Présentation de Qualys Vulnerability Integration

  • Rversion finale: Washingtondc
  • Mis à jour 26 janv. 2024
  • 8 minutes de lecture

    • Les Qualys capteurs de produits collectent les données et les envoient automatiquement à l’application, qui analyse et corrèle Qualys les informations en continu. Il s’intègre Vulnerability ResponseQualys Vulnerability Integration facilement pour mapper les vulnérabilités aux CI et aux services d’entreprise afin de déterminer l’impact et la priorité des menaces potentiellement malveillantes.

    Configurer votre Qualys Vulnerability Integration utilisation Vulnérabilité > Administration > Assistant de configuration pour rendre la récupération des données plus flexible et évolutive.

    Si vous avez plusieurs déploiements de l’application Qualys Cloud Platform , vous pouvez ajouter une intégration pour chaque déploiement. Les actifs identifiés par plusieurs déploiements tiers et leurs vulnérabilités sont consolidés et rapprochés avec votre CMDB. Cette consolidation se produit même lorsque les processus d’analyse se chevauchent entre les déploiements multiples. Les données provenant de chaque déploiement sont identifiées et disponibles dans une seule instance de Vulnerability Response. Qualys Vulnerability Integration Les enregistrements de la base de connaissances sont normalisés entre les déploiements, ce qui garantit que les instances de la même vulnérabilité entre les déploiements sont traitées comme la même vulnérabilité.
    Remarque :
    Vous ne pouvez pas supprimer l’intégration de vulnérabilité d’origine, mais vous pouvez la désactiver. Les intégrations créées à partir de modèles désactivés sont désactivées par défaut.

    Un utilisateur d’exécution en tant que configuré existe pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne modifiez en aucun cas cette valeur.

    Remarque :
    Bien que la création d’intégrations pour la liste de dispositifs, le groupe d’actifs, la liste de recherche dynamique et la liste de recherche statique, elles ne sont pas nécessaires pour un Qualys Vulnerability Integration fonctionnement normal.

    Versions disponibles

    Version pour Washington DC Notes de publication

    Qualys Vulnerability Integration v12.7, v12.8

    Pour plus d’informations sur la compatibilité, consultez KB0856498 matrice de compatibilité de Vulnerability Response et changements de schéma de mise en production

    Composants installés

    Pour obtenir une liste à jour des rôles, des tâches d’intégration et des tables installés avec l’intégration, ainsi qu’un lien vers des instructions sur la façon d’afficher ce qui est actuellement installé dans votre instance, consultez Composants installés avec le Qualys Vulnerability Integration.

    Intégrations principales et prises en charge

    Qualys Les intégrations principales et de prise en charge enrichissent les données de vulnérabilité de votre instance en récupérant les données de Qualys Vulnerability Integration. Une série de tâches planifiées invoque automatiquement les intégrations. Vous pouvez également les exécuter manuellement. Les tâches planifiées simplifient le cycle de vie de correction des vulnérabilités en gardant l’instance synchronisée avec d’autres systèmes de gestion des vulnérabilités. Les intégrations principales et les intégrations de prise en charge peuvent être modifiées.

    Les Qualys intégrations sont exécutées en tant que tâches planifiées. Un utilisateur d’exécution en tant que configuré existe pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Cette valeur ne doit pas être modifiée.
    Remarque :
    Si vous ne définissez pas d’utilisateur d’exécution en tant que valide, plusieurs pièces jointes de récupération de données, souvent en double, sont récupérées sur les enregistrements de source de données, à chaque exécution de l’intégration. Plusieurs pièces jointes sur la source de données augmentent le temps de traitement, ce qui entraîne des résultats de transformation incohérents.

    Lors de l’importation, les enregistrements CVE, qui ne sont pas déjà présents, sont créés en tant qu’enregistrements NVD et référencés dans les entrées Qualys tierces par défaut.

    Des rôles granulaires et de profil sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration. Pour plus d’informations sur la gestion des rôles granulaires, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.

    Intégrations principales

    Une intégration primaire est un point d’entrée permettant d’interagir avec l’API Qualys Cloud PlatformQualys invoquée dans un calendrier.

    Affichez les intégrations principales en accédant à Intégration de vulnérabilité Qualys > Administration > Intégrations principales.

    Intégrations prises en charge

    Une intégration de support est un processus qui n’est pas destiné à s’exécuter selon un calendrier ni sans appel par une intégration primaire.

    Affichez les intégrations prises en charge en accédant à Intégration de vulnérabilité Qualys > Administration > Intégrations prises en charge.

    Connecteur du graphe de services pour Qualys

    À partir de la version 2.2, Connecteur du graphe de services pour Qualys est disponible à partir ServiceNow® Storedu . Consultez Service Graph Connector for Qualys pour plus d'informations.

    Les données des champs de source Qualys de données sont importées avec l’API Global Asset et l’API de gestion et de balisage des actifs.

    API d’actifs globaux :
    • Une licence CSAM est requise.
    • Les informations sur les actifs comprennent des détails tels que la catégorie de matériel et la catégorie de SE.
    API de gestion des actifs et de balisage :
    • Aucune licence CSAM n’est requise
    • Les informations sur les actifs n’incluent pas de détails sur la catégorie de matériel et la catégorie de SE.

    Pour plus d'informations, voir Service Graph Connector for Qualys APIs

    .

    Créer des CI à l’aide du moteur Identification et réconciliation (IRE)

    Vous pouvez utiliser le moteur Identification et réconciliation pour créer de nouveaux CI lorsqu’un CI existant ne peut pas être mis en correspondance avec un hôte importé à partir d’un analyseur tiers. Activez le module d’extension CMDB CI Class Models pour créer des CI à l’aide des nouvelles classes, sinon des CI sans correspondance sont créés dans les classes CI sans correspondance. Pour plus d'informations, consultez Création de CI pour Vulnerability Response l’utilisation du moteur Identification et réconciliation. Pour plus d’informations sur la configuration de la catégorisation des ressources dans le cloud sans correspondance dans votre classe CI préférée, consultez Mise à jour de la classe CI pour les actifs dans le cloud sans correspondance.

    Listes de recherches

    Les listes de recherche sont utilisées pour Qualys créer des groupes personnalisés de vulnérabilités. Vous pouvez les enregistrer et les utiliser pour créer des tickets et personnaliser les analyses et rapports de vulnérabilité. Le module Listes de recherche vous permet de télécharger des données de liste de recherche de Qualys vers votre instance de manière planifiée.

    Les listes de recherche sont extraites à l’aide des cartes de transformation des données d’importation de liste de recherches dynamiques et/ou d’importation de liste deQualys recherches statiques. Dans chacune de ces transformations, vous pouvez définir des calendriers pour effectuer l’importation.

    Profils d'option

    Les profils d’option sont disponibles avec Qualys les paramètres de numérisation. Un profil d’option est requis lorsque vous lancez une analyse à partir de votre Now Platform.

    Les profils d’option Qualys sont importés à partir du produit par l’intégration de la liste des profils d’option. Vous préférerez peut-être exécuter l’intégration de la liste de profils d’options après une importation depuis les intégrations de listes de recherche, de liste Qualys de recherche dynamique et Qualys de liste de recherche statique afin de voir quelles listes de recherche sont associées aux profils d’options.

    Groupes d'actifs

    Les groupes d’actifs sont configurés dans la Qualys plateforme. Les groupes de ressources identifient les dispositifs de scanner utilisés pour analyser les adresses IP correspondantes lorsqu’une analyse est lancée à partir du Now Platform.

    Les groupes d’actifs qui ont des dispositifs associés sont extraits par l’intégration de la liste des groupes de Qualys ressources.

    Lancez l’intégration de la liste des dispositifs après avoir importé des groupes de ressources pour renseigner les champs nom du dispositif et état du dispositif sur les Qualys enregistrements Applications par défaut de votre Now Platform.

    Balises d'hôtes

    Toutes les balises d’hôte sont importées dans le cadre de l’intégration de la liste d’hôtes Qualys . Les balises d’hôte sont principalement utilisées pour le filtrage dans Vulnerability Response les règles d’affectation et de groupe de vulnérabilité. Ils sont affichés dans le formulaire Élément détecté.
    Remarque :
    L’intégration Qualys de la liste d’hôtes doit être exécutée avant la création de règles de tâches d’affectation ou de rattrapage afin Vulnerability Response que toutes les balises puissent être présentes dans les règles et avant l’importation et le regroupement des éléments vulnérables.
    • Le stockage des balises n’est pas sensible à la casse. Si une balise San Diego est créée, une balise SAN DIEGO ne peut pas être stockée dans la table Balise hôte. 'San Diego' et 'SAN DIEGO' sont considérés comme étant la même balise d’hôte. La balise qui a été importée en premier gagne.
    • L’utilisation de balises d’hôte comme clé de groupe dans une règle de tâche de rattrapage peut avoir des résultats inattendus. Les balises d’hôte sont destinées à être utilisées uniquement dans le créateur de condition.
    • Les balises hôtes sont contrôlées par la propriété système globale sn_vul.import_host_tags. Cette propriété est définie sur true par défaut. Désactiver les balises les désactive dans toutes les instances.

    Les balises d’hôte (également appelées balises d’actif) sont utilisées pour organiser et suivre les actifs de votre organisation. Vous pouvez affecter des balises à vos actifs hôtes. Ensuite, lors du lancement des analyses, vous pouvez sélectionner des balises associées aux hôtes que vous souhaitez analyser. Le module Balises d’hôte vous permet de télécharger des données de balise d’hôte à partir de Qualys votre instance de manière planifiée.

    Rouvrir les éléments vulnérables résolus non fermés par les analyses

    Les éléments vulnérables définis sur « Résolu » dans votre Now Platform instance, mais pas transitionnés vers « Fermé/Réparé » par les exécutions d’intégration tierce, sont rouverts s’ils sont détectés lors des nouvelles analyses.

    Pour Qualys les détections, si le scanner continue de trouver des VI qui ont été définis sur « Résolu », mais qui n’ont pas été transférés vers « Fermé/Fixe » lors des analyses suivantes, ces VI reviennent sur « Ouvert » lorsque la dernière date trouvée est ultérieure à la date Résolue.

    Limites de récupération de données

    Par défaut, il n’existe aucune restriction sur la façon dont les données sont récupérées à partir de Qualys. De nombreux enregistrements peuvent être liés à des vulnérabilités de faible gravité qu’un client n’est pas disposé à corriger à l’aide de son processus de Vulnerability Response. La mise à jour des paramètres de message/méthode REST correspondants peut modifier ce comportement.

    Le message/la méthode REST responsable de cette mise à jour est Qualys Host Detection – Standard/post. Pour mettre à jour les valeurs, ajoutez un nouveau paramètre de requête HTTP à la méthode post avec les valeurs suivantes :
    • Nom : gravités
    • Valeur : 3 à 5 (ou toute gravité appropriée souhaitée)

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.