Verstehen von Qualys Vulnerability Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Die QualysProduktsensoren erfassen die Daten und senden sie automatisch an QualysAnwendung, die die Informationen kontinuierlich analysiert und korreliert. Lässt sich problemlos in integrieren Vulnerability ResponseAls Qualys Vulnerability IntegrationDient zum Zuordnen von Schwachstellen zu CIs und Business-Services, um die Auswirkungen und Priorität potenziell böswilliger Bedrohungen zu bestimmen.

    Konfigurieren Sie Ihren Qualys Vulnerability IntegrationWird verwendet Schwachstelle > Administration > Setup-Assistent Um den Datenabruf flexibler und skalierbarer zu machen.

    Wenn Sie mehrere Bereitstellungen von haben Qualys Cloud PlatformAnwendung können Sie für jede Bereitstellung eine Integration hinzufügen. Assets, die von mehreren Drittanbieterbereitstellungen identifiziert werden, und ihre Schwachstellen werden konsolidiert und mit Ihrer CMDB abgeglichen. Diese Konsolidierung erfolgt auch dann, wenn sich Scan-Prozesse zwischen mehreren Bereitstellungen überschneiden. Daten, die aus jeder Bereitstellung stammen, werden identifiziert und in einer einzigen Instanz von verfügbar gemacht Vulnerability Response. Qualys Vulnerability Integration Knowledge Base-Datensätze werden über Bereitstellungen hinweg normalisiert, um sicherzustellen, dass Instanzen derselben Schwachstelle über alle Bereitstellungen hinweg als dieselbe Schwachstelle behandelt werden.
    Hinweis:
    Sie können die ursprüngliche Schwachstellenintegration nicht löschen, sie jedoch deaktivieren. Integrationen, die aus deaktivierten Vorlagen erstellt wurden, sind standardmäßig deaktiviert.

    Für jeden Integrationsdatensatz ist ein „Ausführen als“-Anwender konfiguriert. Der Standardwert für diesen Anwender ist VR.System . Ändern Sie diesen Wert nicht.

    Hinweis:
    Während Qualys Vulnerability IntegrationErstellt Integrationen für Geräteliste, Asset-Gruppe, dynamische Suchliste und statische Suchliste. Sie sind für den normalen Betrieb nicht erforderlich.

    Verfügbare Versionen

    Release-Version für Yokohama Release-Hinweise

    Qualys Vulnerability Integration V12.7, v12.8

    Informationen zur Kompatibilität finden Sie unter KB0856498 Kompatibilitätsmatrix für Schwachstellenantwort und Änderungen am Releaseschema

    Installierte Komponenten

    Eine aktuelle Liste der Rollen, Integrationsaufträge und Tabellen, die mit der Integration installiert werden, sowie ein Link zu Anweisungen zum Anzeigen der derzeit in Ihrer Instanz installierten Elemente finden Sie unter Komponenten, die mit installiert sind Qualys Vulnerability Integration.

    Primäre und unterstützende Integrationen

    Qualys Primäre und unterstützende Integrationen reichern die Schwachstellendaten in Ihrer Instanz an, indem Daten aus der Qualys-Schwachstellenintegration abgerufen werden. Eine Reihe geplanter Aufgaben ruft die Integrationen automatisch auf. Sie können sie auch manuell ausführen. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenkorrektur, indem die Instanz mit anderen Schwachstellenmanagementsystemen synchronisiert wird. Primäre und unterstützende Integrationen können geändert werden.

    Die QualysIntegrationen werden als geplante Aufgaben ausgeführt. Für jeden Integrationsdatensatz ist ein „Ausführen als“-Anwender konfiguriert. Der Standardwert für diesen Anwender ist VR.System . Dieser Wert darf nicht geändert werden.
    Hinweis:
    Wenn Sie keinen gültigen „Ausführen als“-Anwender festlegen, werden bei jeder Ausführung der Integration mehrere, häufig doppelte Datenabrufanhänge in den Datenquellendatensätzen angezeigt. Mehrere Anhänge in der Datenquelle erhöhen die Verarbeitungszeit, was zu inkonsistenten Transformationsergebnissen führt.

    Während des Imports werden CVE-Datensätze, die noch nicht vorhanden sind, als NVD-Datensätze erstellt und in Drittparteieinträgen für referenziert QualysStandardmäßig.

    Persona und granulare Rollen sind verfügbar, um zu verwalten, was Anwender und Gruppen in sehen und tun können Vulnerability ResponseAnwendung. Eine erste Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie zu Vulnerability ResponsePersona-Rollen mit Setup-Assistent. Weitere Informationen zur Verwaltung granularer Rollen finden Sie unter Verwalten Sie Persona und granulare Rollen für Vulnerability Response.

    Primäre Integrationen

    Eine primäre Integration ist ein Einstiegspunkt zu Qualys Cloud PlatformInteraktion mit QualysAPI wird in einem Zeitplan aufgerufen.

    Zeigen Sie die primären Integrationen an, indem Sie zu navigieren Qualys Schwachstellenintegration > Administration > Primäre Integrationenan.

    Unterstützende Integrationen

    Eine unterstützende Integration ist ein Prozess, der weder nach einem Zeitplan noch ohne Aufruf durch eine primäre Integration ausgeführt werden soll.

    Zeigen Sie die unterstützenden Integrationen an, indem Sie zu navigieren Qualys Schwachstellenintegration > Administration > Unterstützende Integrationenan.

    Service Graph-Connector für Qualys

    Ab Version 2,2 der Service Graph Connector für QualysIst verfügbar über ServiceNow® Store. Weitere Informationen finden Sie unter Service Graph Connector for Qualys.

    Daten von QualysDatenquellenfelder werden mit der API für globale Assets und der API für Asset-Verwaltung und -Kennzeichnung importiert.

    Globale Asset-API:
    • Eine CSAM-Lizenz ist erforderlich.
    • Asset-Informationen umfassen Details wie Hardwarekategorie und Betriebssystemkategorie.
    API für Asset-Verwaltung und -Kennzeichnung:
    • Eine CSAM-Lizenz ist nicht erforderlich
    • Asset-Informationen enthalten keine Details zur Hardwarekategorie und BS-Kategorie.

    Weitere Informationen finden Sie unter Service Graph Connector for Qualys APIs

    an.

    CIs mit der Identifizierungs- und Abgleichsmodul (Ire) erstellen

    Sie können die Identifizierungs- und Abgleichsmodul verwenden, um neue CIs zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann, der von einem Scanner einer Drittpartei importiert wurde. Aktivieren Sie das Plugin „CMDB-CI-Klassenmodelle“, um CIs mit den neuen Klassen zu erstellen. Andernfalls werden nicht übereinstimmende CIs in den nicht übereinstimmenden CI-Klassen erstellt. Weitere Informationen finden Sie unter CIs für werden erstellt Vulnerability ResponseVerwendung der Identifizierungs- und Abgleichsmodul. Weitere Informationen zum Konfigurieren der Kategorisierung nicht abgeglichener Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets wird aktualisiert.

    Suchlisten

    Suchlisten werden in verwendet QualysZum Erstellen anwenderdefinierter Gruppen von Schwachstellen. Sie können sie speichern und für die Ticketerstellung und zum Anpassen von Schwachstellen-Scans und Berichten verwenden. Mit dem Modul „Suchlisten“ können Sie Suchlistendaten von Qualys auf eine geplante Instanz herunterladen.

    Suchlisten werden aus abgerufen QualysMit Dynamischer Suchlistenimport Und/oder Statischer Suchlistenimport Datentransformationszuordnungen. In jeder dieser Transformationen können Sie Zeitpläne für die Durchführung des Imports definieren.

    Optionsprofile

    Optionsprofile sind mit verfügbar QualysScaneinstellungen. Ein Optionsprofil ist erforderlich, wenn Sie einen Scan von Ihrem initiieren Now Platform.

    Optionsprofile werden aus importiert QualysProdukt nach Listenintegration des Optionsprofils. Möglicherweise möchten Sie die Option Profillistenintegration nach einem Import aus den Suchlisten-Integrationen ausführen QualysDynamische Suchliste und QualysIntegrationen der statischen Suchliste, damit Sie sehen können, welche Suchlisten Optionsprofilen zugeordnet sind.

    Asset-Gruppen

    Asset-Gruppen werden in eingerichtet QualysPlattform. Asset-Gruppen identifizieren, welche Scanner-Geräte zum Scannen übereinstimmender IP-Adressen verwendet werden, wenn ein Scan von initiiert wird Now Platform.

    Asset-Gruppen, denen Geräte zugeordnet sind, werden aus abgerufen QualysDurch die Integration der Asset-Gruppenliste.

    Initiieren Sie die Gerätelistenintegration, nachdem Sie Asset-Gruppen importiert haben, um die Felder „Gerätename“ und „Gerätestatus“ auf auszufüllen QualysStandardanwendungsdatensätze in Ihrer Now Platform.

    Host-Tags

    Alle Host-Tags werden als Teil von importiert QualysHost-Listenintegration. Host-Tags werden hauptsächlich zum Filtern verwendet Vulnerability ResponseRegeln für Zuweisungs- und Korrekturaufgaben. Sie werden im Formular „erkanntes Element“ angezeigt.
    Hinweis:
    Die QualysDie Host-Listenintegration muss ausgeführt werden, bevor Zuweisungs- oder Korrekturaufgabenregeln in erstellt werden Vulnerability ResponseDamit alle Tags in den Regeln und vorhanden sein können, bevor angreifbare Elemente importiert und gruppiert werden.
    • Beim Tag-Speicher wird die Groß-/Kleinschreibung nicht beachtet. Wenn ein San Diego Tag wird erstellt, dann ein SAN DIEGO Tag kann nicht in der Host-Tag-Tabelle gespeichert werden. „San Diego“ und „SAN DIEGO“ werden als dasselbe Host-Tag betrachtet. Das Tag, das importiert wurde, gewinnt zuerst.
    • Die Verwendung von Host-Tags als Gruppenschlüssel in einer Korrekturaufgabenregel kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Host-Tags werden von der globalen Systemeigenschaft gesteuert sn_vul.import_host_tags . Diese Eigenschaft ist standardmäßig auf „wahr“ festgelegt. Wenn Sie Tags deaktivieren, werden sie für alle Instanzen deaktiviert.

    Host-Tags (auch als Asset-Tags bezeichnet) werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie können Ihren Host-Assets Tags zuweisen. Beim Starten von Scans können Sie dann Tags auswählen, die den Hosts zugeordnet sind, die Sie scannen möchten. Mit dem Host-Tag-Modul können Sie Host-Tag-Daten von herunterladen QualysZu Ihrer Instanz auf einer geplanten Basis.

    Öffnen Sie gelöste angreifbare Elemente erneut, die nicht durch Scans geschlossen wurden

    Angreifbare Elemente in auf „gelöst“ festgelegt Now PlatformInstanz, die jedoch nicht von der Drittpartei-Integrationsausführungen in den Status „Geschlossen/behoben“ versetzt wurde, werden erneut geöffnet, wenn sie während erneuter Scans erkannt werden.

    Für QualysErkennungen: Wenn der Scanner weiterhin VIS findet, die auf „gelöst“ festgelegt wurden, aber dann durch nachfolgende Scans nicht in den Status „Geschlossen/behoben“ übergegangen wurden, werden diese VIS wieder in „Offen“ verschoben, wenn das letzte gefundene Datum nach dem Lösungsdatum liegt.

    Einschränkungen des Datenabrufs

    Standardmäßig gibt es keine Einschränkungen dafür, wie Daten abgerufen werden Qualys. Viele Datensätze können auf Schwachstellen mit niedrigem Schweregrad zurückzuführen sein, die ein Kunde nicht mit seinem Prozess zur Reaktion auf Schwachstellen beheben möchte. Durch das Aktualisieren der entsprechenden REST-Nachrichten-/Methodenparameter kann dieses Verhalten geändert werden.

    Die für dieses Update verantwortliche REST-Nachricht/Methode ist Qualys-Hosterkennung: Standard/Post . Um die Werte zu aktualisieren, fügen Sie der Post-Methode einen neuen HTTP-Abfrageparameter mit den folgenden Werten hinzu:
    • Name: Schweregrade
    • Wert: 3-5 (oder ein beliebiger geeigneter Schweregrad)

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.