Qualys Vulnerability Integration verstehen

  • Freigeben Version: Washingtondc
  • Aktualisiert 26. Januar 2024
  • 7 Minuten Lesedauer

    • Die Produktsensoren von Qualys erfassen die Daten und senden sie automatisch an die Anwendung Qualys, die die Informationen kontinuierlich analysiert und korreliert. Die Lösung lässt sich problemlos in Vulnerability Response als Qualys Vulnerability Integration integrieren, um Schwachstellen in CIs und Business Services zuzuordnen und so Auswirkungen und Priorität potenziell böswilliger Bedrohungen zu bestimmen.

    Konfigurieren Sie Qualys Vulnerability Integration mit Schwachstelle > Administration > Setup-Assistent , um den Datenabruf flexibler und skalierbarer zu machen.

    Wenn Sie mehrere Bereitstellungen der Anwendung Qualys Cloud Platform haben, können Sie für jede Bereitstellung eine Integration hinzufügen. Assets, die durch mehrere Drittanbieterbereitstellungen und ihre Schwachstellen identifiziert wurden, werden konsolidiert und mit Ihrer CMDB abgeglichen. Diese Konsolidierung erfolgt auch dann, wenn sich Scan-Prozesse zwischen mehreren Bereitstellungen überschneiden. Daten aus jeder Bereitstellung werden identifiziert und sind in einer einzigen Instanz von Vulnerability Responseverfügbar. Qualys Vulnerability Integration Knowledge Base-Datensätze werden über Bereitstellungen hinweg normalisiert, wodurch sichergestellt wird, dass Instanzen derselben Schwachstelle in allen Bereitstellungen als dieselbe Schwachstelle behandelt werden.
    Hinweis:
    Sie können die ursprüngliche Schwachstellenintegration nicht löschen, aber Sie können sie deaktivieren. Aus deaktivierten Vorlagen erstellte Integrationen sind standardmäßig deaktiviert.

    Für jeden Integrationsdatensatz ist ein „Ausführen als“-Benutzer konfiguriert. Der Standardwert für diesen Benutzer ist VR.System. Ändern Sie diesen Wert nicht.

    Hinweis:
    Qualys Vulnerability Integration erstellt zwar Integrationen für Geräteliste, Asset-Gruppe, dynamische Suchliste und statische Suchliste, sie sind jedoch für den normalen Betrieb nicht erforderlich.

    Verfügbare Versionen

    Release-Version für Washington DC Releasehinweise

    Qualys Vulnerability Integration v12.7, v12.8

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response Compatibility Matrix and Release Schema Changes

    Installierte Komponenten

    Eine aktuelle Liste der Rollen, Integrationsaufgaben und Tabellen, die mit der Integration installiert werden, sowie einen Link zu Anweisungen zum Anzeigen der derzeit in Ihrer Instanz installierten Elemente finden Sie unter Mit dem installierte Komponenten Qualys Vulnerability Integration.

    Primäre und unterstützende Integrationen

    Qualys Primäre und unterstützende Integrationen ergänzen die Schwachstellendaten in Ihrer Instanz, indem Daten aus der Qualys-Schwachstellenintegration abgerufen werden. Eine Reihe von geplanten Aufgaben ruft die Integrationen automatisch auf. Sie können sie auch manuell ausführen. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenkorrektur, indem die Instanz mit anderen Schwachstellenverwaltungssystemen synchronisiert wird. Primäre und unterstützende Integrationen können geändert werden.

    Die Qualys -Integrationen werden als regelmäßige Aufgaben ausgeführt. Für jeden Integrationsdatensatz ist ein „Ausführen als“-Benutzer konfiguriert. Der Standardwert für diesen Benutzer ist VR.System. Dieser Wert darf nicht geändert werden.
    Hinweis:
    Wenn Sie keinen gültigen Run-as-Benutzer festlegen, führt dies bei jeder Ausführung der Integration zu mehreren, häufig doppelten Datenabrufanhängen für die Datenquellendatensätze. Mehrere Anhänge in der Datenquelle erhöhen die Verarbeitungszeit, was zu inkonsistenten Transformationsergebnissen führt.

    Während des Imports werden noch nicht vorhandene CVE-Datensätze als NVD-Datensätze erstellt und standardmäßig in Drittanbietereinträgen für Qualys referenziert.

    Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Primäre Integrationen

    Eine primäre Integration ist ein Einstiegspunkt für die Interaktion von Qualys Cloud Platform mit der API Qualys, die nach einem Zeitplan aufgerufen wird.

    Zeigen Sie die primären Integrationen an, indem Sie zu navigieren Qualys Schwachstellenintegration > Administration > Primäre Integrationen.

    Unterstützende Integrationen

    Eine unterstützende Integration ist ein Prozess, der nicht nach einem Zeitplan oder ohne Aufruf durch eine primäre Integration ausgeführt werden soll.

    Zeigen Sie die unterstützenden Integrationen an, indem Sie zu navigieren Qualys Schwachstellenintegration > Administration > Unterstützende Integrationen.

    Service Graph Connector für Qualys

    Ab Version 2.2 ist Service Graph Connector für Qualys über den ServiceNow® Storeverfügbar. Weitere Informationen finden Sie unter Service Graph Connector for Qualys.

    Daten aus den Datenquellenfeldern Qualys werden mit der Global Asset API und der Asset Management and Tagging API importiert.

    Globale Asset-API:
    • Eine CSAM-Lizenz ist erforderlich.
    • Asset-Informationen umfassen Details wie Hardwarekategorie und Betriebssystemkategorie.
    Asset Management and Tagging-API:
    • Eine CSAM-Lizenz ist nicht erforderlich
    • Asset-Informationen enthalten keine Details zur Hardwarekategorie und BS-Kategorie.

    Weitere Informationen finden Sie unter Service Graph Connector for Qualys APIs

    .

    CIs mit der Identification and Reconciliation Engine (IRE) erstellen

    Sie können die Identification and Reconciliation Engine verwenden, um neue CIs zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann, der von einem Drittanbieter-Scanner importiert wurde. Aktivieren Sie das Plugin „CMDB CI Class Models“, um CIs mit den neuen Klassen zu erstellen. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter Erstellen von CIs für Vulnerability Response mit der Engine „Identification and Reconciliation“.. Weitere Informationen zum Konfigurieren der Kategorisierung nicht abgeglichener Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets wird aktualisiert.

    Suchlisten

    Suchlisten werden in Qualys verwendet, um benutzerdefinierte Gruppen von Schwachstellen zu erstellen. Sie können sie speichern und zum Erstellen von Tickets und zum Anpassen von Schwachstellenprüfungen und Berichten verwenden. Mit dem Modul „Suchlisten“ können Sie Suchlistendaten aus Qualys nach Zeitplan in Ihre Instanz herunterladen.

    Suchlisten werden mithilfe der Datentransformationszuordnungen „ Dynamischer Suchlistenimport “ und/oder „ Statischer Suchlistenimport “ aus Qualys abgerufen. In jeder dieser Transformationen können Sie Zeitpläne für die Durchführung des Imports definieren.

    Optionsprofile

    Optionsprofile sind mit den Scan-Einstellungen von Qualys verfügbar. Ein Optionsprofil ist erforderlich, wenn Sie einen Scan von Ihrem Now Platformaus initiieren.

    Optionsprofile werden durch die Option Profile List Integration aus dem Produkt Qualys importiert. Möglicherweise möchten Sie die Integration von Optionsprofillisten nach einem Import aus den Integrationen von Suchlisten, der dynamischen Suchliste QualysQualys und der statischen Suchlistenintegration [] ausführen, damit Sie sehen können, welche Suchlisten Optionsprofilen zugeordnet sind.

    Asset-Gruppen

    Asset-Gruppen werden in der Plattform Qualys eingerichtet. Asset-Gruppen geben an, welche Scanner-Geräte zum Scannen übereinstimmender IP-Adressen verwendet werden, wenn ein Scan über Now Platforminitiiert wird.

    Asset-Gruppen, denen Geräte zugeordnet sind, werden von der Asset-Gruppenlisten-Integration aus Qualys abgerufen.

    Initiieren Sie die Integration der Geräteliste, nachdem Sie Asset-Gruppen importiert haben, um die Felder „Gerätename“ und „Gerätestatus“ in den Datensätzen Qualys „ Standardanwendungen“ in Now Platform auszufüllen.

    Host-Tags

    Alle Host-Tags werden als Teil der Qualys Hostlisten-Integration importiert. Host-Tags werden hauptsächlich zum Filtern in Vulnerability Response Zuweisungs- und Schwachstellengruppenregeln verwendet. Sie werden im Formular „Erkanntes Element“ angezeigt.
    Hinweis:
    Die Qualys -Hostlisten-Integration sollte vor dem Erstellen von Zuweisungs- oder Korrekturaufgabenregeln in Vulnerability Response ausgeführt werden, damit alle Tags in den Regeln vorhanden sein können und bevor angreifbare Elemente importiert und gruppiert werden.
    • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn ein San Diego -Tag erstellt wird, kann kein SAN DIEGO -Tag in der Host-Tag-Tabelle gespeichert werden. „San Diego“ und „SAN DIEGO“ werden als dasselbe Host-Tag betrachtet. Das zuerst importierte Tag hat den Vorzug.
    • Die Verwendung von Host-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Host-Tags werden von der globalen Systemeigenschaft sn_vul.import_host_tags gesteuert. Diese Eigenschaft ist standardmäßig auf „true“ festgelegt. Wenn Sie Tags deaktivieren, werden sie in allen Instanzen deaktiviert.

    Host-Tags (auch Asset-Tags genannt) werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie können Ihren Host-Assets Tags zuweisen. Beim Starten von Scans können Sie dann Tags auswählen, die den Hosts zugeordnet sind, die Sie scannen möchten. Mit dem Modul „Host-Tags“ können Sie Host-Tag-Daten von Qualys nach Zeitplan in Ihre Instanz herunterladen.

    Öffnen Sie aufgelöste angreifbare Elemente erneut, die nicht durch Scans geschlossen wurden

    Angreifbare Elemente, die in Ihrer Instanz Now Platform auf „Gelöst“ festgelegt, aber nicht von den Integrationsausführungen einer Drittpartei auf „Geschlossen/Korrigiert“ umgestellt wurden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Wenn der Scanner bei Erkennungen von Qualys weiterhin VIs findet, die auf „Gelöst“ festgelegt wurden, dann aber durch nachfolgende Scans nicht in „Geschlossen/Korrigiert“ geändert wurden, werden diese VIs wieder in den Status „Offen“ verschoben, wenn das Datum des letzten Funds nach dem liegt Datum der Lösung.

    Einschränkungen beim Datenabruf

    Standardmäßig gibt es keine Einschränkungen dafür, wie Daten aus Qualysabgerufen werden. Viele Datensätze können mit Schwachstellen mit geringem Schweregrad verknüpft werden, die ein Kunde nicht bereit ist, mit seinem Vulnerability Response-Prozess zu beheben. Durch Aktualisieren der entsprechenden REST-Nachrichten-/-Methodenparameter kann dieses Verhalten geändert werden.

    Die für dieses Update verantwortliche REST-Nachricht/-Methode ist Qualys Host Detection – Standard/post. Um die Werte zu aktualisieren, fügen Sie der post-Methode einen neuen HTTP-Abfrageparameter mit den folgenden Werten hinzu:
    • Name: Schweregrade
    • Wert: 3-5 (oder welcher geeignete Schweregrad auch immer gewünscht wird)

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.