• /
  • EnglishEspañolFrançais日本語한국어Português
  • Inicia sesiónComenzar ahora

Te ofrecemos esta traducción automática para facilitar la lectura.

En caso de que haya discrepancias entre la versión en inglés y la versión traducida, se entiende que prevalece la versión en inglés. Visita esta página para obtener más información.

Crea una propuesta

Estructura de datos de seguridad (referencia NRQL)

Security RX almacena datos de vulnerabilidades y configuraciones incorrectas en la base de datos de New Relic (NRDB), lo que permite realizar consultas mediante NRQL. Esta guía de referencia explica los tipos de entidades, atributos y estructuras de datos que puede emplear para crear consultas, dashboards y alertas personalizados.

tipos entidad y evento

Security RX emplea los siguientes tipos de entidades y eventos para almacenar datos de seguridad:

Entidad de SecurityFinding (recomendado)

SECURITY_FINDING es un tipo de entidad especializada que sirve como contenedor genérico para todos los problemas de seguridad detectados por Security RX. Esta es la forma recomendada de consultar datos de seguridad en New Relic.

Importante: SecurityFinding se consulta como un tipo de entidad, no como un evento tradicional:

FROM Entity
SELECT * WHERE type = 'SECURITY_FINDING'

Entendiendo el tipo de hallazgo

El atributo findingType es el campo clave para distinguir la fuente de datos:

  • findingType = 'VULNERABILITY': Indica un hallazgo de vulnerabilidades de fuentes como agente APM, agente de infraestructura o escáneres de terceros (Snyk, Trivy, FOSSA).
  • findingType = 'MISCONFIGURATION': Indica un hallazgo de gestión de la postura de seguridad cloud (CSPM) de Security RX Cloud (por ejemplo, de AWS Security Hub, GuardDuty o Config)

Otros valores de findingType incluyen: LIBRARY_VULNERABILITY, INFRASTRUCTURE_VULNERABILITY, APPLICATION_VULNERABILITY, SYSTEM_VULNERABILITY, SECURITY_EVENT y OTHER.

Campos de entidad principal

Atributo

Tipo

Descripción

Ejemplo

id

Cadena

Identificador único global para este SecurityFinding (objetivo específico CVE y entidad impactada)

"ABC123..."

type

Cadena

Tipo de entidad: siempre "SECURITY_FINDING"

"SECURITY_FINDING"

name

Cadena

Título de las vulnerabilidades o mala configuración

"CVE-2024-12345: Inyección SQL en nombre-biblioteca"

scope.id

Cadena

ID de cuenta donde se detectó este hallazgo

"1234567"

scope.type

Cadena

Tipo de alcance: normalmente "ACCOUNT"

"ACCOUNT"

metadata.createdAt

Timestamp

Cuando se creó esta entidad

Timestamp de Unix

metadata.updatedAt

Timestamp

Cuando se actualizó esta entidad por última vez

Timestamp de Unix

tags

Matriz

Lista de etiquetas aplicables a la entidad (normalmente vacía para SecurityFinding)

[]

Campos de clasificación

Atributo

Tipo

Descripción

Ejemplo

vulnerabilityIdentifier

Cadena

Identificador para agregar SecurityFindings (normalmente CVE ID)

"CVE-2024-12345"

findingType

Cadena

Tipo de hallazgo de nivel superior

"VULNERABILITY", "MISCONFIGURATION"

findingSubType

Cadena

Subtipo (lenguaje para vulnerabilidades de APM, INFRA_OS_VULNERABILITY o INFRA_PACKAGE_VULNERABILITY para infraestructura)

"java", "INFRA_PACKAGE_VULNERABILITY"

source

Cadena

Fuente del hallazgo

"New Relic", "Snyk", "AWS Security Hub"

Campos de estado y gravedad

Atributo

Tipo

Descripción

Valores

severity

Cadena

Gravedad informada del hallazgo

"CRITICAL", "HIGH", "MEDIUM", "LOW", "UNKNOWN", "INFO"

status

Cadena

Estado actual del hallazgo

"AFFECTED", "IGNORED", "NO_LONGER_DETECTED", "UNKNOWN"

remediation.remediationExists

Booleano

Si existe una remediación

true, false

remediation.upgradeAction

Cadena

Actualización sugerida por Security RX

"Actualizar a la versión 2.17.1"

remediation.remediationDetails

Cadena

Breve texto de remediación de la fuente

"Actualizar la biblioteca a la versión parcheada"

remediation.url

Cadena

URL de la documentación de la fuente

"

https://example.com/security-advisory

"

Campos de referencia CVE

Para los hallazgos de vulnerabilidades, el objeto cve contiene información CVE detallada:

Atributo

Tipo

Descripción

cve.id

Cadena

Identificador CVE

cve.description

Cadena

Descripción de CVE

cve.cvssScore

Número

Puntaje CVSS

cve.cvssVector

Cadena

Cadena vectorial CVSS

cve.epssScore

Número

Puntaje de probabilidad de explotación del EPSS

cve.epssPercentile

Número

Clasificación percentil del EPSS

cve.exploitKnown

Booleano

Si existe un exploit conocido

cve.disclosureUrl

Cadena

URL donde se divulgó CVE

cve.disclosedAt

Timestamp

Cuando se reveló el CVE

Campos de configuración incorrecta (hallazgos en la nube)

Para los hallazgos de configuración incorrecta, el objeto misconfiguration contiene información específica de la nube:

Atributo

Tipo

Descripción

misconfiguration.cloudProvider

Cadena

Proveedor de nube

misconfiguration.issueTitle

Cadena

Título de la configuración incorrecta

misconfiguration.misconfigurationType

Cadena

Tipo de hallazgo sin procesar de la fuente

misconfiguration.normalizedResourceType

Cadena

Tipo de recurso simplificado (por ejemplo, "S3", "EC2", "RDS")

Campos de entidad impactados

El objeto impactedEntity identifica qué entidad de New Relic está afectada:

Atributo

Tipo

Descripción

impactedEntity.id

Cadena

GUID de entidad

impactedEntity.name

Cadena

Nombre de la entidad

impactedEntity.type

Cadena

Tipo de entidad (APM-APPLICATION, INFRA-HOST, etc.)

impactedEntity.scope.id

Cadena

ID de la cuenta

impactedEntity.scope.type

Cadena

Tipo de alcance

campos de marca de tiempo

Atributo

Tipo

Descripción

firstDetected

Timestamp

Cuando se detectó el hallazgo por primera vez

findingUpdatedAt

Timestamp

Cuándo se actualizó por última vez el hallazgo

lastSeen

Timestamp

Cuándo se supo por última vez que el hallazgo estaba activo

UI y campos internos

Atributo

Tipo

Descripción

vulnerabilityUILinks.detailsUrl

Cadena

Enlace a la página de detalles en UI Security RX

vulnerabilityUILinks.tabUrl

Cadena

Enlace a la vista de entidad en UI Security RX

internalState.status

Cadena

Campo de estado interno

internalState.active

Booleano

Bandera activa interna (usada en cloud Consulta)

entityLookupValue

Cadena

Campo interno (estará oculto en producción)

issueInstanceKey

Cadena

Campo interno (estará oculto en producción)

additionalInfo

matriz de objetos

Metadatos adicionales con pares principales de valor (empleados para ID de cuentas cloud, etc.)

Sugerencia

Los campos marcados como "internos" están actualmente visibles en NRDB, pero pueden estar ocultos en el lanzamiento final. El campo internalState.active se usa comúnmente en consultas de configuración incorrecta cloud para filtrar hallazgos activos.

ejemplos de consulta para vulnerabilidades

Contar vulnerabilidades críticas activas por entidad:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND status = 'AFFECTED'
  AND severity = 'CRITICAL'
FACET impactedEntity.name

Buscar entidad afectada por un CVE específico:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND status = 'AFFECTED'
  AND cve.id = 'CVE-2024-23944'
FACET impactedEntity.name

Encuentre CVE con campañas de ransomware activas:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND cve.exploitKnown IS true
FACET impactedEntity.name, cve.id

Encuentre vulnerabilidades que puedan explotar (puntaje EPSS alta):

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND cve.epssPercentile > '0.95'
FACET cve.id

Encuentre fuentes de información para sus hallazgos:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
FACET source

entidad con alto umbral de vulnerabilidades:

SELECT impactedEntity
FROM (
  SELECT count(*) AS vulnerableCount
  FROM Entity
  WHERE type = 'SECURITY_FINDING'
    AND severity IN ('CRITICAL', 'HIGH')
  FACET impactedEntity.name AS impactedEntity, severity
)
WHERE (severity = 'HIGH' AND vulnerableCount > 10)
   OR (severity = 'CRITICAL' AND vulnerableCount > 5)

Consulta ejemplos de configuraciones incorrectas cloud

Contar configuraciones erróneas únicas por estado:

FROM Entity
SELECT uniqueCount(misconfiguration.issueTitle)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
FACET status

Los 10 tipos de configuración incorrecta más comunes:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
  AND internalState.active = true
FACET misconfiguration.issueTitle
LIMIT 10

Encuentre las cuentas de AWS más riesgosas:

FROM Entity
SELECT uniqueCount(misconfiguration.issueTitle)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
  AND internalState.active = true
  AND severity IN ('CRITICAL', 'HIGH')
FACET aparse(additionalInfo, '%"key":"cloudProviderAccountId","values":["*"]%') AS 'AWS Account ID'
LIMIT 10

Contar configuraciones erróneas por tipo de recurso:

FROM Entity
SELECT uniqueCount(misconfiguration.issueTitle)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
  AND internalState.active = true
FACET misconfiguration.normalizedResourceType

Encuentre recursos críticos y expuestos públicamente:

FROM Entity
SELECT name, impactedEntity.name, misconfiguration.misconfigurationType
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
  AND internalState.active = true
  AND severity = 'CRITICAL'
  AND misconfiguration.misconfigurationType LIKE 'Effects/Data Exposure'
SINCE 1 day ago

NrAiIncident (legado)

Tipo de evento heredado que almacena los hallazgos de vulnerabilidades y su estado actual. Este tipo de evento aún se admite por compatibilidad con versiones anteriores, pero recomendamos usar SecurityFinding para nuevas consultas.

Uso principal: consulta de vulnerabilidades que afectan a su entidad

Atributo clave:

Atributo

Tipo

Descripción

Ejemplo

title

Cadena

título de vulnerabilidades

"CVE-2024-12345: Inyección SQL en nombre-biblioteca"

priority

Cadena

calcular el rango de prioridad

"CRITICAL", "HIGH", "MEDIUM", "LOW"

state

Cadena

Estado actual de vulnerabilidades

"OPEN", "CLOSED"

acknowledged

Booleano

Si se revisó vulnerabilidades

true, false

conditionName

Cadena

Fuente/condición de detección

"Security RX - Detección de vulnerabilidades"

entity.guid

Cadena

entidad GUID afectada por vulnerabilidades

"ABC123..."

entity.name

Cadena

Nombre de la entidad

"my-application"

entityType

Cadena

Tipo de entidad afectada

"APPLICATION", "HOST"

Ejemplo de consulta:

FROM NrAiIncident
SELECT count(*)
WHERE conditionName LIKE '%Security RX%'
FACET priority, state

Vulnerabilidades (evento personalizado)

Almacena metadatos detallados sobre vulnerabilidades, incluida información CVE, puntajes de gravedad y orientación para su remediación.

Uso principal: Profundizar en los detalles de las vulnerabilidades y los metadatos.

Atributo clave:

Atributo

Tipo

Descripción

Ejemplo

cveId

Cadena

Identificador CVE

"CVE-2024-12345"

severity

Cadena

Gravedad basada en CVSS

"CRITICAL", "HIGH", "MEDIUM", "LOW"

cvssScore

Número

Puntaje numérico del CVSS

9.8

epssScore

Número

Probabilidad de explotación del EPSS

0,95

epssPercentile

Número

Clasificación percentil del EPSS

98.5

activeRansomware

Booleano

Empleado en campañas de ransomware conocidas

true, false

affectedPackage

Cadena

Nombre de biblioteca/paquete vulnerable

"log4j-core"

affectedVersion

Cadena

Versión del paquete vulnerable

"2.14.0"

fixedVersion

Cadena

Versión con corrección

"2.17.1"

entityGuid

Cadena

GUID de la entidad afectada

"ABC123..."

source

Cadena

Fuente de detección

"APM_AGENT", "SNYK", "AWS_SECURITY_HUB"

Ejemplo de consulta:

FROM Vulnerability
SELECT count(*)
WHERE severity = 'CRITICAL'
AND activeRansomware = true
FACET affectedPackage

NrAiIncidentTimeline

Realiza un seguimiento de los cambios de estado y los eventos del ciclo de vida en busca de vulnerabilidades.

Uso principal: Auditar el historial del estado de las vulnerabilidades y realizar un seguimiento del progreso de la remediación.

Atributo clave:

Atributo

Tipo

Descripción

Ejemplo

incidentId

Cadena

ID de incidentes/vulnerabilidades relacionados

"INC-123"

timestamp

Timestamp

Cuando el estado cambió

Timestamp de Unix

event

Cadena

Tipo de cambio

"STATUS_CHANGED", "DETECTED", "RESOLVED"

previousState

Cadena

Estado antes del cambio

"AFFECTED"

newState

Cadena

Estado luego del cambio

"IGNORED"

changedBy

Cadena

usuario que realizó el cambio

"user@example.com"

reason

Cadena

Motivo del cambio de estado

"Falso positivo: no se emplea la ruta de código vulnerable"

Ejemplo de consulta:

FROM NrAiIncidentTimeline
SELECT timestamp, event, previousState, newState, changedBy
WHERE event = 'STATUS_CHANGED'
SINCE 7 days ago

Atributo común entre los tipos de eventos

Estos atributos aparecen en múltiples tipos de eventos:

Identificación de la entidad

Atributo

Descripción

entity.guid

Identificador único de la entidad afectada

entity.name

Nombre de entidad legible para humanos

entity.type

tipo de entidad (APPLICATION, HOST, SERVICE)

accountId

ID de cuenta de New Relic

Marca de tiempo

Atributo

Descripción

timestamp

Cuando ocurrió el evento

detectedAt

Cuando se detectó por primera vez la vulnerabilidad

updatedAt

timestampde la última actualización

resolvedAt

Cuando vulnerabilidades fue marcada como resuelta

Seguimiento de la fuente

Atributo

Descripción

source

Fuente de datos (APM_AGENT, INFRASTRUCTURE, SNYK, etc.)

sourceId

ID única del sistema de origen

integrationName

integración que proporcionó datos

Relaciones de datos

Comprender cómo se relacionan los tipos de datos entre sí:

Enfoque moderno (recomendado)

SecurityFinding Entity (type = 'SECURITY_FINDING')
    ↓ contains
    ├─ findingType (VULNERABILITY or MISCONFIGURATION)
    ├─ cve (CVE details for vulnerabilities)
    ├─ misconfiguration (Cloud security details)
    └─ impactedEntity (Affected New Relic entity)

Enfoque heredado (compatibilidad con versiones anteriores)

Entity (Application/Host)
    ↓ has many
NrAiIncident (Active vulnerabilities)
    ↓ references
Vulnerability (CVE details)
    ↓ has many
NrAiIncidentTimeline (Status history)

Patrones de consulta

Sugerencia

Recomendado: emplee SecurityFinding entidad consulta (que se muestra en la sección SecurityFinding anterior) para nuevas implementaciones. Los patrones a continuación emplean tipos de eventos legacy y se proporcionan únicamente para compatibilidad con versiones anteriores.

Patrones de consulta modernos

Para conocer los patrones de consulta modernos que emplean la entidad SecurityFinding, consulte las secciones de ejemplos de consulta anteriores.

Patrones de consulta heredados

Estos patrones emplean los tipos de eventos legacy :

Unir datos de entidad con vulnerabilidades (legacy)

FROM NrAiIncident
SELECT entity.name, count(*) as 'Vulnerability Count'
WHERE conditionName LIKE '%Security RX%'
AND state = 'OPEN'
FACET entity.name
SINCE 1 day ago

Equivalente moderno:

FROM Entity
SELECT impactedEntity.name, count(*) as 'Vulnerability Count'
WHERE type = 'SECURITY_FINDING'
  AND status = 'AFFECTED'
FACET impactedEntity.name
SINCE 1 day ago

Calcular ventanas de exposición (heredadas)

FROM Vulnerability
SELECT entity.name,
       cveId,
       (max(timestamp) - min(timestamp)) / 86400 as 'Days Exposed'
WHERE severity IN ('CRITICAL', 'HIGH')
FACET entity.name, cveId
SINCE 30 days ago

Equivalente moderno:

FROM Entity
SELECT impactedEntity.name,
       cve.id,
       (max(findingUpdatedAt) - min(firstDetected)) / 86400 as 'Days Exposed'
WHERE type = 'SECURITY_FINDING'
  AND severity IN ('CRITICAL', 'HIGH')
FACET impactedEntity.name, cve.id
SINCE 30 days ago

Velocidad de remediación de la pista (heredada)

FROM NrAiIncidentTimeline
SELECT count(*) as 'Vulnerabilities Resolved'
WHERE event = 'STATUS_CHANGED'
AND newState = 'CLOSED'
FACET weekOf(timestamp)
SINCE 90 days ago

Importante

Para rastrear los cambios de estado con la entidad SecurityFinding, monitoree los cambios en el campo status a lo largo del tiempo o use las alertas New Relic para recibir notificaciones cuando ocurran cambios de estado.

Tipos y formatos de atributos

Valores de gravedad

CRITICAL - CVSS 9.0-10.0
HIGH     - CVSS 7.0-8.9
MEDIUM   - CVSS 4.0-6.9
LOW      - CVSS 0.1-3.9
INFO     - CVSS 0.0

Valores estatales

OPEN      - Vulnerability currently active
CLOSED    - Vulnerability resolved or fixed
AFFECTED  - Entity is confirmed affected
IGNORED   - Marked as not applicable
NO_LONGER_DETECTED - No longer seen in scans

Valores fuente

APM_AGENT            - Detected by New Relic APM agent
INFRASTRUCTURE       - Detected by Infrastructure agent
SNYK                 - Imported from Snyk
AWS_SECURITY_HUB     - Imported from AWS Security Hub
DEPENDABOT           - Imported from GitHub Dependabot
FOSSA                - Imported from FOSSA
TRIVY                - Imported from Trivy
SECURITY_DATA_API    - Sent via API

Consejos para realizar consultas

Filtrar por gravedad (enfoque moderno)

Los hallazgos se priorizan según su gravedad:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND severity IN ('CRITICAL', 'HIGH')
  AND status = 'AFFECTED'
FACET impactedEntity.name

Filtrar por tipo de búsqueda

Separe las vulnerabilidades de las configuraciones incorrectas:

-- Vulnerabilities only
FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'VULNERABILITY'
FACET impactedEntity.type


-- Misconfigurations only
FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
FACET misconfiguration.normalizedResourceType

Filtrar por tipo de entidad

Separar las vulnerabilidades de la aplicación de la infraestructura:

-- Application vulnerabilities
FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND impactedEntity.type LIKE '%APPLICATION%'
FACET impactedEntity.name


-- Infrastructure vulnerabilities
FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND impactedEntity.type LIKE '%HOST%'
FACET impactedEntity.name

Filtrar por fuente de detección

resultados de la consulta de integración específica:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND source = 'Snyk'
FACET severity

Filtrado basado en el tiempo

Encuentre hallazgos detectados recientemente:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND firstDetected > ago(7 days)
FACET cve.id, severity

Creación de dashboards personalizados

Emplee la entidad SecurityFinding para crear un dashboard de seguridad completo:

  1. Dashboard ejecutivo : métrica de seguridad de alto nivel en todos los tipos de hallazgos

    FROM Entity
    SELECT count(*)
    WHERE type = 'SECURITY_FINDING'
      AND status = 'AFFECTED'
    FACET severity, findingType

  2. Tendencias de vulnerabilidades : seguimiento de la detección de vulnerabilidades a lo largo del tiempo.

    FROM Entity
    SELECT count(*)
    WHERE type = 'SECURITY_FINDING'
      AND findingType = 'VULNERABILITY'
    FACET weekOf(firstDetected)
    SINCE 90 days ago

  3. Postura de seguridad en la nube : Monitorear las configuraciones incorrectas cloud

    FROM Entity
    SELECT uniqueCount(misconfiguration.issueTitle)
    WHERE type = 'SECURITY_FINDING'
      AND findingType = 'MISCONFIGURATION'
    FACET misconfiguration.cloudProvider, severity

  4. Postura de seguridad de la entidad - Vistas de seguridad por entidad

    FROM Entity
    SELECT count(*) AS 'Findings'
    WHERE type = 'SECURITY_FINDING'
      AND status = 'AFFECTED'
    FACET impactedEntity.name, severity

Para obtener más ejemplos de consulta, consulte Ejemplos de consulta de datos de seguridad.

Enfoques dashboards heredados

Para mantener la compatibilidad con versiones anteriores, aún puede usar los tipos de eventos legacy (NrAiIncident, Vulnerability, NrAiIncidentTimeline), pero recomendamos migrar a la entidad SecurityFinding para el nuevo dashboard.

¿Que sigue?

Ejemplos de consulta

Consulta NRQL lista para usar para escenarios de seguridad comunes

Configurar alerta

Crear alertas basadas en NRQL para vulnerabilidades

Gestionar el estado de vulnerabilidades

Cambiar el estado de las vulnerabilidades y realizar un seguimiento de su remediación

Copyright © 2025 New Relic Inc.
CarrerasTérminos de servicioPolítica de DMCAAviso de PatenteAviso de privacidadPolítica de cookiesUK Slavery Act (Ley contra la esclavitud del RU)

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.