• /
  • EnglishEspañolFrançais日本語한국어Português
  • EntrarComeçar agora

Esta tradução de máquina é fornecida para sua comodidade.

Caso haja alguma divergência entre a versão em inglês e a traduzida, a versão em inglês prevalece. Acesse esta página para mais informações.

Criar um problema

Estrutura de dados de segurança (referência NRQL)

O Security RX armazena dados de vulnerabilidades e configurações incorretas no banco de dados da New Relic (NRDB), permitindo que sejam consultados usando NRQL. Este guia de referência explica os tipos de entidades, atributos e estrutura de dados que você pode usar para criar consultas, dashboards e alertas personalizados.

Tipos de entidade e evento

O Security RX utiliza os seguintes tipos de entidade e evento para armazenar dados de segurança:

Entidade SecurityFinding (Recomendado)

O SECURITY_FINDING é um tipo de entidade especializada que serve como um contêiner genérico para todos os problemas de segurança detectados pelo Security RX. Esta é a forma recomendada de consultar dados de segurança no New Relic.

Importante: SecurityFinding é consultado como um tipo de entidade, não como um evento tradicional:

FROM Entity
SELECT * WHERE type = 'SECURITY_FINDING'

Compreendendo o tipo de descoberta

O atributo findingType é o campo chave para distinguir a fonte de dados:

  • findingType = 'VULNERABILITY': Indica uma descoberta de vulnerabilidades de fontes como agente APM, agente de infraestrutura ou scanners de terceiros (Snyk, Trivy, FOSSA)
  • findingType = 'MISCONFIGURATION': Indica uma descoberta de gerenciamento de postura de segurança cloud (CSPM) do Security RX Cloud (por exemplo, do AWS Security Hub, GuardDuty ou Config)

Outros valores de findingType incluem: LIBRARY_VULNERABILITY, INFRASTRUCTURE_VULNERABILITY, APPLICATION_VULNERABILITY, SYSTEM_VULNERABILITY, SECURITY_EVENT e OTHER.

Campos principais da entidade

Atributo

Tipo

Descrição

Exemplo

id

Corda

Identificador globalmente exclusivo para este SecurityFinding (CVE específico do destino e entidade impactada)

"ABC123..."

type

Corda

Tipo de entidade - sempre "SECURITY_FINDING"

"SECURITY_FINDING"

name

Corda

Título das vulnerabilidades ou má configuração

"CVE-2024-12345: SQL injeção na biblioteca-name"

scope.id

Corda

ID da conta onde essa descoberta foi detectada.

"1234567"

scope.type

Corda

Tipo de escopo - normalmente "ACCOUNT"

"ACCOUNT"

metadata.createdAt

Timestamp

Quando esta entidade foi criada

TimestampUnix

metadata.updatedAt

Timestamp

Quando esta entidade foi atualizada pela última vez

TimestampUnix

tags

Matriz

Lista de tags aplicáveis à entidade (normalmente vazia para SecurityFinding)

[]

Campos de classificação

Atributo

Tipo

Descrição

Exemplo

vulnerabilityIdentifier

Corda

Identificador para agregar SecurityFindings (geralmente um ID CVE)

"CVE-2024-12345"

findingType

Corda

Tipo de descoberta de nível superior

"VULNERABILITY", "MISCONFIGURATION"

findingSubType

Corda

Subtipo (idioma para vulnerabilidades APM, INFRA_OS_VULNERABILITY ou INFRA_PACKAGE_VULNERABILITY para infraestrutura)

"java", "INFRA_PACKAGE_VULNERABILITY"

source

Corda

Fonte da descoberta

"New Relic", "Snyk", "AWS Security Hub"

Campos de status e gravidade

Atributo

Tipo

Descrição

Valores

severity

Corda

Gravidade relatada da descoberta

"CRITICAL", "HIGH", "MEDIUM", "LOW", "UNKNOWN", "INFO"

status

Corda

Estado atual da descoberta

"AFFECTED", "IGNORED", "NO_LONGER_DETECTED", "UNKNOWN"

remediation.remediationExists

Boleano

Existe alguma solução?

true, false

remediation.upgradeAction

Corda

Atualização sugerida pela Security RX

"Atualize para a versão 2.17.1"

remediation.remediationDetails

Corda

Breve texto de correção da fonte

"Atualizar biblioteca para a versão corrigida"

remediation.url

Corda

URL da documentação da fonte

"

https://example.com/security-advisory

"

Campos de referência CVE

Para informações sobre vulnerabilidades, o objeto cve contém informações detalhadas sobre CVEs:

Atributo

Tipo

Descrição

cve.id

Corda

Identificador CVE

cve.description

Corda

Descrição da CVE

cve.cvssScore

Número

Pontuação CVSS

cve.cvssVector

Corda

string vetorial CVSS

cve.epssScore

Número

Pontuação de probabilidade de exploração EPSS

cve.epssPercentile

Número

Classificação percentual EPSS

cve.exploitKnown

Boleano

Existe alguma vulnerabilidade conhecida que possa ser explorada?

cve.disclosureUrl

Corda

URL onde a CVE foi divulgada

cve.disclosedAt

Timestamp

Quando o CVE foi divulgado

Campos de configuração incorreta (Resultados na nuvem)

Para informações sobre erros de configuração, o objeto misconfiguration contém informações específicas da nuvem:

Atributo

Tipo

Descrição

misconfiguration.cloudProvider

Corda

Provedor de nuvem

misconfiguration.issueTitle

Corda

Título da configuração incorreta

misconfiguration.misconfigurationType

Corda

Tipo de resultado bruto da fonte

misconfiguration.normalizedResourceType

Corda

Tipo de recurso simplificado (ex.: "S3", "EC2", "RDS")

Campos da entidade afetados

O objeto impactedEntity identifica qual entidade do New Relic é afetada:

Atributo

Tipo

Descrição

impactedEntity.id

Corda

GUID da entidade

impactedEntity.name

Corda

Nome da entidade

impactedEntity.type

Corda

Tipo de entidade (APM-APPLICATION, INFRA-HOST, etc.)

impactedEntity.scope.id

Corda

ID da conta

impactedEntity.scope.type

Corda

Tipo de escopo

campos de carimbo de data/hora

Atributo

Tipo

Descrição

firstDetected

Timestamp

Quando a descoberta foi detectada pela primeira vez

findingUpdatedAt

Timestamp

Quando a descoberta foi atualizada pela última vez

lastSeen

Timestamp

Quando a descoberta foi considerada ativa pela última vez

interface e campos internos

Atributo

Tipo

Descrição

vulnerabilityUILinks.detailsUrl

Corda

Link para a página de detalhes na interface do usuário do Security RX.

vulnerabilityUILinks.tabUrl

Corda

Link para a visualização da entidade na interface do usuário do Security RX

internalState.status

Corda

Campo de status interno

internalState.active

Boleano

Sinalizador interno ativo (usado no cloud Consulta)

entityLookupValue

Corda

Campo interno (ficará oculto em produção)

issueInstanceKey

Corda

Campo interno (ficará oculto em produção)

additionalInfo

matriz de objetos

Adicionalmente, com pares de valores principais (usados para IDs de contas cloud, etc.)

Dica

Os campos marcados como "internos" estão atualmente visíveis no NRDB, mas podem ficar ocultos após o lançamento final. O campo internalState.active é comumente usado em consultoria de configuração incorreta cloud para filtrar resultados ativos.

exemplos de consulta para vulnerabilidades

Contabilizar vulnerabilidades críticas ativas por entidade:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND status = 'AFFECTED'
  AND severity = 'CRITICAL'
FACET impactedEntity.name

Encontre a entidade afetada por uma CVE específica:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND status = 'AFFECTED'
  AND cve.id = 'CVE-2024-23944'
FACET impactedEntity.name

Encontre vulnerabilidades CVE com campanhas de ransomware ativas:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND cve.exploitKnown IS true
FACET impactedEntity.name, cve.id

Identificar vulnerabilidades provavelmente exploráveis (pontuação EPSS alta):

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND cve.epssPercentile > '0.95'
FACET cve.id

Encontre fontes de informação para suas descobertas:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
FACET source

entidade com elevado limite de vulnerabilidades:

SELECT impactedEntity
FROM (
  SELECT count(*) AS vulnerableCount
  FROM Entity
  WHERE type = 'SECURITY_FINDING'
    AND severity IN ('CRITICAL', 'HIGH')
  FACET impactedEntity.name AS impactedEntity, severity
)
WHERE (severity = 'HIGH' AND vulnerableCount > 10)
   OR (severity = 'CRITICAL' AND vulnerableCount > 5)

exemplos de consulta para configurações incorretas cloud

Contabilizar configurações incorretas únicas por status:

FROM Entity
SELECT uniqueCount(misconfiguration.issueTitle)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
FACET status

Os 10 tipos de erros de configuração mais comuns:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
  AND internalState.active = true
FACET misconfiguration.issueTitle
LIMIT 10

Encontre as contas da AWS mais arriscadas:

FROM Entity
SELECT uniqueCount(misconfiguration.issueTitle)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
  AND internalState.active = true
  AND severity IN ('CRITICAL', 'HIGH')
FACET aparse(additionalInfo, '%"key":"cloudProviderAccountId","values":["*"]%') AS 'AWS Account ID'
LIMIT 10

Contabilizar configurações incorretas por tipo de recurso:

FROM Entity
SELECT uniqueCount(misconfiguration.issueTitle)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
  AND internalState.active = true
FACET misconfiguration.normalizedResourceType

Encontre recursos essenciais e de acesso público:

FROM Entity
SELECT name, impactedEntity.name, misconfiguration.misconfigurationType
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
  AND internalState.active = true
  AND severity = 'CRITICAL'
  AND misconfiguration.misconfigurationType LIKE 'Effects/Data Exposure'
SINCE 1 day ago

NrAiIncident (legado)

Tipo de evento legado que armazena descobertas de vulnerabilidades e seu status atual. Este tipo de evento ainda é suportado para compatibilidade com versões anteriores, mas recomendamos o uso de SecurityFinding para novas consultas.

Uso primário: consulta vulnerabilidades que afetam sua entidade

Atributo chave:

Atributo

Tipo

Descrição

Exemplo

title

Corda

título

"CVE-2024-12345: SQL injeção na biblioteca-name"

priority

Corda

classificação de prioridade do computador

"CRITICAL", "HIGH", "MEDIUM", "LOW"

state

Corda

Estado atual de vulnerabilidades

"OPEN", "CLOSED"

acknowledged

Boleano

Se o anúncio foi revisado

true, false

conditionName

Corda

Fonte/condição de detecção

"Security RX - Detecção de Abusos"

entity.guid

Corda

entidade GUID afetada por vulnerabilidades

"ABC123..."

entity.name

Corda

Nome da entidade

"my-application"

entityType

Corda

Tipo de entidade afetada

"APPLICATION", "HOST"

Exemplo de consulta:

FROM NrAiIncident
SELECT count(*)
WHERE conditionName LIKE '%Security RX%'
FACET priority, state

Vulnerabilidades (evento personalizado)

Armazena metadados detalhados sobre vulnerabilidades, incluindo informações sobre CVEs, pontuações de gravidade e orientações para correção.

Uso principal: Análise detalhada das vulnerabilidades e metadados.

Atributo chave:

Atributo

Tipo

Descrição

Exemplo

cveId

Corda

Identificador CVE

"CVE-2024-12345"

severity

Corda

Gravidade baseada no CVSS

"CRITICAL", "HIGH", "MEDIUM", "LOW"

cvssScore

Número

Pontuação numérica CVSS

9,8

epssScore

Número

EPSS explora probabilidade

0,95

epssPercentile

Número

Classificação percentual EPSS

98,5

activeRansomware

Boleano

Utilizado em campanhas de ransomware conhecidas

true, false

affectedPackage

Corda

Nome da biblioteca/pacote vulnerável

"log4j-core"

affectedVersion

Corda

Versão vulnerável do pacote

"2.14.0"

fixedVersion

Corda

Versão com correção

"2.17.1"

entityGuid

Corda

GUID da entidade afetada

"ABC123..."

source

Corda

Fonte de detecção

"APM_AGENT", "SNYK", "AWS_SECURITY_HUB"

Exemplo de consulta:

FROM Vulnerability
SELECT count(*)
WHERE severity = 'CRITICAL'
AND activeRansomware = true
FACET affectedPackage

NrAiIncidentTimeline

Monitora as mudanças de status e os eventos do ciclo de vida das vulnerabilidades.

Uso principal: Auditar o histórico de vulnerabilidades e acompanhar o progresso da correção.

Atributo chave:

Atributo

Tipo

Descrição

Exemplo

incidentId

Corda

ID do incidente/vulnerabilidade relacionado

"INC-123"

timestamp

Timestamp

Quando o status mudou

TimestampUnix

event

Corda

Tipo de alteração

"STATUS_CHANGED", "DETECTED", "RESOLVED"

previousState

Corda

Estado antes da mudança

"AFFECTED"

newState

Corda

Estado após a mudança

"IGNORED"

changedBy

Corda

usuário que fez a alteração

"user@example.com"

reason

Corda

Motivo da alteração de status

"Falso positivo - não está usando o caminho de código vulnerável"

Exemplo de consulta:

FROM NrAiIncidentTimeline
SELECT timestamp, event, previousState, newState, changedBy
WHERE event = 'STATUS_CHANGED'
SINCE 7 days ago

Atributo comum a todos os tipos de eventos

Esses atributos aparecem em vários tipos de eventos:

Identificação da entidade

Atributo

Descrição

entity.guid

Identificador único da entidade afetada

entity.name

Nome da entidade legível por humanos

entity.type

tipo de entidade (APPLICATION, HOST, SERVICE)

accountId

ID da conta New Relic

Carimbo de data/hora

Atributo

Descrição

timestamp

Quando o evento ocorreu

detectedAt

Quando foi detectado pela primeira vez

updatedAt

Última timestamp

resolvedAt

Quando (s) foi marcado como resolvido

Rastreamento de origem

Atributo

Descrição

source

Fonte de dados (APM_AGENT, INFRASTRUCTURE, SNYK, etc.)

sourceId

ID único do sistema de origem

integrationName

integração que forneceu dados

Relações de dados

Entender como os tipos de dados se relacionam entre si:

Abordagem moderna (recomendada)

SecurityFinding Entity (type = 'SECURITY_FINDING')
    ↓ contains
    ├─ findingType (VULNERABILITY or MISCONFIGURATION)
    ├─ cve (CVE details for vulnerabilities)
    ├─ misconfiguration (Cloud security details)
    └─ impactedEntity (Affected New Relic entity)

abordagem legada (Compatibilidade com versões anteriores)

Entity (Application/Host)
    ↓ has many
NrAiIncident (Active vulnerabilities)
    ↓ references
Vulnerability (CVE details)
    ↓ has many
NrAiIncidentTimeline (Status history)

Padrões de consulta

Dica

Recomendação: Use SecurityFinding entidade consulta (mostrada na seção SecurityFinding acima) para novas implementações. Os padrões abaixo utilizam tipos de eventos legados e são fornecidos apenas para fins de compatibilidade com versões anteriores.

Padrões de consulta modernos

Para padrões modernos de consulta usando a entidade SecurityFinding, consulte as seções de exemplos de consulta acima.

padrões de consulta legados

Esses padrões utilizam os tipos de evento legados:

Unir dados de entidade com vulnerabilidades (legado)

FROM NrAiIncident
SELECT entity.name, count(*) as 'Vulnerability Count'
WHERE conditionName LIKE '%Security RX%'
AND state = 'OPEN'
FACET entity.name
SINCE 1 day ago

Equivalente moderno:

FROM Entity
SELECT impactedEntity.name, count(*) as 'Vulnerability Count'
WHERE type = 'SECURITY_FINDING'
  AND status = 'AFFECTED'
FACET impactedEntity.name
SINCE 1 day ago

Calcular janelas de exposição (legado)

FROM Vulnerability
SELECT entity.name,
       cveId,
       (max(timestamp) - min(timestamp)) / 86400 as 'Days Exposed'
WHERE severity IN ('CRITICAL', 'HIGH')
FACET entity.name, cveId
SINCE 30 days ago

Equivalente moderno:

FROM Entity
SELECT impactedEntity.name,
       cve.id,
       (max(findingUpdatedAt) - min(firstDetected)) / 86400 as 'Days Exposed'
WHERE type = 'SECURITY_FINDING'
  AND severity IN ('CRITICAL', 'HIGH')
FACET impactedEntity.name, cve.id
SINCE 30 days ago

Velocidade de remediação da pista (legado)

FROM NrAiIncidentTimeline
SELECT count(*) as 'Vulnerabilities Resolved'
WHERE event = 'STATUS_CHANGED'
AND newState = 'CLOSED'
FACET weekOf(timestamp)
SINCE 90 days ago

Importante

Para rastrear mudanças de status com a entidade SecurityFinding, monitore as mudanças no campo status ao longo do tempo ou use alertas New Relic para receber notificações quando ocorrerem mudanças de status.

Tipos e formatos de atributos

Valores de gravidade

CRITICAL - CVSS 9.0-10.0
HIGH     - CVSS 7.0-8.9
MEDIUM   - CVSS 4.0-6.9
LOW      - CVSS 0.1-3.9
INFO     - CVSS 0.0

Valores do Estado

OPEN      - Vulnerability currently active
CLOSED    - Vulnerability resolved or fixed
AFFECTED  - Entity is confirmed affected
IGNORED   - Marked as not applicable
NO_LONGER_DETECTED - No longer seen in scans

Valores de origem

APM_AGENT            - Detected by New Relic APM agent
INFRASTRUCTURE       - Detected by Infrastructure agent
SNYK                 - Imported from Snyk
AWS_SECURITY_HUB     - Imported from AWS Security Hub
DEPENDABOT           - Imported from GitHub Dependabot
FOSSA                - Imported from FOSSA
TRIVY                - Imported from Trivy
SECURITY_DATA_API    - Sent via API

Dicas para fazer consultas

Filtrar por gravidade (abordagem moderna)

Os resultados são priorizados com base na gravidade:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND severity IN ('CRITICAL', 'HIGH')
  AND status = 'AFFECTED'
FACET impactedEntity.name

Filtrar por tipo de busca

Separar vulnerabilidades de configurações incorretas:

-- Vulnerabilities only
FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'VULNERABILITY'
FACET impactedEntity.type


-- Misconfigurations only
FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND findingType = 'MISCONFIGURATION'
FACET misconfiguration.normalizedResourceType

Filtrar por tipo de entidade

Separe o aplicativo das vulnerabilidades de infraestrutura:

-- Application vulnerabilities
FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND impactedEntity.type LIKE '%APPLICATION%'
FACET impactedEntity.name


-- Infrastructure vulnerabilities
FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND impactedEntity.type LIKE '%HOST%'
FACET impactedEntity.name

Filtrar por fonte de detecção

resultados da consulta de integração específica:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND source = 'Snyk'
FACET severity

Filtragem baseada no tempo

Encontre as descobertas detectadas recentemente:

FROM Entity
SELECT count(*)
WHERE type = 'SECURITY_FINDING'
  AND firstDetected > ago(7 days)
FACET cve.id, severity

Construindo dashboards personalizados

Utilize a entidade SecurityFinding para criar um dashboard de segurança abrangente:

  1. Dashboard executivo - Métricas de segurança de alto nível para todos os tipos de achados.

    FROM Entity
    SELECT count(*)
    WHERE type = 'SECURITY_FINDING'
      AND status = 'AFFECTED'
    FACET severity, findingType

  2. tendências de vulnerabilidades - Rastreie a detecção de vulnerabilidades ao longo do tempo

    FROM Entity
    SELECT count(*)
    WHERE type = 'SECURITY_FINDING'
      AND findingType = 'VULNERABILITY'
    FACET weekOf(firstDetected)
    SINCE 90 days ago

  3. Postura de segurança na nuvem - Monitore configurações incorretas cloud

    FROM Entity
    SELECT uniqueCount(misconfiguration.issueTitle)
    WHERE type = 'SECURITY_FINDING'
      AND findingType = 'MISCONFIGURATION'
    FACET misconfiguration.cloudProvider, severity

  4. Postura de segurança da entidade - Visualizações de segurança por entidade

    FROM Entity
    SELECT count(*) AS 'Findings'
    WHERE type = 'SECURITY_FINDING'
      AND status = 'AFFECTED'
    FACET impactedEntity.name, severity

Para mais exemplos de consulta, veja Exemplos de consulta de dados de segurança.

Abordagens legadas dashboards

Para compatibilidade com versões anteriores, você ainda pode usar os tipos de evento legados (NrAiIncident, Vulnerability, NrAiIncidentTimeline), mas recomendamos migrar para a entidade SecurityFinding para o novo dashboard.

Qual é o próximo?

Exemplos de consulta

Consulta NRQL pronta para uso em cenários de segurança comuns.

Configurar alerta

Criar alertas baseados em NRQL para vulnerabilidades

Gerenciar status de vulnerabilidades

Alterar o status de vulnerabilidade e acompanhar a remediação.

Copyright © 2025 New Relic Inc.
CarreirasTermos de serviçoPolítica do DMCAAviso de patenteAviso de privacidadePolítica de cookiesUK Slavery Act

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.