Présentation de Qualys Vulnerability Integration

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 9 minutes de lecture

    • Les Qualys capteurs du produit collectent les données et les envoient automatiquement à l’application, qui analyse et corrèle Qualys les informations en continu. Il s’intègre Réponse aux vulnérabilitésQualys Vulnerability Integration facilement pour mapper les vulnérabilités aux CI et aux services d’entreprise afin de déterminer l’impact et la priorité des menaces potentiellement malveillantes.

    Configurer votre Qualys Vulnerability Integration utilisation Vulnérabilité > Administration > Assistant de configuration pour rendre la récupération de données plus flexible et évolutive.

    Si vous avez plusieurs déploiements de l’application Qualys Cloud Platform , vous pouvez ajouter une intégration pour chaque déploiement. Les actifs, identifiés par plusieurs déploiements tiers et leurs vulnérabilités, sont consolidés et rapprochés avec votre CMDB. Cette consolidation se produit même lorsque les processus d’analyse se chevauchent entre les différents déploiements. Les données provenant de chaque déploiement sont identifiées et disponibles dans une instance unique de Réponse aux vulnérabilités. Qualys Vulnerability Integration Les enregistrements de la base de connaissances sont normalisés entre les déploiements, ce qui garantit que les instances de la même vulnérabilité dans tous les déploiements sont traitées comme la même vulnérabilité.
    Remarque :
    Vous ne pouvez pas supprimer l’intégration de vulnérabilité d’origine, mais vous pouvez la désactiver. Les intégrations créées à partir de modèles désactivés sont désactivées par défaut.

    Il existe un utilisateur d’exécution en tant que configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne modifiez en aucun cas cette valeur.

    Remarque :
    Bien que l’crée des intégrations pour la liste des appliances, le groupe d’actifs Qualys Vulnerability Integration , la liste de recherche dynamique et la liste de recherche statique, elles ne sont pas nécessaires pour un fonctionnement normal.

    Versions disponibles

    Version de mise en production pour Xanadu Notes de publication

    Qualys Vulnerability Integration v12.7, v12.8

    Pour plus d’informations sur la compatibilité, consultez Matrice de compatibilité de KB0856498 Vulnerability Response et Changements de schéma de mise en production

    Composants installés

    Pour obtenir la liste à jour des rôles, des tâches d’intégration et des tables installés avec l’intégration, ainsi qu’un lien vers des instructions permettant d’afficher ce qui est actuellement installé dans votre instance, reportez-vous Composants installés avec l' Qualys Vulnerability Integrationà .

    Intégrations principales et prises en charge

    Qualys Les intégrations principales et prises en charge enrichissent les données de vulnérabilité sur votre instance en récupérant les données à partir de Qualys Vulnerability Integration. Une série de travaux planifiés invoque automatiquement les intégrations. Vous pouvez également les exécuter manuellement. Les travaux planifiés simplifient le cycle de vie du rattrapage des vulnérabilités en maintenant l’instance synchronisée avec d’autres systèmes de gestion des vulnérabilités. Les intégrations principales et de prise en charge peuvent être modifiées.

    Les Qualys intégrations sont exécutées en tant que travaux planifiés. Il existe un utilisateur d’exécution en tant que configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Cette valeur ne doit pas être modifiée.
    Remarque :
    L’échec de la définition d’un utilisateur d’exécution en tant que valide entraîne la récupération de plusieurs pièces jointes, souvent en double, récupérées sur les enregistrements de source de données, à chaque exécution de l’intégration. Plusieurs pièces jointes sur la source de données augmentent le temps de traitement, ce qui entraîne des résultats de transformation incohérents.

    Au cours de l’importation, les enregistrements CVE, qui ne sont pas déjà présents, sont créés en tant qu’enregistrements NVD et référencés par défaut dans des entrées Qualys tierces.

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    Intégrations principales

    Une intégration primaire est un point d’entrée vers l’interaction Qualys Cloud Platform avec l’API invoquée dans un Qualys calendrier.

    Affichez les intégrations principales en accédant à Intégration de vulnérabilité Qualys > Administration > Intégrations principales.

    Prise en charge des intégrations

    Une intégration de prise en charge est un processus qui n’est pas destiné à s’exécuter selon un calendrier ni sans invocation par une intégration primaire.

    Afficher les intégrations de prise en charge en accédant à Intégration de vulnérabilité Qualys > Administration > Intégrations prises en charge.

    Connecteur du graphe de services pour Qualys

    À partir de la version 2.2, Connecteur du graphe de services pour Qualys est disponible à partir du ServiceNow® Store. Consultez Service Graph Connector for Qualys pour plus d'informations.

    Les données des champs de source de Qualys données sont importées avec l’API Global Asset et l’API Gestion des actifs et de balisage.

    API d’actif global :
    • Une licence CSAM est requise.
    • Les informations sur les actifs comprennent des détails tels que la catégorie de matériel et la catégorie de système d’exploitation.
    API de gestion des actifs et de balisage :
    • Aucune licence CSAM n’est requise
    • Les informations sur les actifs n’incluent pas de détails sur la catégorie de matériel et la catégorie de système d’exploitation.

    Pour plus d'informations, voir Service Graph Connector for Qualys APIs

    .

    Créer des CI à l’aide du moteur Identification et rapprochement (IRE)

    Vous pouvez utiliser le moteur Identification et rapprochement pour créer de nouveaux CI lorsqu’un CI existant ne peut pas être mis en correspondance avec un hôte importé à partir d’un scanner tiers. Activez le module d’extension Modèles de classe CI CMDB pour créer des CI à l’aide des nouvelles classes, sinon des CI sans correspondance sont créés dans les classes CI sans correspondance. Pour plus d'informations, consultez Création de CI pour Réponse aux vulnérabilités l’utilisation du moteur Identification et rapprochement. Pour en savoir plus sur la configuration de la catégorisation des ressources cloud inégalées dans votre classe CI préférée, reportez-vous à la section Mise à jour de la classe CI pour les actifs cloud sans correspondance.

    Listes de recherches

    Les listes de recherche sont utilisées pour Qualys créer des groupes personnalisés de vulnérabilités. Vous pouvez les enregistrer et les utiliser pour créer des tickets et personnaliser les analyses et les rapports de vulnérabilité. Le module Listes de recherches vous permet de télécharger les données de liste de recherches de Qualys vers votre instance de manière planifiée.

    Les listes de recherche sont extraites à l’aide des cartes de transformation de données d’importation de liste de recherches dynamiques et/ou d’importation de listes deQualys recherches statiques. Dans chacune de ces transformations, vous pouvez définir des calendriers pour effectuer l’importation.

    Profils d'option

    Les profils d’option sont disponibles avec Qualys des paramètres de numérisation. Un profil d’option est requis lorsque vous lancez une analyse à partir de votre Now Platformfichier .

    Les profils d’option Qualys sont importés à partir du produit par l’intégration de la liste des profils d’options. Il est peut-être préférable d’exécuter l’intégration de la liste de profils d’options après une importation à partir des intégrations de listes de recherche, de liste Qualys de recherche dynamique et Qualys de liste de recherche statique afin de voir quelles listes de recherches sont associées aux profils d’options.

    Groupes d'actifs

    Les groupes de ressources sont configurés dans la Qualys plateforme. Les groupes d’actifs identifient les dispositifs de scanner utilisés pour analyser les adresses IP correspondantes lorsqu’une analyse est lancée à partir du Now Platform.

    Les groupes d’actifs auxquels des dispositifs sont associés sont extraits par l’intégration de la liste des groupes d’actifs Qualys .

    Lancez l’intégration de la liste des dispositifs après avoir importé des groupes de ressources pour renseigner les champs Nom du dispositif et État du dispositif sur les Qualys enregistrements Applications par défaut dans votre Now Platform.

    Balises d'hôtes

    Toutes les balises d’hôte sont importées dans le cadre de l’intégration de la liste d’hôtes Qualys . Les balises d’hôte sont principalement utilisées pour le filtrage dans les Réponse aux vulnérabilités règles d’affectation et de groupe de vulnérabilité. Ils sont affichés dans le formulaire Élément détecté.
    Remarque :
    L’intégration de la Qualys liste d’hôtes doit être exécutée avant la création de règles Réponse aux vulnérabilités de tâche d’affectation ou de rattrapage afin que toutes les balises puissent être présentes dans les règles et avant que les éléments vulnérables ne soient importés et regroupés.
    • Le stockage des balises n’est pas sensible à la casse. Si une balise San Diego est créée, une balise SAN DIEGO ne peut pas être stockée dans la table de balises Host. 'San Diego' et 'SAN DIEGO' sont considérés comme étant la même balise d’hôte. La balise qui a été importée en premier gagne.
    • L’utilisation de balises d’hôte en tant que clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les balises hôtes sont destinées à être utilisées uniquement dans le générateur de conditions.
    • Les balises hôtes sont contrôlées par la propriété système globale sn_vul.import_host_tags. Cette propriété est définie sur vrai par défaut. La désactivation des balises les désactive dans toutes les instances.

    Les balises d’hôte (également appelées balises d’actif) sont utilisées pour organiser et suivre les actifs de votre organisation. Vous pouvez affecter des balises à vos ressources hôte. Ensuite, lors du lancement des analyses, vous pouvez sélectionner des balises associées aux hôtes que vous souhaitez analyser. Le module Balises d’hôte vous permet de télécharger des données de balises d’hôte Qualys vers votre instance de manière planifiée.

    Rouvrir les éléments vulnérables résolus non fermés par les analyses

    Les éléments vulnérables définis sur « Résolu » dans votre Now Platform instance, mais pas sur « Fermé/Résolu » par l’exécution de l’intégration tierce, sont rouverts s’ils sont détectés lors des nouvelles analyses.

    Pour Qualys les détections, si le scanner continue de trouver des VI qui ont été définis comme « Résolu » mais qui ne sont pas passés à « Fermé/Fixe » par les analyses suivantes, ces VI reviennent à « Ouvert » lorsque la dernière date trouvée est ultérieure à la date de résolution.

    Limites de la récupération de données

    Par défaut, il n’y a aucune restriction sur la façon dont les données sont extraites à partir de Qualys. De nombreux enregistrements peuvent être liés à des vulnérabilités de faible gravité qu’un client n’est pas disposé à corriger à l’aide de son processus Vulnerability Response. La mise à jour des paramètres correspondants du message/de la méthode REST peut modifier ce comportement.

    Le message/la méthode REST responsable de cette mise à jour est Qualys Host Detection – Standard/post. Pour mettre à jour les valeurs, ajoutez un nouveau paramètre de requête HTTP à la méthode post avec les valeurs suivantes :
    • Nom : gravités
    • Valeur : 3-5 (ou toute autre gravité appropriée souhaitée)

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.