Noções básicas sobre Qualys Vulnerability Integration

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • Os sensores do produto Qualys coletam os dados e os enviam automaticamente para a aplicação Qualys, que analisa e correlaciona continuamente as informações. Ele se integra facilmente com Resposta a vulnerabilidades como o Qualys Vulnerability Integration para mapear vulnerabilidades para ICs e serviços de negócio para determinar o impacto e a prioridade de ameaças potencialmente mal-intencionadas.

    Configure seu Qualys Vulnerability Integration usando Vulnerabilidade > Administração > Assistente de configuração para tornar a recuperação de dados mais flexível e escalonável.

    Se você tiver várias implantações da aplicação Qualys Cloud Platform, poderá adicionar uma integração para cada implantação. Os ativos, identificados por várias implantações de terceiros e suas vulnerabilidades, são consolidados e reconciliados com o seu CMDB. Essa consolidação acontece mesmo quando os processos de verificação se sobrepõem entre as várias implantações. Os dados obtidos de cada implantação são identificados e estão disponíveis em uma única instância de Resposta a vulnerabilidades. Qualys Vulnerability Integration Os registros da base de conhecimento são normalizados em implantações, garantindo que as instâncias da mesma vulnerabilidade em implantações sejam tratadas como a mesma vulnerabilidade.
    Nota:
    Você não pode excluir a integração de vulnerabilidade original, mas pode desativá-la. As integrações criadas a partir de modelos desabilitados são desabilitadas por padrão.

    Há um usuário executar como configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Não altere este valor.

    Nota:
    Embora o Qualys Vulnerability Integration crie integrações para lista de dispositivos, grupo de ativos, lista de pesquisa dinâmica e lista de pesquisa estática, eles não são necessários para a operação normal.

    Versões disponíveis

    Versão de lançamento para Xanadu Notas de versão

    Qualys Vulnerability Integration v12.7, v12.8

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Componentes instalados

    Para obter uma lista atual das funções, trabalhos de integração e tabelas instaladas com a integração, bem como um link para instruções de como exibir o que está instalado no momento em sua instância, consulte Componentes instalados com o Qualys Vulnerability Integration.

    Integrações primárias e de suporte

    Qualys As integrações primárias e de suporte aprimoram os dados de vulnerabilidade em sua instância recuperando dados da integração de vulnerabilidade da Qualys. Uma série de trabalhos agendados invoca as integrações automaticamente. Você também pode executá-los manualmente. Os trabalhos agendados simplificam o ciclo de vida de correção de vulnerabilidades, mantendo a instância sincronizada com outros sistemas de gestão de vulnerabilidades. As integrações primárias e de suporte podem ser modificadas.

    As Qualys integrações são executadas como trabalhos agendados. Há um usuário executar como configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Este valor não deve ser alterado.
    Nota:
    A falha ao definir um usuário run-as válido resulta em vários anexos de recuperação de dados, geralmente duplicados, nos registros de fonte de dados, sempre que a integração é executada. Vários anexos na fonte de dados aumentam o tempo de processamento, resultando em resultados de transformação inconsistentes.

    Durante a importação, os registros CVE, que ainda não estão presentes, são criados como registros NVD e referenciados em entradas de terceiros para Qualys por padrão.

    Personas e funções granulares estão disponíveis para ajudá-lo a gerenciar o que usuários e grupos podem ver e fazer na aplicação Resposta a vulnerabilidades. Para obter uma atribuição inicial das funções de persona no Assistente de configuração, consulte Atribua as funções de persona Resposta a vulnerabilidades usando o Assistente de configuração. Para obter mais informações sobre como gerenciar funções granulares, consulte Gerenciar persona e funções granulares para Resposta a vulnerabilidades.

    Integrações primárias

    Uma integração primária é um ponto de entrada para a Qualys Cloud Platform que interage com a Qualys API invocada em uma programação.

    Exiba as integrações primárias navegando até Integração de Vulnerabilidade da Qualys > Administração > Integrações Primárias.

    Integrações de suporte

    Uma integração de suporte é um processo que não deve ser executado em uma programação nem sem invocação por uma integração primária.

    Exiba as integrações de suporte navegando até Integração de Vulnerabilidade da Qualys > Administração > Integrações de Suporte.

    Conector do Service Graph para Qualys

    A partir da versão 2.2, o Conector do Service Graph para Qualys está disponível no ServiceNow® Store. Para obter mais informações, consulte Service Graph Connector for Qualys.

    Os dados dos campos de fonte de dados da Qualys são importados com a API Ativo global e a Gestão de ativos e a API Marcação.

    API Ativo global:
    • É necessária uma licença de CSAM.
    • As informações de ativos incluem detalhes como Categoria de hardware e Categoria de SO.
    API Asset Management and Tagging:
    • Não requer uma licença do CSAM
    • As informações de ativos não incluem detalhes sobre Categoria de hardware e Categoria de SO.

    Para obter mais informações, consulte Service Graph Connector for Qualys APIs.

    .

    Criar ICs usando o Mecanismo de Identificação e Reconciliação (IRE)

    Você pode usar o Mecanismo de Identificação e Reconciliação para criar novos ICs quando um IC existente não puder ser correspondido com um host importado de um scanner de terceiros. Habilite o plug-in Modelos de classe de IC do CMDB para criar ICs usando as novas classes, caso contrário, ICs incompatíveis serão criados nas classes de IC incompatível. Para obter mais informações, consulte Criando ICs para Resposta a vulnerabilidades usando o mecanismo de identificação e reconciliação. Para obter mais informações sobre como configurar a categorização de recursos de nuvem incompatíveis em sua classe de IC preferencial, consulte Atualizando classe de IC para ativos em nuvem incompatíveis.

    Listas de pesquisa

    As listas de pesquisa são usadas em Qualys para criar grupos personalizados de vulnerabilidades. Você pode salvá-los e usá-los para a criação de tíquetes e para personalizar verificações e relatórios de vulnerabilidades. O módulo Listas de pesquisa permite que você baixe os dados da lista de pesquisa da Qualys para sua instância de forma programada.

    As listas de pesquisa são extraídas de Qualys usando os mapas de transformação de dados Importação de lista de pesquisa dinâmica e/ou Importação de lista de pesquisa estática. Em cada uma dessas transformações, você pode definir cronogramas para executar a importação.

    Perfis de opção

    Os perfis de opção estão disponíveis com Qualys configurações de verificação. Um perfil de opção é necessário quando você inicia uma verificação a partir do seu Now Platform.

    Os perfis de opção são importados do produto Qualys pela integração da lista de perfis de opção. Você pode preferir executar a integração da lista de perfil de opção após uma importação das integrações de listas de pesquisa, Qualys lista de pesquisa dinâmica e Qualys integrações de lista de pesquisa estática para que você possa ver quais listas de pesquisa estão associadas a perfis de opção.

    Grupos de ativos

    Os grupos de ativos são configurados na plataforma Qualys. Os grupos de ativos identificam quais dispositivos scanner são usados para verificar endereços IP correspondentes quando uma verificação é iniciada a partir do Now Platform.

    Os grupos de ativos que têm dispositivos associados são extraídos de Qualys pela integração da lista de grupos de ativos.

    Inicie a integração da lista de dispositivos depois de importar grupos de ativos para preencher os campos Nome do dispositivo e Status do dispositivo nos registros de Aplicações padrão Qualys na Now Platform.

    Marcadores de host

    Todos os marcadores de host são importados como parte da integração Qualys de lista de hosts. Os marcadores de host são usados principalmente para filtragem em Resposta a vulnerabilidades Regras de grupo de atribuição e vulnerabilidade. Eles são exibidos no formulário Item descoberto.
    Nota:
    A integração Qualys da lista de hosts deve ser executada antes da criação de regras de atribuição ou de tarefa de correção em Resposta a vulnerabilidades para que todos os marcadores possam estar presentes nas regras e antes que os itens vulneráveis sejam importados e agrupados.
    • O armazenamento de marcadores não faz distinção entre maiúsculas e minúsculas. Se um marcador San Diego for criado, um marcador SAN DIEGO não poderá ser armazenado na tabela de marcadores do host. 'San Diego' e 'SAN DIEGO' são considerados o mesmo marcador de host. O marcador que foi importado primeiro vence.
    • Usar marcadores de host como uma chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. Os marcadores de host devem ser usados somente no Construtor de condições.
    • Os marcadores de host são controlados pela propriedade do sistema global sn_vul.import_host_tags. Esta propriedade é definida como verdadeira por padrão. A desativação dos marcadores os desativa em todas as instâncias.

    As etiquetas de host (também chamadas de etiquetas do ativo) são usadas para organizar e rastrear os ativos em sua organização. Você pode atribuir marcadores aos ativos do host. Em seguida, ao iniciar verificações, você pode selecionar marcadores associados aos hosts que deseja verificar. O módulo Marcadores de host permite que você baixe dados de marcador de host de Qualys para sua instância de forma programada.

    Reabrir itens vulneráveis resolvidos não encerrados por verificações

    Itens vulneráveis definidos como "Resolvidos" em sua instância Now Platform, mas não transicionados para "Fechados/Corrigidos" pelas execuções de integração de terceiros, serão reabertos se forem detectados durante novas verificações.

    Para Qualys detecções, se o scanner continuar a encontrar IVs que foram definidos como "Resolvidos", mas que não foram transicionados para "Encerrado/Corrigido" pelas verificações subsequentes, esses IVs voltarão para "Aberto" quando a última data encontrada for posterior a Data de resolução.

    Limitações de recuperação de dados

    Por padrão, não há restrições sobre como os dados são recuperados de Qualys. Muitos registros podem estar relacionados a vulnerabilidades de baixa gravidade que um cliente não está disposto a corrigir usando o processo de resposta a vulnerabilidades. Atualizar os parâmetros de mensagem/método REST correspondentes pode modificar esse comportamento.

    A mensagem/método REST responsável por esta atualização é Qualys Host Detection – Standard/post. Para atualizar os valores, adicione um novo parâmetro de consulta HTTP ao método post com os seguintes valores:
    • Nome: gravidades
    • Valor: 3-5 (ou qualquer gravidade apropriada desejada)

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.