Qualys Vulnerability Integration verstehen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Die Qualys Produktsensoren erfassen die Daten und senden sie automatisch an die Qualys Anwendung, die die Informationen kontinuierlich analysiert und korreliert. Es lässt sich problemlos in integrieren Vulnerability Response Als Qualys Vulnerability Integration Dient zum Zuordnen von Schwachstellen zu CIs und Business-Services, um die Auswirkungen und Priorität potenziell böswilliger Bedrohungen zu bestimmen.

    Konfigurieren Sie Ihren Qualys Vulnerability Integration Verwenden Schwachstelle > Administration > Setup-Assistent Um den Datenabruf flexibler und skalierbarer zu machen.

    Wenn Sie mehrere Bereitstellungen von haben Qualys Cloud Platform Anwendung können Sie für jede Bereitstellung eine Integration hinzufügen. Assets, die durch mehrere Drittanbieterbereitstellungen identifiziert werden, und ihre Schwachstellen werden konsolidiert und mit Ihrer CMDB abgeglichen. Diese Konsolidierung erfolgt auch dann, wenn sich Scanprozesse zwischen mehreren Bereitstellungen überschneiden. Daten, die aus jeder Bereitstellung stammen, werden identifiziert und in einer einzigen Instanz von verfügbar gemacht Vulnerability Response. Qualys Vulnerability Integration Knowledge Base-Datensätze werden über Bereitstellungen hinweg normalisiert, wodurch sichergestellt wird, dass Instanzen derselben Schwachstelle über alle Bereitstellungen hinweg als dieselbe Schwachstelle behandelt werden.
    Hinweis:
    Sie können die ursprüngliche Schwachstellenintegration nicht löschen, sie jedoch deaktivieren. Aus deaktivierten Vorlagen erstellte Integrationen sind standardmäßig deaktiviert.

    Für jeden Integrationsdatensatz ist ein „Run-as“-Anwender konfiguriert. Der Standardwert für diesen Anwender ist VR.System . Ändern Sie diesen Wert nicht.

    Hinweis:
    Während Qualys Vulnerability Integration Erstellt Integrationen für Geräteliste, Asset-Gruppe, dynamische Suchliste und statische Suchliste. Sie sind für den normalen Betrieb nicht erforderlich.

    Verfügbare Versionen

    Release-Version für Zurich Release-Hinweise

    Qualys Vulnerability Integration V12.7, v12.8

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Änderungen am Release-Schema

    Installierte Komponenten

    Eine aktuelle Liste der Rollen, Integrationsaufträge und Tabellen, die mit der Integration installiert werden, sowie ein Link zu Anweisungen zum Anzeigen der derzeit in Ihrer Instanz installierten Elemente finden Sie unter Mit installierte Komponenten Qualys Vulnerability Integration.

    Primäre und unterstützende Integrationen

    Qualys Primäre und unterstützende Integrationen reichern die Schwachstellendaten in Ihrer Instanz an, indem Daten aus der Qualys Vulnerability Integration abgerufen werden. Eine Reihe geplanter Aufgaben ruft die Integrationen automatisch auf. Sie können sie auch manuell ausführen. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenbeseitigung, indem die Instanz mit anderen Schwachstellenverwaltungssystemen synchronisiert wird. Primäre und unterstützende Integrationen können geändert werden.

    Die Qualys Integrationen werden als geplante Aufgaben ausgeführt. Für jeden Integrationsdatensatz ist ein „Run-as“-Anwender konfiguriert. Der Standardwert für diesen Anwender ist VR.System . Dieser Wert darf nicht geändert werden.
    Hinweis:
    Wenn Sie keinen gültigen Ausführungsanwender festlegen, werden bei jeder Ausführung der Integration mehrere, häufig doppelte Datenabrufanhänge in den Datenquellendatensätzen angezeigt. Mehrere Anhänge in der Datenquelle erhöhen die Verarbeitungszeit, was zu inkonsistenten Transformationsergebnissen führt.

    Während des Imports werden CVE-Datensätze, die noch nicht vorhanden sind, als NVD-Datensätze erstellt und in Drittparteieinträgen für referenziert Qualys Standardmäßig.

    Persona und granulare Rollen sind verfügbar, um zu verwalten, was Anwender und Gruppen in sehen und tun können Vulnerability Response Anwendung. Informationen zur ersten Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie zu Vulnerability Response Persona-Rollen mit Setup-Assistent. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Persona und granulare Rollen für Vulnerability Response.

    Primäre Integrationen

    Eine primäre Integration ist ein Einstiegspunkt zu Qualys Cloud Platform Interaktion mit Qualys API wird in einem Zeitplan aufgerufen.

    Zeigen Sie die primären Integrationen an, indem Sie zu navigieren Qualys Schwachstellenintegration > Administration > Primäre Integrationenan.

    Unterstützende Integrationen

    Eine unterstützende Integration ist ein Prozess, der weder nach einem Zeitplan noch ohne Aufruf durch eine primäre Integration ausgeführt werden soll.

    Zeigen Sie die unterstützenden Integrationen an, indem Sie zu navigieren Qualys Schwachstellenintegration > Administration > Unterstützende Integrationenan.

    Service Graph Connector für Qualys

    Ab Version 2,2 ist Service Graph Connector für Qualys Ist über verfügbar ServiceNow® Store. Weitere Informationen finden Sie unter Service Graph Connector for Qualys.

    Daten aus dem Qualys Datenquellenfelder werden mit der API „Global Asset“ und der API „Asset Management and Tagging“ importiert.

    Globale Asset-API:
    • Eine CSAM-Lizenz ist erforderlich.
    • Asset-Informationen enthalten Details wie Hardwarekategorie und Betriebssystemkategorie.
    API für Asset-Management und -Tagging:
    • Eine CSAM-Lizenz ist nicht erforderlich
    • Asset-Informationen enthalten keine Details zu Hardwarekategorie und BS-Kategorie.

    Weitere Informationen finden Sie unter Service Graph Connector for Qualys APIs

    an.

    CIs mit Identification and Reconciliation Engine (IRE) erstellen

    Sie können die Identifizierungs- und Abgleichsmodul verwenden, um neue CIs zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann, der von einem Scanner einer Drittpartei importiert wurde. Aktivieren Sie das Plugin „CMDB-CI-Klassenmodelle“, um CIs mit den neuen Klassen zu erstellen. Andernfalls werden nicht übereinstimmende CIs in den nicht übereinstimmenden CI-Klassen erstellt. Weitere Informationen finden Sie unter CIs für werden erstellt Vulnerability Response Verwenden der Identifizierungs- und Abgleichsmodul. Weitere Informationen zum Konfigurieren der Kategorisierung nicht übereinstimmender Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets wird aktualisiert.

    Suchlisten

    Suchlisten werden in verwendet Qualys Zum Erstellen anwenderdefinierter Gruppen von Schwachstellen. Sie können sie speichern und für die Ticketerstellung und zum Anpassen von Schwachstellen-Scans und Berichten verwenden. Mit dem Modul „Suchlisten“ können Sie Suchlistendaten von Qualys in Ihre Instanz nach einem Zeitplan herunterladen.

    Suchlisten werden aus abgerufen Qualys Mit Import Der Dynamischen Suchliste Und/oder Import Statischer Suchliste Datentransformationszuordnungen. In jeder dieser Transformationen können Sie Zeitpläne für die Durchführung des Imports definieren.

    Optionsprofile

    Optionsprofile sind mit verfügbar Qualys Scaneinstellungen. Ein Optionsprofil ist erforderlich, wenn Sie einen Scan von Ihrem aus initiieren ServiceNow AI Platform.

    Optionsprofile werden aus importiert Qualys Produkt nach Option Profillistenintegration. Möglicherweise ziehen Sie es vor, die Option Profillistenintegration nach einem Import aus den Suchlisten-Integrationen auszuführen Qualys Dynamische Suchliste und Qualys Integrationen der statischen Suchliste, damit Sie sehen können, welche Suchlisten Optionsprofilen zugeordnet sind.

    Asset-Gruppen

    Asset-Gruppen werden in eingerichtet Qualys Plattform. Asset-Gruppen identifizieren, welche Scanner-Geräte zum Scannen übereinstimmender IP-Adressen verwendet werden, wenn ein Scan von initiiert wird ServiceNow AI Platform.

    Asset-Gruppen, denen Geräte zugeordnet sind, werden aus abgerufen Qualys Durch die Integration der Asset-Gruppenliste.

    Initiieren Sie die Integration der Geräteliste, nachdem Sie Asset-Gruppen importiert haben, um die Felder „Gerätename“ und „Gerätestatus“ in auszufüllen Qualys Standardanwendungsdatensätze in Ihrem ServiceNow AI Platform.

    Host-Tags

    Alle Host-Tags werden als Teil von importiert Qualys Integration der Hostliste. Host-Tags werden hauptsächlich zum Filtern verwendet Vulnerability Response Regeln für Zuweisungs- und Korrekturaufgaben. Sie werden im Formular „erkanntes Element“ angezeigt.
    Hinweis:
    Die Qualys Die Integration der Host-Liste muss ausgeführt werden, bevor Zuweisungs- oder Korrekturaufgabenregeln in erstellt werden Vulnerability Response Damit alle Tags in den Regeln vorhanden sein können und bevor angreifbare Elemente importiert und gruppiert werden.
    • Beim Tag-Speicher wird die Groß-/Kleinschreibung nicht beachtet. Wenn ein San Diego Tag wird erstellt, dann ein SAN DIEGO Tag kann nicht in der Host-Tag-Tabelle gespeichert werden. „San Diego“ und „SAN DIEGO“ werden als dasselbe Host-Tag betrachtet. Das Tag, das importiert wurde, gewinnt zuerst.
    • Die Verwendung von Host-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Host-Tags werden von der globalen Systemeigenschaft gesteuert sn_vul.Import_Host_Tags . Diese Eigenschaft ist standardmäßig auf „wahr“ festgelegt. Wenn Sie Tags deaktivieren, werden sie für alle Instanzen deaktiviert.

    Host-Tags (auch als Asset-Tags bezeichnet) werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie können Ihren Host-Assets Tags zuweisen. Beim Starten von Scans können Sie dann Tags auswählen, die den Hosts zugeordnet sind, die Sie scannen möchten. Mit dem Modul Host-Tags können Sie Host-Tag-Daten aus herunterladen Qualys Zu Ihrer Instanz auf einer geplanten Basis.

    Öffnen Sie gelöste angreifbare Elemente erneut, die nicht von Scans geschlossen wurden

    Angreifbare Elemente in auf „gelöst“ festgelegt ServiceNow AI Platform Instanz, die jedoch nicht von den Integrationsausführungen von Drittparteien in den Status „Geschlossen/behoben“ versetzt wurde, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Für Qualys Erkennungen: Wenn der Scanner weiterhin VIS findet, die auf „gelöst“ festgelegt wurden, aber dann nicht durch nachfolgende Scans in „Geschlossen/behoben“ versetzt wurden, werden diese VIS wieder in „Offen“ verschoben, wenn das Datum der letzten Suche nach dem Datum der Lösung liegt.

    Einschränkungen des Datenabrufs

    Standardmäßig gibt es keine Einschränkungen dafür, wie Daten abgerufen werden Qualys. Viele Datensätze können auf Schwachstellen mit niedrigem Schweregrad zurückzuführen sein, die ein Kunde nicht mit seinem Vulnerability Response-Prozess beheben möchte. Durch das Aktualisieren der entsprechenden REST-Nachrichten-/Methodenparameter kann dieses Verhalten geändert werden.

    Die für dieses Update verantwortliche REST-Nachricht/Methode ist Qualys-Host-Erkennung: Standard/Post . Um die Werte zu aktualisieren, fügen Sie der Post-Methode einen neuen HTTP-Abfrageparameter mit den folgenden Werten hinzu:
    • Name: Schweregrade
    • Wert: 3-5 (oder ein beliebiger geeigneter Schweregrad)

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.