Modifications Qualys facultatives

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Configurez les modifications facultatives et rationalisez certaines données spécifiquement pour l’intégration Qualys.

    Vous pouvez réinitialiser cette date de début dans l’Assistant réglages ou à partir de l’intégration principale, ou modifier les règles métier pour les désactiver lors d’une importation initiale.

    Désactiver les règles métier liées à la notification avant l’importation initiale de l’enregistrement

    Lors de l’importation initiale des enregistrements, certaines règles métier liées aux notifications peuvent générer de nombreuses notifications, ce qui a un impact sur les performances. Ces règles métier doivent être modifiées pour les désactiver lors de l’importation.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Accédez à laTout > Définition du système > Règles métier.
    2. Recherchez les notifications de CI affectés.
    3. Ouvrez la règle métier et insérez cette condition : current.sys_class_name != « sn_vul_vulnerable_item ».
    4. Cliquez sur Mettre à jour.
    5. Répétez cette procédure pour les règles métier suivantes :
      • Notifications des centres de coûts affectés
      • Notifications des groupes affectés
      • Notifications d’emplacements affectés
      Remarque :
      Une fois l’importation d’enregistrement initiale terminée, vous pouvez réactiver ces règles métier. Cependant, envisagez de les laisser handicapés. Elles peuvent générer un grand nombre de notifications et avoir un impact sur les performances de votre instance.

    Modifier une date de début initiale

    Lors de l’installation à l’aide de l’Assistant de configuration, vous définissez une date de début initiale pour les intégrations Qualys. Vous pouvez réinitialiser cette date de début dans l’Assistant de configuration ou à partir de l’intégration principale, comme indiqué ci-dessous.

    Avant de commencer

    Rôle requis : sn_vul.vulnerability_admin ou sn_vul.admin (obsolète)

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    Pourquoi et quand exécuter cette tâche

    Lors de l’exécution de l’intégration, plusieurs processus sont générés et les données sont reçues sous forme de pages. Chaque processus peut contenir une ou plusieurs entrées de file d’attente d’importation avec des données jointes dans des pages. Ces entrées doivent traiter les données dans le délai d’une heure. Toutefois, si la taille de la charge utile est importante, le temps de traitement peut dépasser une heure ou rester bloqué, ce qui entraîne une erreur de délai d’attente d’intégration. L’intégration continue de traiter les données malgré l’erreur de délai d’expiration. Pour éviter ce malentendu, à partir de la version 18.2.4 de Réponse aux vulnérabilités, des horodatages (pulsations) sont envoyés périodiquement pour indiquer si la file d’attente est active et traite des données. Le champ Dernier enregistrement traité de la page Entrée de file d’attente d’importation est mis à jour en fonction du nombre d’enregistrements créés ou mis à jour par la file d’attente d’importation. Si une entrée de file d’attente d’importation dépasse la limite de temps d’une heure, le système vérifie le champ Dernier enregistrement traité pour voir s’il est également antérieur à une heure. Si c’est le cas, cela indique que l’entrée de file d’attente d’importation est bloquée et qu’elle a expiré pour éviter tout retard supplémentaire dans le traitement.
    Remarque :
    Le champ Dernier enregistrement traité est mis à jour en fonction de ce qui est défini dans les propriétés système suivantes :
    • sn_sec_cmn.record_threshold_heartbeat: définit le nombre d’enregistrements traités, après quoi les intervalles de mise à jour (horodatage) sont envoyés à l’entrée de file d’attente d’importation.
    • sn_sec_cmn.maximum_heartbeat_delay: définit l’heure après laquelle l’entrée de file d’attente d’importation doit être expirée.

    Procédure

    1. Accédez à la Tout > Intégration de vulnérabilité Qualys > Administration > Intégrations principales.
    2. Cliquez sur Qualys Host Detection Integration.
    3. Cliquez sur Détails de l’intégration.
    4. Définissez le champ Heure de début sur une valeur passée, de sorte que toutes les vulnérabilités analysées et détectées depuis cette heure soient détectées.

      Si vous avez configuré Qualys à l’aide de l’Assistant de configuration, le champ Heure de début est pré-rempli, initialement jusqu’à trois mois avant la date d’aujourd’hui, puis jusqu’à la date d’aujourd’hui.

      Remarque :
      Envisagez de définir la valeur à un maximum d’un mois dans le passé. Cela permet d’éviter qu’une grande quantité de données ne dépasse les limites de débit de l’API Qualys et de déclencher des délais d’exécution.
    5. Cliquez sur Envoyer ou Mettre à jour.
    6. Facultatif : Cliquez sur Exécuter maintenant pour l’exécuter immédiatement.