Configurations et modifications avancées de Qualys

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 23 minutes de lecture

    • Configurez les modifications facultatives avancées et rationalisez certaines données spécifiquement pour l’intégration Qualys. La plupart de ces modifications nécessitent un codage ou une expertise avancée ServiceNowQualys Cloud Platform .

    Modifier les valeurs de mappage de priorité et d’état Qualys vers ServiceNow

    Modifiez les valeurs de mappage pour la priorité et l’état en fonction de vos besoins.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Il s’agit d’une option de personnalisation avancée.

    Procédure

    1. Accédez à la Tout > Définition du système > Règles métier.
    2. Recherchez Mapper les valeurs Qualys et ouvrez-le.
    3. Cliquez sur l’onglet Avancé .
    4. Modifiez selon vos besoins.
      Les modifications les plus courantes incluent l’ajout de nouvelles valeurs d’état ou la révision de la criticité ou de la priorité.
    5. Cliquez sur Mettre à jour.

    Restreindre la possibilité d’écrire dans un enregistrement en fonction d’un groupe d’affectation

    Vous pouvez restreindre les droits d’écriture/lecture sur les enregistrements en fonction de l’appartenance à un groupe affecté. Modifiez les conditions et le script en fonction des besoins spécifiques.

    Avant de commencer

    Rôle requis : security_admin (rôle élevé à partir de l’administrateur)
    Remarque :
    Cette action est effectuée dans le périmètre de vulnérabilité.

    Procédure

    1. Accédez à la Tout > Sécurité de système > Contrôle d'accès (ACL).
    2. Recherchez les ACL commençant par sn_vul.
    3. Choisissez un enregistrement de contrôle d’accès, par exemple, sn_vul_vulnerable_item, Opération d’écriture.
    4. Cochez la case Avancé dans l’enregistrement, si nécessaire, pour afficher les entrées de rôle .
    5. Modifiez le script de rôle en fonction de vos besoins.
      Script : Exemple de modification d’un accès par groupe.
      answer = (current.assigned_to == gs.getUserID() || isMemberOfForScopedApp(current.assignment_group));
// Note: standard 'isMemberOf' does not work within Scoped App
// gs.getUser().isMemberOf(current.assignment_group);
function isMemberOfForScopedApp(groupID){
var result = false;
if (groupID != ''){
var userID = gs.getUserID();
var now_GR = new GlideRecord("sys_user_grmember");
gr.addQuery("group", groupID);
gr.addQuery("user", userID);
gr.query();
if (gr.next()){
result = true;
}
}
return result;
}
    6. Cliquez sur Mettre à jour.

    Configurer des dispositifs de scanner

    Si vous lancez des analyses à partir de votre Now Platform® instance plutôt que directement à partir de Qualys, vous pouvez configurer des analyses pour les plages d’adresses IP.

    Avant de commencer

    Les données proviennent de l’intégration basée sur Qualys les Qualys groupes d’actifs et leurs dispositifs par défaut associés (scanners).

    Si aucun dispositif n’est configuré pour les plages d’adresses IP ciblées, l’appliance définie par défaut pour l’instance d’intégration est utilisée pour l’analyse.

    Rôle requis : sn_vul_qualys.admin

    Procédure

    1. Accédez à la Tout > Intégration de vulnérabilité Qualys > Dispositifs de scanner.
    2. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom du dispositif

      Vous êtes invité à remplir ce champ lorsque vous créez un enregistrement manuellement.

      Entrez le nom du dispositif de Qualys scanner à utiliser pour l’appel d’analyses afin de faire correspondre les éléments de configuration.

      Utilisez la valeur Externe lorsque vous souhaitez que l’analyse soit lancée avec un scanner externe.
      ID du dispositif

      Entrez l’identificateur du dispositif de Qualys scanner à utiliser pour appeler des analyses pour établir une correspondance avec les éléments de configuration.

      Vous êtes invité à remplir ce champ lorsque vous créez un enregistrement manuellement.

      Utilisez la valeur 0 lorsque vous souhaitez que l’analyse soit lancée avec un scanner externe.
      États des dispositifs Affiche le dernier état du dispositif de scanner sur les données retournées par l’intégration Qualys . Pour les enregistrements créés manuellement, l’état n’est mis à jour que si un ID de dispositif valide est spécifié.
      ID du groupe de ressources Affiche l’identificateur du Qualys groupe de ressources qui a créé cet enregistrement. Ce champ affiche une valeur uniquement pour les enregistrements créés par l’intégration Qualys .
      Nom du groupe de ressources Affiche le nom du Qualys groupe de ressources qui a créé cet enregistrement. Ce champ affiche une valeur uniquement pour les enregistrements créés par l’intégration Qualys .
      Ordre Entrez une valeur à utiliser pour déterminer la priorité d’analyse. Pour les dispositifs présentant des critères contradictoires, une solution avec une valeur d’ordre inférieure se voit accorder une priorité plus élevée.
      Créés manuellement Indique si cet enregistrement a été créé manuellement par l’utilisateur.
      Utiliser un groupe de filtres Cochez cette case pour spécifier un groupe de filtres afin de trouver les éléments de configuration correspondants pour l’analyse.
      Groupe de filtres Sélectionnez le groupe de filtres que vous souhaitez utiliser pour trouver les éléments de configuration correspondants pour l’analyse. Ce champ s’affiche uniquement si vous avez sélectionné Utiliser un groupe de filtres.
      IP Liste séparée par des virgules d’adresses IP ou de plages d’adresses IP à utiliser par ce dispositif lors de l’appel d’analyses.
      Instance d'intégration Instance d’intégration Qualys associée à ce dispositif.
      Profil d'option Sélectionnez le profil d’option que vous souhaitez utiliser pour les analyses visant à établir une correspondance avec les éléments de configuration.
    3. Cliquez sur Mettre à jour.

    Configurer et gérer Qualys les scanners et analyses de vulnérabilité

    Qualys Les analyses de vulnérabilité peuvent être effectuées pour trouver les vulnérabilités logicielles qui affectent vos CI. Vous pouvez lancer des analyses à partir d’un enregistrement d’élément vulnérable ou en créant un enregistrement d’analyse directement pour les éléments de configuration (CI) et les adresses IP.

    Si vous numérisez Qualys des éléments vulnérables directement à partir de l’écran Éléments vulnérables, vous avez également la possibilité d’analyser plusieurs éléments vulnérables en même temps.

    Si Réponse aux incidents de sécurité elle est activée, vous pouvez également lancer une analyse à partir du catalogue des incidents de sécurité, d’un enregistrement d’incident de sécurité ou d’une demande d’analyse de sécurité.

    Les analyses soumises à partir d’éléments vulnérables, d’incidents de sécurité ou de demandes d’analyse QualysCatalogue des incidents de sécuritéde sécurité sont effectuées par le scanner par défaut Qualys .

    Vous pouvez sélectionner le profil d’option que vous souhaitez utiliser pour les analyses afin de faire correspondre les éléments de configuration.

    • Les profils d’option contiennent Qualys des paramètres d’analyse.
    • Un profil d’option est requis lorsque vous lancez une Qualys analyse à partir de votre Now Platform®fichier .

    Configurer l’analyse IP initiée Qualys par ServiceNow

    Le Qualys scanner inclus avec le système de base fournit une intégration de base de référence pour lancer des analyses en fonction des adresses IP.

    Avant de commencer

    Vous pouvez sélectionner le profil d’option que vous souhaitez utiliser pour les analyses afin de faire correspondre les éléments de configuration.

    • Les profils d’option contiennent Qualys des paramètres d’analyse.
    • Un profil d’option est requis lorsque vous lancez une analyse Qualys à partir de votre Now Platform®fichier .

    Rôle requis : sn_vul_qualys.admin

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.
    2. Ouvrez l’enregistrement Qualys .
    3. Cochez les casesActif et Par défaut .

      Sélectionner Actif est nécessaire pour utiliser le Qualys scanner afin d’analyser Qualys automatiquement les VI. Vous n’avez pas non plus besoin de sélectionner Par défaut pour qu’il s’exécute automatiquement.

      Avant la version 12.0, Active est requis pour utiliser l’analyseur. Si l’option Par défaut est également sélectionnée, le scanner est automatiquement utilisé sans qu’il soit nécessaire de le sélectionner pendant la numérisation.

    4. Pour le champ Intégration source, cliquez sur l’icône de recherche et sélectionnez l’option pour Qualys, par exemple, Qualys Cloud Platform.
    5. Cliquez sur Mettre à jour.
    6. Accédez à la Tout > Intégration de vulnérabilité Qualys > Administration > Intégrations principales.
    7. Ouvrez l’intégration de la liste des groupes de ressources Qualys.
      1. Sélectionnez la case à cocher Activé.
      2. Cliquez sur Exécuter maintenant.
    8. Procédez comme suit pour renseigner vos dispositifs de scanner.
      Remarque :
      Il est peut-être préférable d’exécuter l’intégration de la liste de profils d’options après une importation à partir des intégrations de listes de recherches, de la liste de recherche dynamique Qualys et des intégrations de listes de recherches statiques Qualys, afin de voir quelles listes de recherches sont associées aux profils d’options.
      1. Ouvrez l’intégration de la liste des profils d’options Qualys.
      2. Sélectionnez la case à cocher Activé.
      3. Cliquez sur Exécuter maintenant.
      4. Suivez les étapes répertoriées dans Configurer des dispositifs de scanner pour configurer vos dispositifs de scanner.
        Revenez ici une fois que vous avez terminé ces étapes pour poursuivre la configuration.
      5. Accédez à la Tout > Intégration de vulnérabilité Qualys > Administration > Intégrations principales.
      6. Ouvrez l’intégration de la liste des dispositifs Qualys.
      7. Sélectionnez la case à cocher Activé.
      8. Cliquez sur Exécuter maintenant.
        Vos Qualys dispositifs de scanner sont maintenant correctement remplis.

    Analyser plusieurs Qualys vulnérabilités ou éléments vulnérables

    Vous pouvez analyser simultanément plusieurs Qualys vulnérabilités ou éléments vulnérables qui contiennent au moins un élément de configuration (CI) affecté ou une adresse IP renseignée sur le formulaire.

    Avant de commencer

    Rôle requis : sn_vul.vulnerability_write

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    Procédure

    1. Effectuez l'une des actions suivantes :
      • Accédez à la Tout > Réponse aux vulnérabilités > Tâches de remédiation.
      • Accédez à la Tout > Réponse aux vulnérabilités > Tous les éléments vulnérables.
    2. Cochez les cases des enregistrements que vous souhaitez numériser.
    3. Cliquez sur la liste Actions sur les lignes sélectionnées , puis cliquez sur Analyser à nouveau pour les éléments vulnérables.
      Un message s’affiche avec un lien vers l’analyse et les notes de travail sont mises à jour.
    4. Cliquez sur le lien pour afficher la progression ou les résultats de l’analyse.

    Configurer l’analyse automatique pour les Qualys tâches de rattrapage résolues

    Vous pouvez planifier l’analyse qui s’exécute automatiquement pour mettre à jour vos Qualys éléments vulnérables.

    Avant de commencer

    Lorsqu’une tâche de rattrapage est passée à l’état Résolu, une analyse est lancée automatiquement pour mettre à jour l’état des éléments vulnérables associés.

    • L’analyse est désactivée par défaut.
    • Activez l’analyse avec le paramètre d’instance d’intégration scan_on_resolved dans l’enregistrement Qualys situé à Tout > Intégration de vulnérabilité Qualys > Instances d'intégration > Qualys. Consultez les étapes suivantes pour plus d’informations.
    • Cette analyse est spécifique à l’instance. Si vous disposez de plusieurs instances et que vous souhaitez activer ou désactiver cette analyse, vous devez désactiver le paramètre scan_on_resolved dans les paramètres d’instance d’intégration de chaque instance que vous souhaitez modifier.
    • Lorsque l’analyse est activée, vous pouvez la lancer à la demande ou planifier l’exécution de l’analyse uniquement dans une fenêtre de temps spécifiée. Reportez-vous à la rubrique Configurer Qualys les nouvelles analyses pour qu’elles s’exécutent uniquement dans les intervalles planifiés pour savoir comment définir les heures de début et de fin de la fenêtre horaire.

    Rôle requis : sn_vul_qualys.admin

    Procédure

    1. Accédez à la Tout > Intégration de vulnérabilité Qualys > Administration > Instances d'intégration.
    2. Sélectionnez Qualys pour ouvrir l’enregistrement.
      Les paramètres de l’instance d’intégration sont Qualys affichés dans un onglet.
    3. Pour activer l’analyse automatique, localisez le scan_on_resolved paramètre.
    4. Dans la colonne Valeur de la propriété, saisissez vrai.
    5. Cliquez sur Mettre à jour.

    Configurer Qualys les nouvelles analyses pour qu’elles s’exécutent uniquement dans les intervalles planifiés

    Pour l’intégration Qualys de vulnérabilité, définissez les paramètres d’heure de début et de fin de l’analyse de sorte que les nouvelles analyses s’exécutent ou ne soient disponibles que pendant les heures souhaitées.

    Avant de commencer

    Cette configuration s’applique à la fois aux réanalyses planifiées et aux nouvelles analyses que vous lancez manuellement dans le Qualys produit à partir de votre Now Platform® instance.

    La définition des paramètres d’heure de début et de fin d’analyse pour les instances d’intégration vous permet de spécifier des fenêtres de temps lorsque de nouvelles analyses sont disponibles dans le Qualys produit. Par exemple, vous pouvez préférer spécifier que les nouvelles analyses ne sont disponibles qu’en dehors des heures de travail, par exemple, de minuit à 10 heures.

    Ce paramètre est spécifique à l’instance. Si vous disposez de plusieurs instances, vous devez configurer les valeurs scan_start_time et scan_end_time dans les paramètres d’instance d’intégration de chaque instance que vous souhaitez modifier.

    Rôle requis : sn_vul_qualys.admin

    Procédure

    1. Accédez à la Tout > Intégration de vulnérabilité Qualys > Instances d'intégration > Qualys.
    2. Cliquez sur Qualys pour ouvrir l’enregistrement.
      Les paramètres de l’instance d’intégration pour Qualys sont affichés.
    3. Pour le paramètre scan_start_time, dans la colonne Valeur, entrez l’heure dans le fuseau horaire UTC au format 24 heures (00:00 à 24:00) pour l’heure de début de la fenêtre pour laquelle vous souhaitez que de nouvelles analyses soient disponibles.
    4. Pour le scan_end_time, dans la colonne Valeur, entrez les heures au même format (00:00 à 24:00) pour l’heure de fin de la fenêtre disponible.
      Par exemple, si vous entrez une heure de début de 00h00 pour le paramètre de scan_start_time et une scan_end_time de 10h00 le matin même, les analyses planifiées ou lancées manuellement en dehors de la fenêtre horaire de minuit à 10h sont mises en file d’attente et lancées à l’heure de début de la fenêtre horaire du lendemain, 00h00.

      Dans le même exemple, si un propriétaire de rattrapage lance manuellement une nouvelle analyse à 11h00, la nouvelle analyse n’est pas immédiatement lancée, car elle se trouve en dehors des heures d’analyse configurées disponibles. La demande d’analyse reste en file d’attente jusqu’au début de la fenêtre horaire du jour suivant, dans cet exemple (00:00).

    5. Cliquez sur Mettre à jour pour enregistrer vos paramètres.

    Qualys Limites des taux d’analyse de vulnérabilité

    Vous pouvez définir la fréquence à laquelle différents types d’analyses sont effectués pour limiter le nombre de demandes envoyées à un scanner externe. Une fois que vous avez défini des limites de débit, vous pouvez les appliquer aux Qualys scanners.

    Définir les Qualys limites de taux d’analyse

    Vous pouvez définir la fréquence à laquelle différents types d’analyses sont effectués pour équilibrer la charge dans votre file d’attente d’analyse. Les conditions définies dans la limite de taux déterminent si les limites de taux sont appliquées aux entrées en file d’attente.

    Avant de commencer

    Rôle requis : sn_vul.admin

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    Procédure
    1. Accédez à la Tout > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Définitions de limite d'évaluation.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Tableau 1. Définition de limite de taux
      Champ Description
      Nom Fournissez un nom descriptif qui identifie les conditions que l’entrée de file d’attente doit remplir. Par exemple, analyses par minute
      Conditions de la file d'attente Entrez les conditions utilisées pour déterminer si une entrée d’analyse en file d’attente est soumise à cette limite de taux. Les conditions ne doivent pas être spécifiques à un scanner particulier.
      Script d'évaluation Écrivez un script avec la logique pour évaluer l’entrée en file d’attente. Il est important que le script retourne vrai/faux pour définir si l’entrée est traitée. En outre, basez le script d’évaluation sur l’entrée en file d’attente évaluée.
    4. Cliquez sur Envoyer.

    Appliquer des limites de taux d’analyse aux Qualys scanners

    Une fois que vous avez défini des limites de taux d’analyse à l’aide de définitions de limite de débit, vous pouvez appliquer des limites de taux à des scanners spécifiques Qualys .

    Avant de commencer

    Rôle requis : sn.vul_admin

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    Procédure
    1. Accédez à la Tout > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Limites de taux des analyseurs.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Tableau 2. Limite de taux du scanner
      Champ Description
      Scanner Sélectionnez le scanner auquel vous souhaitez appliquer une limite de taux.
      Limite du taux Sélectionnez la limite de taux que vous souhaitez appliquer à ce scanner.
      Seuil Entrez le seuil auquel vous souhaitez soumettre le scanner sélectionné pour la limite de taux sélectionnée. Par exemple, si le scanner autorise 4 analyses par minute et que la limite de débit est définie comme requêtes par minute, le seuil sera 4.
    4. Cliquez sur Envoyer.

    Afficher la file d’attente de l’analyse de Qualys vulnérabilité

    Les demandes d’analyse de vulnérabilité soumises à l’intégration de l’analyse des vulnérabilités sont mises en file d’attente Qualys afin de ne pas surcharger les ressources système. Vous pouvez afficher l’état des demandes en file d’attente, selon les besoins.

    Avant de commencer

    Rôle requis : sn_vul.vulnerability_admin ou sn_vul.admin (obsolète)

    Des rôles de profil et granulaires sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent voir et faire dans l’application Réponse aux vulnérabilités . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Réponse aux vulnérabilités de configuration. Pour en savoir plus sur la gestion des rôles granulaires, reportez-vous à Gérer les profils et les rôles granulaires pour Réponse aux vulnérabilités.

    Pourquoi et quand exécuter cette tâche

    Dans la liste des analyses en file d’attente, chaque analyse comprend un nom d’analyse généré automatiquement qui identifie le CI qui a été analysé.

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Analyse de la vulnérabilité > File d'attente de l'analyse.
      Toutes les Qualys demandes d’analyse qui ont été soumises sont affichées dans une liste. La colonne État affiche l’état actuel de chaque entrée en file d’attente. Un état Terminé indique que l’analyse a quitté la file d’attente. Cela n’indique pas nécessairement que le traitement de l’analyse est terminé. Lorsque les analyses ont été terminées ou si elles ont échoué, la colonne Traitement affiche le texte des notes de travail approprié.
      Remarque :
      Si une valeur de hachage a été soumise à l’analyse et que le scanner ne parvient pas à trouver un résultat, l’état indique Terminé et la note de travail dans la colonne Traitement indique Inconnu.
    2. Une fois le traitement d’une analyse terminée, cliquez sur un enregistrement en file d’attente pour afficher les détails de la demande d’analyse.

    Activer le filtre du système de base pour les importations de détection confirmées

    Activez un filtre par défaut utilisant des paramètres d’intégration pour importer uniquement les détections confirmées à partir de Qualys Cloud Platform.

    Avant de commencer

    Rôle requis : sn_vul_qualys.admin, sn_vul.vr_import_admin

    Pourquoi et quand exécuter cette tâche

    Un paramètre d’instance d’intégration du système de base « include_only_confirmed » est disponible pour importer une liste filtrée de détections à partir de .Qualys Cloud Platform Par défaut, ce paramètre est défini sur FAUX et toutes les détections, qu’elles soient potentielles, confirmées ou informatives, sont importées.

    Procédure

    1. Accédez à la Tout > Intégration de vulnérabilité Qualys > Administration > Instances d'intégration.
    2. Ouvrez Qualys Cloud Platform Integration à partir de la liste Instances d’intégration.
    3. Dans la liste Paramètres de l’instance d’intégration, ouvrez le paramètre «include_only_confirmed ».
    4. Mettez à jour la valeur par défaut sur Vrai.
    5. Cliquez sur Mettre à jour.
      Vous avez activé le filtre pour importer les détections confirmées à partir de l’intégration Qualys Cloud Platform .

    Résultats

    Par défaut, seules les détections confirmées à partir de l’intégration Qualys Cloud Platform sont importées lors de l’exécution de la prochaine importation de vulnérabilité Qualys. Toutes les autres détections, qu’elles soient informatives ou potentielles, sont ignorées et ne sont pas importées. Pour plus d’informations, consultez Afficher les données de détection d’éléments vulnérables de Vulnerability Response.

    Lancer une nouvelle analyse pour le Qualys Vulnerability Integration

    Vérifiez que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés en lançant de nouvelles analyses dans le Qualys produit à partir de votre Now Platform application à la demande.

    Avant de commencer

    Vous pouvez lancer de nouvelles analyses à partir des espaces de travail Vulnerability Response. Pour plus d'informations, consultez Analyser à nouveau les enregistrements et les tâches de rattrapage dans Vulnerability Manager Workspace et Analyser de nouveau les éléments vulnérables et les tâches de rattrapage dans le Espace de travail de remédiation IT.

    Pour les nouvelles analyses dans l’environnement classique, consultez les sections suivantes pour savoir comment lancer de nouvelles analyses.

    Configuration requise pour les nouvelles analyses dans le Qualys produit lancées à partir de votre Now Platform:

    Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables pour le Qualys produit à partir de votre Now Platform® instance.

    Pour aider à réduire les frais généraux et le volume impliqués par les analyses complètes planifiées, les responsables des rattrapages, les spécialistes informatiques, les analystes de vulnérabilité ou les gestionnaires de vulnérabilités peuvent lancer de nouvelles analyses ciblées sur demande pour des vulnérabilités spécifiques sur des actifs (éléments de configuration) dans leurs environnements. Vous pouvez lancer de nouvelles analyses dans le Qualys produit à partir d’enregistrements d’éléments vulnérables (VI), de tâches de rattrapage (RT), d’entrée tierce (TPE) ou d’éléments détectés depuis votre Now Platform instance.

    Les nouvelles analyses vous permettent de vérifier que vos activités de rattrapage, vos correctifs et vos autres actions ont corrigé avec succès des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    Cas d'utilisation:

    À titre d’exemple, supposons que l’ensemble de votre environnement soit analysé une fois toutes les trois semaines. L’analyse complète la plus récente a été effectuée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines la prochaine analyse planifiée pour vérifier qu’elle a été corrigée. Pour vérifier que votre correctif corrige avec succès une vulnérabilité critique détectée lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform recherche Qualys d’éléments vulnérables.

    Vous pouvez lancer de nouvelles analyses pour les VI dont la source se trouve Qualys dans des états autres que Fermé. Consultez Analyser à nouveau les enregistrements et les tâches de rattrapage dans Vulnerability Manager Workspace et Analyser de nouveau les éléments vulnérables et les tâches de rattrapage dans le Espace de travail de remédiation IT.

    Vérifiez que vous avez terminé la configuration suivante, requise pour les nouvelles analyses. Pour plus d’informations, reportez-vous aux étapes commençant par Configurer et gérer Qualys les scanners et analyses de vulnérabilité répertoriés dans les sections précédentes.

    Rôle requis : sn_vul_manually_initiate_rescan

    Procédure

    1. Accédez à la Tout > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez déclencher une nouvelle analyse et ouvrez-le.
      Remarque :
      Vous ne pouvez lancer de nouvelles analyses que pour les VI dont Qualys la source est la source. Verify Qualys s’affiche dans la colonne Source des vues de listes des VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le Créateur de conditions pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue Liste des VI, dans le coin supérieur gauche de la liste, cliquez sur l’icônePersonnaliser la liste (icône Engrenage) et utilisez la zone de sélection pour déplacer la source de Disponible à Sélectionné.
    3. Vous pouvez également accéder à Tout > Réponse aux vulnérabilités > Tâches de remédiation, Réponse aux vulnérabilités > Bibliothèques > Tiersou aux éléments détectés pour les enregistrements de tâche de rattrapage, d’entrée tierce ou d’éléments détectés, respectivement, que vous souhaitez utiliser pour la nouvelle analyse.

      En fonction de votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un enregistrement de VI unique, le VI doit provenir du Qualys produit et se trouver dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI doivent être Qualys la source et être dans un état autre que Fermé.
      • Sur un enregistrement RT, la tâche de rattrapage peut être dans n’importe quel état autre que Fermé, et tous les VI associés doivent avoir Qualys comme source.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement de VI associé dans un état autre que Fermé avec Qualys comme source.
      • Sur un enregistrement d’élément détecté, l’élément de configuration a au moins un VI Qualys associé comme source dans n’importe quel état autre que Fermé.
    4. Dans l’angle supérieur droit de l’enregistrement que vous avez choisi, cliquez sur Analyser à nouveau.
      Dans la boîte de dialogue qui s’affiche, choisissez-en un pour continuer.
      Option Description
      Cochez la case Spécifier les profils d’option . Dans la liste, choisissez le profil d’option Qualys du scanner que vous souhaitez utiliser pour la nouvelle numérisation. Il s’agit des appliances (scanners) que vous avez configurées et répertoriées dans Intégration de vulnérabilité Qualys > Dispositifs de scanner.
      Décochez la case Spécifier les profils d’option (non cochée). Le Qualys profil d’option du scanner que vous avez défini comme scanner par défaut dans la liste Dispositifs de scanner est utilisé pour l’analyse.

      Pour plus d’informations sur la définition des scanners par défaut que vous lancez à partir de votre Now Platform, configurez les dispositifs de scanner répertoriés dans la section précédente pour plus d’informations.
    5. Cliquez sur Demander l’analyse.

      Un message s’affiche pour indiquer que votre analyse est en cours de traitement. L’état de toutes les nouvelles analyses peut être consulté à tout moment sous les listes connexes Analyse des enregistrements VI, RT, TPE et d’éléments détectés que vous avez utilisés pour lancer les nouvelles analyses. Dans le message, cliquez sur Afficher les détails pour afficher l’état de la nouvelle analyse et afficher toutes les autres nouvelles analyses lancées à partir d’un enregistrement donné.

      Votre instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine correctement ou jusqu’à l’expiration de la période de suivi définie, selon la première éventualité. Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état de votre Now Platform nouvelle analyse a cessé, et non à la date à laquelle la nouvelle analyse elle-même s’est arrêtée.

      Une fois la nouvelle analyse terminée avec succès, l’intégration de la détection d’hôte Qualys est automatiquement lancée pour mettre à jour vos éléments vulnérables. En fonction du nombre d’éléments vulnérables que vous avez, vos détections, éléments vulnérables et éléments vulnérables sont mis à jour une fois l’analyse de l’intégration de la Qualys détection d’hôte terminée. Accédez à ces enregistrements pour afficher les mises à jour une fois l’intégration de la détection d’hôte terminée.

      Cette analyse est spécifique à l’instance et peut être désactivée. Pour en savoir plus sur les Qualys intégrations et sur l’affichage des intégrations, reportez-vous à la section Présentation de Qualys Vulnerability Integration.

    Que faire ensuite

    Vous pouvez afficher une pièce jointe .csv sur l’enregistrement d’analyse pour afficher les détails des nouvelles analyses.

    .csv fichier et hôtes non analysés sur l’enregistrement d’analyse.

    Comme le montre l’image précédente, lors de la nouvelle analyse, si les hôtes (éléments de configuration) de votre environnement ne sont pas accessibles, les détections et les VI associés à ces actifs ne sont pas mis à jour lorsque la nouvelle analyse est terminée. Pour vous aider à comprendre pourquoi ils ne sont pas inclus, une fois la nouvelle analyse terminée, les adresses IP des actifs pour ces CI sont répertoriées dans les enregistrements de vulnérabilité dans le champ Hôtes non analysés.