Para demonstrarmos como importar apontamentos de ativos do tipo Host (IP), iremos utilizar como exemplo um resultado do OpenVAS exportado no formato CSV. Esse arquivo pode ser baixado aqui.
Como utilizar o Custom Parser #
1. Clique no Menu “Adicionar“.
2. Em “Tipo“, selecione “Custom Parser“.
3. Clique no botão “Selecionar” e procure o arquivo CSV em seu computador e clique em “Upload“.
4. Após a conclusão, o nome do arquivo se transformará em um link. Clique nele.
https://www.loom.com/embed/bddd4bd201714569a3a361d76229f7a9
5. Escreva um nome para a importação;
6. Verifique qual caractere está sendo usado para separar os campos do arquivo CSV (geralmente é vírgula ou ponto-e-vírgula). Dentro da seção “Configuração“, você poderá selecionar o carácter correspondente. A pré-visualização do arquivo será atualizada.
https://www.loom.com/embed/8d415944cf634b0aa128bcef69158a8b
7. Arraste os campos do GAT Core para as colunas correspondentes do arquivo.
https://www.loom.com/embed/30c14d8f33b346498b100e399852a9fe
- Os campos em vermelho são obrigatórios.
- Os demais campos são opcionais, porém alguns são dependentes de outros (exemplo: o campo Titulo da Recomendação depende do campo Recomendação, e vice-versa);
- Alguns campos podem ser utilizados mais de uma vez (por exemplo, o campo CVE);
8. Se o seu arquivo CSV tiver um cabeçalho na primeira linha, é necessário avisar o GAT Core para pulas essa linha.
https://www.loom.com/embed/cda1833edec44b5fb124475cd0a68d56
9. É possível ainda criar um Template, para reutilizar esse mapeamento de forma instantânea na próxima importação.
10. Por último, basta clicar no botão “Importar“, no canto inferior esquerdo.
https://www.loom.com/embed/fb9b56110acf45018d53a16dfa8e2597
Campos do Apontamento #
- Título: nome do apontamento
Exemplo: “VNC Server ‘password’ Password”
Observação: campo obrigatório
- Severidade: severidade do apontamento, de acordo com a tabela abaixo
Observação: campo obrigatório
- Tipo de Ferramenta: pode ser uma das opções abaixo
MANUAL
NESSUS
ACUNETIX
ARACHNI
ALIENVAULT
QUALYS
CUSTOM_PARSER
NESSUS_AUDIT
TENABLEIO
LEGACY
NEXPOSE
OPENVAS
FORTIFY
LUCY
BURP
APPSCAN
NETSPAKER
NIKTO
WEBINSPECT
W3AF
- ID da Ferramenta: é o ID do apontamento com relação ao Tipo de Ferramenta
Exemplo: para o apontamento “VNC Server ‘password’ Password” do Nessus, o ID da ferramenta corresponderia ao Plugin ID, que é 61708
- URL de Referência: é a URL de uma referência do apontamento
Exemplo: http://www.securityfocus.com/bid/104659
Observação: esse campo pode ser utilizado mais de uma vez
- Título da Referência: é o título da referência do apontamento
Exemplo: “Microsoft ASP.NET Core CVE-2018-8171 Security Bypass Vulnerability”
Observação: esse campo pode ser utilizado mais de uma vez
- Recomendação: é a descrição de uma recomendação para corrigir o apontamento
Exemplo: “Aplicar o KB Microsoft 4339279”
Observação: ao utilizar esse campo, o campo “Título da Recomendação” torna-se obrigatório. Esse campo pode ser utilizado mais de uma vez
- Título da Recomendação: é o título de uma recomendação para corrigir o apontamento
Exemplo: “Security Updates for Microsoft.NET core and ASP.NET (Bypass) (July 2018)”
Observação: ao utilizar esse campo, o campo “Recomendação” torna-se obrigatório. Esse campo pode ser utilizado mais de uma vez
- Mitigação: é a descrição de um controle para mitigar o apontamento
Exemplo: “Para mitigar o ataque de SQL Injection, recomenda-se a utilização de um WAF”
Observação: ao utilizar esse campo, o campo “Título da Mitigação” torna-se obrigatório. Esse campo pode ser utilizado mais de uma vez
- Título da Mitigação: é o título de um controle para mitigar o apontamento
Exemplo: “Utilização de WAF”
Observação: ao utilizar esse campo, o campo “Mitigação” torna-se obrigatório. Esse campo pode ser utilizado mais de uma vez
- Teste: é a descrição de um teste feito para identificar um apontamento
Exemplo: “Para verificar se o roteador está com a senha padrão, acesse sua console Web e coloque as credenciais admin / admin”
Observação: ao utilizar esse campo, o campo “Título do Teste” torna-se obrigatório. Esse campo pode ser utilizado mais de uma vez
- Título do Teste: é o título de um teste feito para identificar um apontamento
Exemplo: “Roteador com senha padrão”
Observação: ao utilizar esse campo, o campo “Teste” torna-se obrigatório. Esse campo pode ser utilizado mais de uma vez
- Descrição: é a descrição do apontamento
Exemplo: “O Servidor VNC está rodando com sua senha padrão: ‘password'”
- Nome do Serviço: é o nome do serviço afetado pelo apontamento
Exemplo: HTTP
- Estado: é o estado do apontamento dentro do ciclo de vida, conforme tabela abaixo:
Se essa coluna não for mapeada, todos os Apontamentos ficarão com estado Pendente
- Causa Raiz: é a causa raiz do problema. Uma forma de categorizar os apontamentos e verificar quais áreas precisam de mais atenção
Exemplo: Gerenciamento de Senhas
- Categoria: categoria a que o apontamento pertence
Exemplo: Web Servers
Observação: não há uma regra para a utilização desse campo. É uma forma de categorizar os apontamentos de acordo com sua necessidade. Esse campo pode ser utilizado mais de uma vez
- CVE: código do CVE associado ao apontamento
Exemplo: CVE-2018-8171
Observação: esse campo pode ser utilizado mais de uma vez
- CWE: código do CWE associado ao apontamento
Exemplo: 564
Observação: esse campo pode ser utilizado mais de uma vez
- Data de Criação a data da detecção do apontamento
Exemplo: 2018-01-22
Campos do Ativo Host #
- IP: é o campo principal desse tipo de ativo, o IP do host
Exemplo: 192.168.100.15
Observação: esse campo é obrigatório
- Porta: é a porta do ativo onde está o serviço vulnerável
Exemplo: 22
Observação: esse campo é obrigatório
- Severidade: é a severidade do ativo, de acordo com a tabela abaixo
Se essa campo não for mapeado, todos os Ativos entrarão no GAT Core com severidade Informativa.
- Protocolo: é o protocolo sobre o qual a vulnerabilidade é explorada
Pode ser: tcp, udp, smtp.
- Hostname: é o hostname do ativo
Exemplo: mobile-lab-latam01.meusite.com
- Sistema Operacional: é o Sistema Operacional do ativo
Exemplo: Windows Server 2008
- Netbios: é o Netbios do ativo
Exemplo: corp.contoso.com
Série #
- Introdução
- Importar apontamentos de Aplicação Web utilizando o Custom Parser
- Importar apontamentos de Processos utilizando o Custom Parser
- Importar apontamentos de Cloud utilizando o Custom Parser
- Importar apontamentos de Pessoa utilizando o Custom Parser