Erweiterte Qualys-Konfigurationen und -Änderungen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 20 Minuten Lesedauer

    • Konfigurieren Sie erweiterte optionale Änderungen, und optimieren Sie einige der Daten speziell für die Qualys-Integration. Die meisten dieser Änderungen erfordern Codierung oder fortgeschrittene ServiceNow - oder Qualys Cloud Platform -Kenntnisse.

    Ändern Sie die Werte für die Zuordnung von Qualys zu ServiceNow für Priorität und Status

    Ändern Sie die Zuordnungswerte für Priorität und Status für Ihre Anforderungen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Dies ist eine erweiterte Anpassungsoption.

    Prozedur

    1. Navigieren zu Alle > Systemdefinition > Business-Regelnan.
    2. Suchen Sie nach Qualys-Werten zuordnen, und öffnen Sie sie.
    3. Klicken Sie auf die Registerkarte Erweitert.
    4. Ändern Sie gemäß Ihren Anforderungen.
      Die häufigsten Änderungen umfassen das Hinzufügen neuer Statuswerte oder das Überarbeiten der Kritikalität oder Priorität.
    5. Klicken Sie auf Aktualisieren.

    Schränkt die Möglichkeit zum Schreiben in einen Datensatz basierend auf einer Zuweisungsgruppe ein

    Sie können Schreib-/Leserechte für Datensätze basierend auf der Mitgliedschaft in einer zugewiesenen Gruppe einschränken. Ändern Sie Bedingungen und Skripts basierend auf bestimmten Anforderungen.

    Vorbereitungen

    Erforderliche Rolle: security_admin (erweiterte Rolle von Administrator)
    Hinweis:
    Diese Aktion wird im Schwachstellenbereich von ausgeführt.

    Prozedur

    1. Navigieren zu Alle > Systemsicherheit > Zugriffssteuerung (ACL)an.
    2. Suchen Sie nach ACLs, die mit sn_vulbeginnen.
    3. Wählen Sie einen Zugriffssteuerungsdatensatz, z. B. sn_vul_vulnerable_item, Operation write.
    4. Aktivieren Sie im Datensatz ggf. das Kontrollkästchen Erweitert, um die Rolleneinträge anzuzeigen.
    5. Ändern Sie das Rollenskript entsprechend Ihren Anforderungen.
      Skriptbeispiel zum Ändern des Zugriffs nach Gruppe.
      answer = (current.assigned_to == gs.getUserID() || isMemberOfForScopedApp(current.assignment_group));
// Note: standard 'isMemberOf' does not work within Scoped App
// gs.getUser().isMemberOf(current.assignment_group);
function isMemberOfForScopedApp(groupID){
var result = false;
if (groupID != ''){
var userID = gs.getUserID();
var now_GR = new GlideRecord("sys_user_grmember");
gr.addQuery("group", groupID);
gr.addQuery("user", userID);
gr.query();
if (gr.next()){
result = true;
}
}
return result;
}
    6. Klicken Sie auf Aktualisieren.

    Richten Sie Scanner-Appliances ein

    Wenn Sie Scans von Ihrem Now Platform® anstatt direkt von Qualys aus initiieren, können Sie Scans für IP-Adressbereiche einrichten.

    Vorbereitungen

    Die Daten stammen aus der Qualys -Integration basierend auf den Asset-Gruppen Qualys und den zugehörigen Standardgeräten (Scannern).

    Wenn für die Ziel-IP-Adressbereiche keine Geräte konfiguriert sind, wird das Gerät, das als Standard für die Integrationsinstanz festgelegt ist, für den Scan verwendet.

    Erforderliche Rolle: sn_vul_qualys.admin

    Prozedur

    1. Navigieren zu Alle > Qualys Schwachstellenintegration > Scannergerätean.
    2. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Gerätename

      Sie werden aufgefordert, dieses Feld auszufüllen, wenn Sie einen Datensatz manuell erstellen.

      Geben Sie den Namen für die Scanner-Appliance Qualys ein, die zum Aufrufen von Scans für übereinstimmende Configuration Items verwendet werden soll.

      Verwenden Sie den Wert Extern, wenn der Scan mit einem externen Scanner gestartet werden soll.
      Geräte-ID

      Geben Sie den Gerätebezeichner für das Scannergerät Qualys ein, das zum Aufrufen von Scans für übereinstimmende Configuration Items verwendet werden soll.

      Sie werden aufgefordert, dieses Feld auszufüllen, wenn Sie einen Datensatz manuell erstellen.

      Verwenden Sie den Wert 0, wenn der Scan mit einem externen Scanner gestartet werden soll.
      Gerätestatus Zeigt den letzten Status der Scanner-Appliance für die von der Qualys -Integration zurückgegebenen Daten an. Bei manuell erstellten Datensätzen wird der Status nur aktualisiert, wenn eine gültige Appliance-ID angegeben ist.
      Asset-Gruppen-ID Zeigt den Bezeichner der Asset-Gruppe Qualys an, die diesen Datensatz erstellt hat. Dieses Feld zeigt einen Wert nur für Datensätze an, die durch die Qualys -Integration erstellt wurden.
      Asset-Gruppenname Zeigt den Namen der Asset-Gruppe Qualys an, die diesen Datensatz erstellt hat. Dieses Feld zeigt einen Wert nur für Datensätze an, die durch die Qualys -Integration erstellt wurden.
      Bestellung Geben Sie einen Wert ein, der zur Bestimmung der Scan-Priorität verwendet werden soll. Bei Geräten, die widersprüchliche Kriterien aufweisen, erhält ein Gerät mit einem niedrigeren Reihenfolgewert eine höhere Priorität.
      Manuell erstellt Gibt an, ob dieser Datensatz manuell vom Anwender erstellt wurde.
      Filtergruppe verwenden Aktivieren Sie dieses Kontrollkästchen, um eine Filtergruppe für die Suche nach übereinstimmenden Konfigurationselementen für das Scannen anzugeben.
      Filtergruppe Wählen Sie die Filtergruppe aus, die Sie verwenden möchten, um übereinstimmende Configuration Items zum Scannen zu finden. Dieses Feld wird nur angezeigt, wenn Sie Filtergruppe verwendenausgewählt haben.
      IPs Kommagetrennte Liste von IP-Adressen oder IP-Adressbereichen, die von diesem Gerät beim Aufrufen von Scans verwendet werden sollen.
      Integrationsinstanz Die Qualys -Integrationsinstanz, die dieser Appliance zugeordnet ist.
      Optionsprofil Wählen Sie das Optionsprofil aus, das Sie für Scans nach übereinstimmenden Configuration Items verwenden möchten.
    3. Klicken Sie auf Aktualisieren.

    Konfigurieren und verwalten Sie Qualys Schwachstellenscanner und Scans

    Qualys Es können Schwachstellen-Scans durchgeführt werden, um Softwareschwachstellen zu finden, die sich auf Ihre CIs auswirken. Sie können Scans von einem Datensatz eines angreifbaren Elements aus initiieren oder indem Sie einen Scan-Datensatz direkt für Configuration Items (CIs) und IP-Adressen erstellen.

    Wenn Sie Qualys angreifbare Elemente direkt vom Bildschirm „Angreifbare Elemente“ aus scannen, können Sie auch mehrere angreifbare Elemente gleichzeitig scannen.

    Wenn Security Incident Response aktiviert ist, können Sie einen Scan auch aus dem Security Incident-Katalog, einem Security Incident-Datensatz oder einer Sicherheitsscan-Anforderung initiieren.

    Scans, die von Qualys angreifbaren Elementen, Security Incident Catalog, Security Incidents oder Sicherheitsscananforderungen übermittelt werden, werden vom Standardscanner Qualys ausgeführt.

    Sie können das Optionsprofil auswählen, das Sie für Scans für übereinstimmende Configuration Items verwenden möchten.

    • Optionsprofile enthalten Qualys Scan-Einstellungen.
    • Ein Optionsprofil ist erforderlich, wenn Sie einen Qualys -Scan von Ihrem Now Platform®aus initiieren.

    Konfigurieren Sie den von ServiceNow initiierten Qualys IP-Scan

    Der im Basissystem enthaltene Scanner Qualys bietet eine Baselineintegration zum Initiieren von Scans basierend auf IP-Adressen.

    Vorbereitungen

    Sie können das Optionsprofil auswählen, das Sie für Scans für übereinstimmende Configuration Items verwenden möchten.

    • Optionsprofile enthalten Qualys Scan-Einstellungen.
    • Ein Optionsprofil ist erforderlich, wenn Sie einen Qualys-Scan von Ihrem Now Platform®aus initiieren.

    Erforderliche Rolle: sn_vul_qualys.admin

    Es sind Persona-Rollen und granulare Rollen verfügbar, mit denen Sie verwalten können, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten von granularen Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scanneran.
    2. Öffnen Sie den Datensatz Qualys.
    3. Aktivieren Sie die KontrollkästchenAktiv und Standard.

      Die Auswahl von „ Aktiv “ ist erforderlich, um den Scanner QualysQualys zum automatischen Scannen von VIs [] zu verwenden. Sie müssen auch nicht Standard auswählen, damit er automatisch ausgeführt wird.

      Vor v12.0 ist Active erforderlich, um den Scanner zu verwenden. Wenn auch Standard ausgewählt ist, wird der Scanner automatisch verwendet, ohne dass er während des Scanvorgangs ausgewählt werden muss.

    4. Klicken Sie im Feld Quellenintegration auf das Suchsymbol, und wählen Sie die Option für Qualysaus, z. B. Qualys-Cloud-Plattform.
    5. Klicken Sie auf Aktualisieren.
    6. Navigieren zu Alle > Qualys Schwachstellenintegration > Administration > Primäre Integrationenan.
    7. Öffnen Sie die Qualys-Asset-Gruppenlistenintegration.
      1. Aktivieren Sie die Checkbox Aktiv.
      2. Klicken Sie auf Jetzt ausführen.
    8. Befolgen Sie diese Schritte, um Ihre Scanner-Geräte zu füllen.
      Hinweis:
      Möglicherweise möchten Sie die Integration der Optionsprofilliste nach einem Import aus den Suchlistenintegrationen, der dynamischen Qualys-Suchliste und der statischen Qualys-Suchlistenintegration ausführen, um zu sehen, welche Suchlisten mit Optionsprofilen verknüpft sind.
      1. Öffnen Sie die Qualys-Optionsprofil-Listenintegration.
      2. Aktivieren Sie die Checkbox Aktiv.
      3. Klicken Sie auf Jetzt ausführen.
      4. Führen Sie die unter Richten Sie Scanner-Appliances ein aufgeführten Schritte aus, um Ihre Scanner-Geräte zu konfigurieren.
        Kehren Sie hierher zurück, nachdem Sie diese Schritte abgeschlossen haben, um mit der Konfiguration fortzufahren.
      5. Navigieren zu Alle > Qualys Schwachstellenintegration > Administration > Primäre Integrationenan.
      6. Öffnen Sie die Qualys-Appliance Listenintegration.
      7. Aktivieren Sie die Checkbox Aktiv.
      8. Klicken Sie auf Jetzt ausführen.
        Ihre Scanner-Geräte Qualys sind jetzt korrekt gefüllt.

    Scannen Sie mehrere Qualys Schwachstellen oder angreifbare Elemente

    Sie können gleichzeitig mehrere Qualys Schwachstellen oder angreifbare Elemente scannen, die mindestens ein betroffenes Configuration Item (CI) oder eine im Formular ausgefüllte IP-Adresse enthalten.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.vulnerability_write

    Es sind Persona-Rollen und granulare Rollen verfügbar, mit denen Sie verwalten können, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten von granularen Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Prozedur

    1. Führen Sie einen der folgenden Schritte aus:
      • Navigieren zu Alle > Vulnerability Response > Korrekturaufgabenan.
      • Navigieren zu Alle > Vulnerability Response > Alle angreifbaren Elementean.
    2. Aktivieren Sie die Kontrollkästchen für die Datensätze, die Sie scannen möchten.
    3. Klicken Sie auf die Liste Aktionen für ausgewählte Zeilen und dann auf Erneut nach angreifbaren Elementen suchen.
      Es wird eine Nachricht mit einem Link zum Scan angezeigt, und die Arbeitsnotizen werden aktualisiert.
    4. Klicken Sie auf den Link, um den Fortschritt oder die Ergebnisse des Scans anzuzeigen.

    Konfigurieren Sie die automatische Prüfung Qualys auf gelöste Korrekturaufgaben

    Sie können den Scan planen, der automatisch ausgeführt wird, um Ihre angreifbaren Qualys Elemente zu aktualisieren.

    Vorbereitungen

    Nachdem eine Korrekturaufgabe in den Status Gelöst überführtwurde, wird automatisch ein Scan initiiert, um den Status der zugehörigen angreifbaren Elemente zu aktualisieren.

    • Die Prüfung ist standardmäßig deaktiviert.
    • Aktivieren Sie die Prüfung mit dem Integrationsinstanzparameter scan_on_resolved im Qualys -Datensatz unter Alle > Qualys Schwachstellenintegration > Integrationsinstanzen > Qualys-IDsan. Weitere Informationen finden Sie in den folgenden Schritten.
    • Diese Prüfung ist instanzspezifisch. Wenn Sie mehrere Instanzen haben und diesen Scan aktivieren oder deaktivieren möchten, müssen Sie den Parameter scan_on_resolved in den Parametern der Integrationsinstanz für jede Instanz deaktivieren, die Sie ändern möchten.
    • Wenn die Prüfung aktiviert ist, können Sie sie bei Bedarf initiieren oder die Prüfung so planen, dass sie nur in einem bestimmten Zeitfenster ausgeführt wird. Informationen zum Festlegen der Start- und Endzeiten für das Zeitfenster finden Sie unter Konfigurieren Sie erneute Scans Qualys so, dass sie nur innerhalb geplanter Intervalle ausgeführt werden.

    Erforderliche Rolle: sn_vul_qualys.admin

    Prozedur

    1. Navigieren zu Alle > Qualys Schwachstellenintegration > Administration > Integrationsinstanzenan.
    2. Wählen Sie Qualys aus, um den Datensatz zu öffnen.
      Die Parameter der Integrationsinstanz für Qualys werden auf einer Registerkarte angezeigt.
    3. Um die automatische Suche zu aktivieren, suchen Sie den Parameter scan_on_resolved.
    4. Geben Sie in der Spalte „Wert“ für die Eigenschaft trueein.
    5. Klicken Sie auf Aktualisieren.

    Konfigurieren Sie erneute Scans Qualys so, dass sie nur innerhalb geplanter Intervalle ausgeführt werden

    Legen Sie für Qualys Vulnerability Integration die Parameter für die Start- und Endzeit des Scans so fest, dass erneute Scans nur während der gewünschten Stunden ausgeführt werden oder verfügbar sind.

    Vorbereitungen

    Diese Konfiguration gilt für geplante erneute Scans und manuell im Produkt Qualys von Ihrer Instanz von Now Platform® aus.

    Durch das Festlegen der Start- und Endzeitparameter für Scans für Integrationsinstanzen können Sie Zeitfenster angeben, in denen erneut Scans im Produkt Qualys verfügbar sind. Beispielsweise können Sie angeben, dass erneute Scans nur außerhalb der Geschäftszeiten verfügbar sind, z. B. von Mitternacht bis 10:00 Uhr.

    Diese Einstellung ist instanzspezifisch. Wenn Sie mehrere Instanzen haben, müssen Sie die Werte scan_start_time und scan_end_time in den Parametern der Integrationsinstanz in jeder Instanz konfigurieren, die Sie ändern möchten.

    Erforderliche Rolle: sn_vul_qualys.admin

    Prozedur

    1. Navigieren zu Alle > Qualys Schwachstellenintegration > Integrationsinstanzen > Qualys-IDsan.
    2. Klicken Sie auf Qualys, um den Datensatz zu öffnen.
      Die Parameter der Integrationsinstanz für Qualys werden angezeigt.
    3. Geben Sie für den Parameter scan_start_time in der Spalte Wert die Zeit in der UTC-Zeitzone im 24-Stunden-Format (00:00 bis 24:00) für die Startzeit des Fensters ein, für das erneute Scans verfügbar sein sollen.
    4. Geben Sie für scan_end_time in der Spalte „Wert“ Zeiten im gleichen Format (00:00 bis 24:00) für die Endzeit des verfügbaren Fensters ein.
      Wenn Sie beispielsweise eine Startzeit von 00:00 Uhr für den Parameter scan_start_time und eine scan_end_time von 10:00 Uhr am selben Morgen eingeben, werden Scans, die außerhalb des Zeitfensters von Mitternacht bis 10:00 Uhr geplant sind oder manuell gestartet werden, in die Warteschlange gestellt und im gestartet Startzeit des Zeitfensters des folgenden Tages, 00:00.

      Im gleichen Beispiel: Wenn ein Korrekturbesitzer manuell einen erneuten Scan um 11:00 Uhr initiiert, wird der erneute Scan nicht sofort gestartet, da er außerhalb der verfügbaren konfigurierten Scan-Zeiten liegt. Die Scan-Anforderung bleibt bis zum Beginn des Zeitfensters des folgenden Tages in der Warteschlange, in diesem Beispiel (00:00).

    5. Klicken Sie auf Aktualisieren, um Ihre Einstellungen zu speichern.

    Qualys Quotenbegrenzungen für Schwachstellen-Scans

    Sie können die Rate definieren, mit der verschiedene Arten von Scans durchgeführt werden, um die Anzahl der Anforderungen zu begrenzen, die an einen externen Scanner gesendet werden. Nachdem Sie Quotengrenzen definiert haben, können Sie sie auf die Qualys -Scanner anwenden.

    Definieren Sie Qualys Scanratengrenzen

    Sie können die Rate definieren, mit der verschiedene Arten von Scans durchgeführt werden, um die Last in Ihrer Scan-Warteschlange auszugleichen. In der Quotengrenze definierte Bedingungen bestimmen, ob die Quotenbegrenzungen auf Einträge in der Warteschlange angewendet werden.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.admin

    Es sind Persona-Rollen und granulare Rollen verfügbar, mit denen Sie verwalten können, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten von granularen Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Prozedur
    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Quotengrenzdefinitionenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Tabelle : 1. Definition der Quotengrenze
      Feld Beschreibung
      Name Geben Sie einen beschreibenden Namen an, der die Bedingungen identifiziert, die der Warteschlangeneintrag erfüllen muss. Beispiel: Scans pro Minute
      Bedingungen der Warteschlange Geben Sie Bedingungen ein, anhand derer bestimmt wird, ob ein Scan-Eintrag in der Warteschlange dieser Quotenbegrenzung unterliegt. Die Bedingungen dürfen nicht für einen bestimmten Scanner spezifisch sein.
      Auswertungsskript Schreiben Sie ein Skript mit der Logik zum Auswerten des Eintrags in der Warteschlange. Es ist wichtig, dass das Skript „wahr“/„falsch“ zurückgibt, um zu definieren, ob der Eintrag verarbeitet wird. Basieren Sie das Bewertungsskript außerdem auf dem Eintrag in der Warteschlange, der ausgewertet wird.
    4. Klicken Sie auf Absenden.

    Wenden Sie Scanratenbegrenzungen auf Qualys Scanner an

    Nachdem Sie mit „Quotenbegrenzungsdefinitionen“ Scan-Quotengrenzen definiert haben, können Sie „Quotengrenzen“ auf bestimmte Qualys-Scanneranwenden.

    Vorbereitungen

    Erforderliche Rolle: sn.vul_admin

    Es sind Persona-Rollen und granulare Rollen verfügbar, mit denen Sie verwalten können, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten von granularen Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Prozedur
    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scannerquotengrenzenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Tabelle : 2. Scannerquotengrenze
      Feld Beschreibung
      Scanner Wählen Sie den Scanner aus, für den Sie eine Quotengrenze anwenden möchten.
      Quotengrenze Wählen Sie die Quotengrenze aus, die Sie auf diesen Scanner anwenden möchten.
      Schwellenwert Geben Sie den Schwellenwert für den ausgewählten Scanner für die ausgewählte Quotengrenze ein. Wenn der Scanner beispielsweise 4 Scans pro Minute zulässt und die Quotengrenze auf Anforderungen pro Minute festgelegt ist, liegt der Schwellenwert bei 4.
    4. Klicken Sie auf Absenden.

    Zeigen Sie die Schwachstellen-Scan-Warteschlange Qualys an

    Anforderungen für Schwachstellenprüfungen, die an die Schwachstellenscanintegration Qualys übermittelt werden, werden in die Warteschlange gestellt, um die Systemressourcen nicht zu überlasten. Sie können den Status von Anforderungen in der Warteschlange bei Bedarf anzeigen.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.vulnerability_admin oder sn_vul.admin (veraltet)

    Es sind Persona-Rollen und granulare Rollen verfügbar, mit denen Sie verwalten können, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten von granularen Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Warum und wann dieser Vorgang ausgeführt wird

    In der Liste der Scans in der Warteschlange enthält jeder Scan einen automatisch generierten Scan-Namen, der das gescannte CI identifiziert.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scan-Warteschlangean.
      Alle Qualys Scan-Anforderungen, die übermittelt wurden, werden in einer Liste angezeigt. Die Spalte „Status“ zeigt den aktuellen Status jedes Eintrags in der Warteschlange an. Der Status Abgeschlossen gibt an, dass der Scan die Warteschlange verlassen hat. Dies bedeutet nicht unbedingt, dass die Verarbeitung des Scans abgeschlossen ist. Wenn die Prüfungen abgeschlossen wurden oder fehlgeschlagen sind, wird in der Spalte „In Verarbeitung “ der entsprechende Text in den Arbeitsnotizen angezeigt.
      Hinweis:
      Wenn ein Hash-Wert zum Scannen übermittelt wurde und der Scanner kein Ergebnis findet, wird unter StatusAbgeschlossen angezeigt, und in der Arbeitsnotiz in der Spalte Verarbeitung wird Unbekanntangezeigt.
    2. Klicken Sie nach Abschluss der Verarbeitung eines Scans auf einen Datensatz in der Warteschlange, um Details für die Scan-Anforderung anzuzeigen.

    Basissystemfilter für bestätigte Erkennungsimporte aktivieren

    Aktivieren Sie einen Standardfilter mit Integrationsparametern, um nur bestätigte Erkennungen aus Qualys Cloud Platformzu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_vul_qualys.admin, sn_vul.vr_import_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Für den Import einer gefilterten Liste von Erkennungen aus Qualys Cloud Platformist ein Instanzparameter für die Basissystemintegration „include_only_confirmed“ verfügbar. Standardmäßig ist dieser Parameter auf FALSEfestgelegt, und alle Erkennungen (Potenzielle Erkennungen, Bestätigte Erkennungen oder Informationserkennungen) werden importiert.

    Prozedur

    1. Navigieren zu Alle > Qualys Schwachstellenintegration > Administration > Integrationsinstanzenan.
    2. Öffnen Sie die Qualys-Cloud-Plattformintegration aus der Liste der Integrationsinstanzen.
    3. Öffnen Sie in der Liste „Integrationsinstanzparameter“ den Parameter „include_only_confirmed“.
    4. Aktualisieren Sie den Standardwert auf True.
    5. Klicken Sie auf Aktualisieren.
      Sie haben den Filter aktiviert, um bestätigte Erkennungen aus der Qualys Cloud Platform Integration zu importieren.

    Ergebnisse

    Standardmäßig werden nur bestätigte Erkennungen aus der Integration Qualys Cloud Platform importiert, wenn der nächste Qualys-Schwachstellenimport ausgeführt wird. Alle anderen Erkennungen wie informative und potenzielle Erkennungen werden ignoriert und nicht importiert. Weitere Informationen finden Sie unter Erkennungsdaten für angreifbare Elemente in Vulnerability Response anzeigen.

    Initiieren Sie den erneuten Scan für Qualys Vulnerability Integration

    Stellen Sie sicher, dass die angreifbaren Elemente zwischen den geplanten Scan-Zyklen korrigiert wurden, indem Sie bei Bedarf im Produkt Qualys von Ihrem Now Platform aus erneut Scans initiieren.

    Vorbereitungen

    Sie können erneute Scans über die Vulnerability Response-Arbeitsbereiche initiieren. Weitere Informationen finden Sie unter Scannen Sie Datensätze und Korrekturaufgaben im Arbeitsbereich des Schwachstellenmanagers erneut und Scannen Sie angreifbare Elemente und Korrekturaufgaben im erneut IT Remediation Workspace.

    Informationen zum erneuten Scannen in der klassischen Umgebung finden Sie in den folgenden Abschnitten.

    Erforderliches Setup für erneute Scans im Produkt Qualys, das über Ihren Now Platforminitiiert wurde:

    Sie können bei Bedarf von Ihrer Instanz Qualys aus einen erneuten Scan auf angreifbare Elemente für das Produkt Now Platform® initiieren.

    Um den Aufwand und das Volumen zu reduzieren, die mit geplanten, vollständigen Scans verbunden sind, können Nachbesserungsbesitzer, IT-Spezialisten, Schwachstellenanalysten oder Schwachstellenmanager bei Bedarf gezielte erneute Scans für bestimmte Schwachstellen für Assets (Konfigurationselemente) in ihren Umgebungen initiieren. Sie können erneute Scans im Produkt Qualys aus Datensätzen von angreifbaren Elementen (VI), Korrekturaufgaben (RT), Drittparteieinträgen (TPE) oder erkannten Elementen in Ihrer Instanz von Now Platform initiieren.

    Durch erneute Scans können Sie überprüfen, ob durch Ihre Nachbesserungsaktivitäten, Patches und andere Aktionen bestimmte Schwachstellen in Ihren Configuration Items (CIs) erfolgreich behoben wurden.

    Anwendungsfall:

    Angenommen, Ihre gesamte Umgebung wird alle drei Wochen gescannt. Der letzte vollständige Scan wurde vor einer Woche abgeschlossen, Sie haben jedoch gestern einen Patch angewendet, um eine kritische Schwachstelle zu beheben. Aufgrund der Art dieser Schwachstelle können Sie nicht zwei Wochen auf den nächsten geplanten Scan warten, um sicherzustellen, dass sie behoben wurde. Um sicherzustellen, dass Ihr Patch eine kritische Schwachstelle erfolgreich behoben hat, die bei einem früheren Scan erkannt wurde, können Sie einen gezielten erneuten Scan von QualysNow Platform für angreifbare Elemente vom Typ [] initiieren.

    Sie können erneute Scans für VIs mit Qualys als Quelle in anderen Status als „Geschlossen“ initiieren. Siehe Scannen Sie Datensätze und Korrekturaufgaben im Arbeitsbereich des Schwachstellenmanagers erneut und Scannen Sie angreifbare Elemente und Korrekturaufgaben im erneut IT Remediation Workspace.

    Stellen Sie sicher, dass Sie das folgende Setup abgeschlossen haben, das für erneute Scans erforderlich ist. Weitere Informationen finden Sie in den Schritten beginnend mit Konfigurieren und Verwalten von Qualys -Schwachstellenscannern und den in den vorherigen Abschnitten aufgeführten Scans.

    Erforderliche Rolle: sn_vul_manually_initiate_rescan

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Angreifbare Elementean.
    2. Suchen Sie den Datensatz des angreifbaren Elements, von dem Sie einen erneuten Scan auslösen möchten, und öffnen Sie ihn.
      Hinweis:
      Sie können erneute Scans nur für VIs mit Qualys als Quelle initiieren. Überprüfen Sie, ob Qualys in der Spalte „ Quelle “ in den VI-Listenansichten oder in den Feldern „ Quelle “ in einzelnen Datensätzen angezeigt wird. Sie können den Bedingungsgenerator verwenden, um AEs nach Quelle zu gruppieren. Oder, wenn die Spalte Quelle in der VI-Listenansicht nicht angezeigt wird, klicken Sie oben links in der Liste auf das SymbolListe personalisieren (Zahnradsymbol), und verwenden Sie den Slushbucket, um die Quelle von Verfügbar in Ausgewähltzu verschieben.
    3. Alternativ navigieren Sie zu Alle > Vulnerability Response > Korrekturaufgaben, Vulnerability Response > Bibliotheken > Drittpartei, oder zu Erkannte Elemente für die Korrekturaufgabe, den Drittparteieintrag oder die Datensätze zu erkannten Elementen, die Sie für den erneuten Scan verwenden möchten.

      Abhängig von Ihrer Auswahl ist die Schaltfläche Erneut scannen für die folgenden Datensätze verfügbar:

      • In einem einzelnen VI-Datensatz muss das VI aus dem Produkt Qualys stammen und sich in einem anderen Status als Geschlossenbefinden. Bei mehreren VI-Datensätzen müssen alle VIs Qualys als Quelle haben und sich in einem anderen Status als Geschlossenbefinden.
      • In einem RT-Datensatz kann sich die Korrekturaufgabe in einem beliebigen anderen Status als Geschlossenbefinden, und alle zugeordneten VIs müssen Qualys als Quelle haben.
      • In einem TPE-Datensatz (Drittparteieintrag) muss der Datensatz über mindestens einen zugeordneten VI-Datensatz in einem anderen Status als „ Geschlossen “ mit Qualys als Quelle verfügen.
      • In einem Datensatz eines erkannten Elements ist dem Konfigurationselement mindestens ein VI mit Qualys als Quelle in einem anderen Status als Geschlossenzugeordnet.
    4. Klicken Sie oben rechts im ausgewählten Datensatz auf Erneut scannen.
      Wählen Sie im angezeigten Dialogfeld eine aus, um fortzufahren.
      Option Beschreibung
      Aktivieren Sie das Kontrollkästchen Optionsprofile angeben. Wählen Sie in der Liste das Optionsprofil für den Scanner Qualys aus, den Sie für den erneuten Scan verwenden möchten. Dies sind die Geräte (Scanner), die Sie konfiguriert und unter aufgelistet haben Qualys Schwachstellenintegration > Scannergerätean.
      Deaktivieren Sie das Kontrollkästchen Optionsprofile angeben (nicht ausgewählt). Für den Scan wird das Optionsprofil Qualys für den Scanner verwendet, den Sie als Standardscanner in der Liste Scanner-Appliances festgelegt haben.

      Weitere Informationen zum Festlegen der Standardscanner, die Sie über Now Platforminitiieren, finden Sie unter Setup-Scanner-Appliances, die im vorherigen Abschnitt aufgeführt sind.
    5. Klicken Sie auf Scan anfordern.

      Es wird eine Nachricht angezeigt, die anzeigt, dass Ihre Prüfung verarbeitet wird. Der Status für alle erneut gescannten Elemente kann jederzeit unter den zugehörigen Scan-Listen in den Datensätzen für VI, RT, TPE und erkannte Elemente gefunden werden, mit denen Sie die erneuten Scans gestartet haben. Klicken Sie in der Nachricht auf Details anzeigen, um den Status des erneuten Scans und alle anderen von einem bestimmten Datensatz gestarteten erneuten Scans anzuzeigen.

      Ihre Instanz von verfolgt den Status des erneuten Scannens bis zum erfolgreichen Abschluss oder bis der festgelegte Nachverfolgungszeitraum abgelaufen ist (je nachdem, was zuerst eintritt). Die Zeitüberschreitung beendet den Scanvorgang nicht. Die Zeitüberschreitung bezieht sich auf den Zeitpunkt, zu dem Now Platform die Nachverfolgung des Status des erneuten Scannens beendet hat, und nicht darauf, wann der tatsächliche erneute Scan beendet wurde.

      Nach dem erneuten Scannen wird automatisch die Qualys Host Detection Integration initiiert, um Ihre angreifbaren Elemente zu aktualisieren. Je nachdem, wie viele VIs Sie haben, werden Ihre Erkennungen, VIs und RTs nach Abschluss des Scans Qualys Integration für Host-Erkennung aktualisiert. Navigieren Sie zu diesen Datensätzen, um die Aktualisierungen anzuzeigen, nachdem die Hosterkennungsintegration abgeschlossen wurde.

      Dieser Scan ist instanzspezifisch und kann deaktiviert werden. Weitere Informationen zu den Qualys -Integrationen und zur Anzeige der Integrationen finden Sie unter Qualys Vulnerability Integration verstehen.

    Nächste Maßnahme

    Sie können einen CSV-Anhang im Scan-Datensatz anzeigen, um Details zu den erneuten Scans anzuzeigen.

    CSV-Datei und Hosts im Scan-Datensatz nicht gescannt.

    Wie in der vorherigen Abbildung gezeigt, werden bei einem erneuten Scan die Erkennungen und VIs, die diesen Assets zugeordnet sind, nicht aktualisiert, wenn Hosts (Konfigurationselemente) in Ihrer Umgebung nicht zugänglich sind, wenn der erneute Scan abgeschlossen ist. Damit Sie verstehen, warum sie nicht enthalten sind, werden die Asset-IP-Adressen für diese CIs nach Abschluss des erneuten Scans in den Schwachstellen-Datensätzen im Feld Nicht gescannte Hosts aufgeführt.