Qualys 製品センサーがデータを収集して Qualys アプリケーションに自動的に送信すると、情報が継続的に分析され、関連付けられます。Qualys Vulnerability Integrationとして Vulnerability Response と簡単に統合して、脆弱性を CI およびビジネスサービスにマッピングし、悪意がある可能性の脅威の影響度と優先度を判別します。

[脆弱性] > [管理] > [セットアップアシスタント] を使用して、柔軟性と拡張性に優れた方法でデータを取得できるように Qualys Vulnerability Integrationを構成します。

Qualys クラウドプラットフォーム アプリケーションを複数展開している場合は、展開ごとに統合を追加できます。複数のサードパーティの展開と脆弱性によって識別される資産は、CMDB と統合され、調整されます。この統合は、複数の展開間でスキャンプロセスが重複している場合でも行われます。各展開から供給されたデータは、Vulnerability Response の単一インスタンスで識別されて利用可能です。 Qualys Vulnerability Integrationナレッジベースレコードは展開全体で正規化され、展開全体で同じ脆弱性のインスタンスが同じ脆弱性として確実に扱われます。
注: 元の脆弱性統合は削除できませんが、無効にすることはできます。無効になったテンプレートから作成された統合は、デフォルトで無効になっています。

統合レコードごとに run-as ユーザーが構成されています。このユーザーのデフォルト値は VR.System です。この値は変更しないでください。

注: Qualys Vulnerability Integrationはアプライアンスリスト、資産グループ、動的検索リスト、および静的検索リストの統合を作成しますが、通常の運用には必要ありません。

利用可能バージョン

Washington DC のリリースバージョン リリースノート

Qualys Vulnerability Integration v12.7、v12.8

互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。

インストールされるコンポーネント

統合とともにインストールされているロール、統合ジョブ、テーブルの現在のリスト、およびインスタンスに現在インストールされている内容を表示する方法のリンクについては、「Qualys Vulnerability Integration とともにインストールされるコンポーネント」を参照してください。

プライマリ統合とサポート統合

Qualys のプライマリ統合とサポート統合は、Qualys Vulnerability Integration からデータを取得することで、インスタンスの脆弱性データを拡張します。一連のスケジュール済みジョブによって、統合が自動的に呼び出されます。手動で実行することもできます。スケジュール済みジョブでは、インスタンスを他の脆弱性管理システムと同期させることで、脆弱性修復ライフサイクルを簡素化します。プライマリ統合とサポート統合は変更可能です。

Qualys 統合はスケジュール済みジョブとして実行されます。統合レコードごとに run-as ユーザーが構成されています。このユーザーのデフォルト値は VR.System です。この値は変更しないでください。
注: 有効な run-as ユーザーを設定しないと、統合が実行されるたびに、データソースレコードにデータ検索添付ファイルが重複して作成される場合があります。データソースの添付ファイルが複数になると処理時間が増加し、変換結果に一貫性がなくなります。

インポート中、CVE レコードがまだ存在しない場合は NVD レコードとして作成され、デフォルトで Qualys のサードパーティエントリーで参照されます。

Vulnerability Response アプリケーションでユーザーとグループが表示および実行できることを管理できるように、ペルソナと詳細ルールが用意されています。セットアップアシスタントでのペルソナロールの初期アサインについては、「セットアップアシスタントを使用した Vulnerability Response ペルソナロールのアサイン」を参照してください。詳細なロール管理の詳細については、「Vulnerability Response のペルソナと詳細ロールの管理」を参照してください。

プライマリ統合

プライマリ統合は、スケジュールに基づいて呼び出される Qualys API とやり取りする Qualys クラウドプラットフォーム へのエントリーポイントです。

[Qualys Vulnerability Integration] > [管理] > [プライマリ統合] に移動して、プライマリ統合を表示します。

サポート統合

サポート統合は、スケジュールに従って、またはプライマリ統合による発動なしで実行されることを意図していないプロセスです。

[Qualys Vulnerability Integration] > [管理] > [サポート統合] に移動して、サポート統合を表示します。

Qualys のサービスグラフコネクタ

バージョン 2.2 以降、Qualys 用のサービスグラフコネクタは ServiceNow® ストア から入手できます。詳細については、「Service Graph Connector for Qualys」を参照してください。

Qualys データソースのフィールドからのデータは、グローバル資産 API と資産管理およびタグ付け API を使用してインポートされます。

グローバル資産 API:
  • CSAM ライセンスが必要です。
  • 資産情報には、ハードウェアカテゴリや OS カテゴリなどの詳細が含まれます。
資産管理とタグ付け API:
  • CSAM ライセンスは不要です。
  • 資産情報には、ハードウェアカテゴリや OS カテゴリについての詳細は含まれません。

詳細については、「Service Graph Connector for Qualys API」を参照してください。

識別および調整エンジン (IRE) を使用した CI の作成

既存の CI がサードパーティのスキャナーからインポートされたホストと一致しない場合、識別および調整エンジン (IRE) を使用して新しい CI を作成できます。新しいクラスを使用して CI を作成するには、CMDB CI クラスモデルプラグインを有効にします。これを行わない場合は、一致しない CI が [不一致] CI クラスに作成されます。詳細については、「識別および調整エンジンを使用して Vulnerability Response の CI を作成する」を参照してください。一致しないクラウドリソースの分類を優先 CI クラスに構成する方法の詳細については、「一致しないクラウド資産の CI クラスの更新」を参照してください。

検索リスト

検索リストは、脆弱性のカスタムグループを作成するために Qualys で使用されます。それらを保存して、チケットの作成や、脆弱性スキャンとレポートのカスタマイズに使用できます。検索リストモジュールを使用すると、スケジュールに基づいて Qualys からインスタンスに検索リストデータをダウンロードできます。

検索リストは、動的検索リストインポートまたは静的検索リストインポートデータ変換マップを使用して Qualys からプルされます。これらの各変換では、インポートを実行するスケジュールを定義できます。

オプションプロファイル

オプションプロファイルは Qualys スキャン設定で使用できます。Now Platform からスキャンを開始する場合は、オプションプロファイルが必要です。

オプションプロファイルは、オプションプロファイルリスト統合によって Qualys 製品からインポートされます。検索リスト統合、Qualys 動的検索リスト、および Qualys 静的検索リスト統合からインポートした後にオプションプロファイルリスト統合を実行すると、オプションプロファイルに関連付けられている検索リストを確認できます。

資産グループ

資産グループは Qualys プラットフォームで設定されます。資産グループは、Now Platform からスキャンが開始されたときに、一致する IP アドレスのスキャンに使用されるスキャナーアプライアンスを識別します。

アプライアンスが関連付けられている資産グループは、資産グループリスト統合によって Qualys からプルされます。

資産グループをインポートした後、アプライアンスリスト統合を開始して、Now Platform の Qualys デフォルトアプリケーションレコードの [アプライアンス名] フィールドと [アプライアンスステータス] フィールドに入力します。

ホストタグ

すべてのホストタグは Qualys ホストリスト統合の一部としてインポートされます。ホストタグは、主に Vulnerability Response アサインおよび脆弱性グループルールでのフィルタリングに使用されます。これらは [検出されたアイテム] フォームに表示されます。
注: Qualys ホストリスト統合は、脆弱性一致アイテムがインポートされてグループ化される前にすべてのタグがルール内に存在できるように、Vulnerability Response でのアサインルールまたは修復タスクルールを作成する前に実行する必要があります。
  • タグストレージでは大文字と小文字は区別されません。[San Diego] タグが作成されると、[SAN DIEGO] タグを [ホストタグ] テーブルに格納できなくなります。「San Diego」と「SAN DIEGO」は同じホストタグと見なされます。最初にインポートされたタグが優先されます。
  • 修復タスクルールのグループキーとしてホストタグを使用すると、予期しない結果になることがあります。ホストタグは、条件ビルダー専用です。
  • ホストタグは、グローバルシステムプロパティ sn_vul.import_host_tags で制御されます。このプロパティはデフォルトで [true] に設定されています。タグをオフにすると、すべてのインスタンスでオフになります。

ホストタグ (資産タグとも呼ばれます) は、組織の資産の整理と追跡に使用されます。ホスト資産にはタグを割り当てることができます。これにより、スキャンを開始するときに、スキャンするホストに関連付けられたタグを選択できます。ホストタグモジュールを使用すると、スケジュールに基づいて Qualys からインスタンスにホストタグデータをダウンロードできます。

スキャンによってクローズされていない解決済みの脆弱性一致アイテムの再オープン

Now Platform インスタンスで [解決済み] に設定されていてもサードパーティの統合実行によって [クローズ済み]/[修正済み] に移行されていない脆弱性一致アイテムは、再スキャン中に検出された場合に再オープンされます。

Qualys 検出で、[解決済み] に設定された VI が後続のスキャンで [クローズ済み]/[修正済み] に移行されていない場合、最終検出日が解決日より後であると、これらの VI が [オープン] に戻ります。

データ検索の制限

デフォルトでは、Qualys からのデータの取得方法に制限はありません。多くのレコードは、顧客が脆弱性対応プロセスを使用して修正しようとしない、重大度の低い脆弱性に関連している可能性があります。対応する REST メッセージ/メソッドのパラメーターを更新すると、この動作が変更される場合があります。

この更新を処理する REST メッセージ/メソッドは、[Qualys ホスト検出 - 標準/投稿 (Qualys Host Detection – Standard/post)] です。値を更新するには、次の値を使用して新しい HTTP クエリパラメーターを post メソッドに追加します。
  • 名前:重大度
  • 値:3 ~ 5 (または必要な適切な重大度)

ストアでアプリを要求する

ServiceNow ストア Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow ストア バージョン履歴のリリースノート」を参照してください。