrar los defectos de seguridad en función de su puntuación de severidad
  • Estado: permite mostrar únicamente los defectos de seguridad presentes
  • CVE: permite mostrar los defectos de seguridad relacionados con una CVE
  • Tecnología: permite mostrar los defectos de seguridad relacionados con una tecnología
  • Grupo: permite filtrar los defectos de seguridad presentes en los activos pertenecientes al grupo especificado
  • Referencia de regla: permite filtrar los defectos de seguridad por su referencia, que representa un campo único que permite identificar un defecto de seguridad
  • Desde (días atrás): permite filtrar los defectos de seguridad publicados desde un cierto número de días atrás
  • Hasta (días atrás): permite filtrar los defectos de seguridad publicados hasta un cierto número de días atrás

Para mostrar la lista de los defectos de seguridad cuyo título contiene «POODLE», asociados a la vulnerabilidad «CVE-2014-3566», en los activos que forman parte del grupo «production» y cuya una de las tecnologías impactadas por las CVEs asociadas es «netbsd», seleccione en la barra de búsqueda:

POODLE CVE:CVE-2014-3566 Grupo:production Tecnología:netbsd

Anclaje de las búsquedas

Las búsquedas son habitualmente infijas por defecto: todas las entradas que contienen los términos de búsqueda son seleccionadas. Es posible restringir la coincidencia utilizando anclas:

  • Un término que comienza por ^ se convierte en una búsqueda prefijo: solo se seleccionan las entradas que comienzan por el valor buscado. Por ejemplo, Aplicación:^apache solo selecciona las aplicaciones cuyo nombre comienza por «apache».
  • Un término que termina por $ se convierte en una búsqueda sufijo: solo se seleccionan las entradas que terminan por el valor buscado. Por ejemplo, Aplicación:gcc$ solo selecciona las aplicaciones cuyo nombre termina por «gcc».
  • Combinar ambas anclas (^valor$) da lugar a una búsqueda exacta: solo se seleccionan las entradas que corresponden exactamente al valor, respetando mayúsculas, minúsculas y acentos.

Cuando un término contiene un separador como : que delimita varias partes, las anclas se aplican a cada parte individualmente. Por ejemplo, Aplicación:gcc$:15 busca las aplicaciones cuyo nombre termina por «gcc» y cuya versión comienza por «15». Tenga en cuenta que la búsqueda de versión es prefijo por defecto.

Table of contents

Volver arriba

English Français Español