Configurations et modifications avancées de Qualys

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 23 minutes de lecture

    • Configurez les modifications facultatives avancées et rationalisez certaines données spécifiquement pour l’intégration Qualys. La plupart de ces modifications nécessitent un codage ou une expertise avancée ServiceNowQualys Cloud Platform .

    Remplacer les valeurs de mappage d’état et de priorité Qualys par Qualys

    Modifiez les valeurs de mappage pour la priorité et l’état de vos besoins.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Il s’agit d’une option de personnalisation avancée.

    Procédure

    1. Accédez à la Tous > Définition du système > Règles métier.
    2. Recherchez Valeurs Qualys de carte et ouvrez-la.
    3. Cliquez sur l’onglet Avancé .
    4. Modifiez selon vos besoins.
      Les modifications les plus courantes incluent l’ajout de nouvelles valeurs d’état ou la révision de la criticité ou de la priorité.
    5. Cliquez sur Mettre à jour.

    Limiter la possibilité d’écrire dans un enregistrement basé sur un groupe d’affectation

    Vous pouvez restreindre les droits d’écriture/lecture sur les enregistrements en fonction de l’appartenance à un groupe affecté. Modifiez les conditions et le script en fonction de besoins spécifiques.

    Avant de commencer

    Rôle requis : security_admin (rôle élevé de admin)
    Remarque :
    Cette action est effectuée dans le champ d’application de vulnérabilité.

    Procédure

    1. Accédez à la Tous > Sécurité de système > Contrôle d'accès (ACL).
    2. Recherchez les ACL commençant par sn_vul.
    3. Choisissez un enregistrement Contrôle d’accès, par exemple, sn_vul_vulnerable_item, Opération d’écriture.
    4. Cochez la case Avancé dans l’enregistrement, si nécessaire, pour afficher les entrées de rôle .
    5. Modifiez le script de rôle en fonction de vos besoins.
      Script : Exemple de modification d’un accès par groupe.
      answer = (current.assigned_to == gs.getUserID() || isMemberOfForScopedApp(current.assignment_group));
// Note: standard 'isMemberOf' does not work within Scoped App
// gs.getUser().isMemberOf(current.assignment_group);
function isMemberOfForScopedApp(groupID){
var result = false;
if (groupID != ''){
var userID = gs.getUserID();
var now_GR = new GlideRecord("sys_user_grmember");
gr.addQuery("group", groupID);
gr.addQuery("user", userID);
gr.query();
if (gr.next()){
result = true;
}
}
return result;
}
    6. Cliquez sur Mettre à jour.

    Configurer des dispositifs de scanner

    Si vous lancez des analyses à partir de votre Now Platform® instance et non directement à partir de Qualys, vous pouvez configurer des plages d’adresses IP.

    Avant de commencer

    Les données proviennent de l’intégration basée sur Qualys des Qualys groupes d’actifs et leurs dispositifs par défaut associés (scanners).

    Si aucun dispositif n’est configuré pour les plages d’adresses IP ciblées, le dispositif défini par défaut pour l’instance d’intégration est utilisé pour l’analyse.

    Rôle requis : sn_vul_qualys.admin

    Procédure

    1. Accédez à la Tous > Intégration de vulnérabilité Qualys > Dispositifs de scanner.
    2. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom du dispositif

      Vous êtes invité à remplir ce champ lorsque vous créez un enregistrement manuellement.

      Entrez le nom Qualys du dispositif de scanner à utiliser pour appeler des analyses afin de faire correspondre les éléments de configuration.

      Utilisez la valeur Externe lorsque vous souhaitez que l’analyse soit lancée avec un scanner externe.
      ID du dispositif

      Entrez l’identificateur du dispositif de Qualys scanner à utiliser pour appeler des analyses pour les éléments de configuration correspondants.

      Vous êtes invité à remplir ce champ lorsque vous créez un enregistrement manuellement.

      Utilisez la valeur 0 lorsque vous souhaitez que l’analyse soit lancée avec un scanner externe.
      États des dispositifs Affiche le dernier état du dispositif de scanner sur les données renvoyées par l’intégration Qualys . Pour les enregistrements créés manuellement, l’état n’est mis à jour que si un ID de dispositif valide est spécifié.
      ID du groupe de ressources Affiche l’identificateur du groupe de Qualys ressources qui a créé cet enregistrement. Ce champ affiche une valeur uniquement pour les enregistrements créés par l’intégration Qualys .
      Nom du groupe de ressources Affiche le nom du groupe de Qualys ressources qui a créé cet enregistrement. Ce champ affiche une valeur uniquement pour les enregistrements créés par l’intégration Qualys .
      Ordre Entrez une valeur à utiliser pour déterminer la priorité d’analyse. Pour les dispositifs dont les critères sont contradictoires, un dispositif dont la valeur d’ordre est inférieure se voit accorder une priorité plus élevée.
      Créé manuellement Indique si cet enregistrement a été créé manuellement par l’utilisateur.
      Utiliser un groupe de filtres Cochez cette case pour spécifier un groupe de filtres permettant de trouver les éléments de configuration correspondants pour l’analyse.
      Groupe de filtres Sélectionnez le groupe de filtres que vous souhaitez utiliser pour trouver les éléments de configuration correspondants pour l’analyse. Ce champ s’affiche uniquement si vous avez sélectionné Utiliser un groupe de filtres.
      IP Liste séparée par des virgules d’adresses IP ou de plages d’adresses IP à utiliser par ce dispositif lors de l’invocation d’analyses.
      Instance d'intégration Instance Qualys d’intégration associée à ce dispositif.
      Profil d'option Sélectionnez le profil d’option que vous souhaitez utiliser pour les analyses à la recherche d’éléments de configuration correspondants.
    3. Cliquez sur Mettre à jour.

    Configurer et gérer Qualys les scanners et analyses de vulnérabilité

    Qualys des analyses de vulnérabilité peuvent être effectuées pour trouver les vulnérabilités logicielles qui affectent vos CI. Vous pouvez lancer des analyses à partir d’un enregistrement d’élément vulnérable ou en créant un enregistrement d’analyse directement pour rechercher les éléments de configuration (CI) et les adresses IP.

    Si vous scannez Qualys des éléments vulnérables directement à partir de l’écran Éléments vulnérables, vous avez également la possibilité d’analyser plusieurs éléments vulnérables en même temps.

    Si Réponse aux incidents de sécurité est activé, vous pouvez également lancer une analyse à partir du catalogue d’incidents de sécurité, d’un enregistrement d’incident de sécurité ou d’une demande d’analyse de sécurité.

    Les analyses soumises à partir d’éléments vulnérables, d’incidents de sécurité ou de demandes d’analyse QualysCatalogue des incidents de sécuritéde sécurité sont effectuées par le scanner par défaut Qualys .

    Vous pouvez sélectionner le profil d’option que vous souhaitez utiliser pour les analyses à la recherche d’éléments de configuration correspondants.

    • Les profils d’option contiennent Qualys des paramètres d’analyse.
    • Un profil d’option est requis lorsque vous lancez une Qualys analyse à partir de votre Now Platform®.

    Configurer l’analyse IP initiée par Qualys ServiceNow

    Le Qualys scanner inclus dans le système de base fournit une intégration de base de référence pour lancer des analyses basées sur les adresses IP.

    Avant de commencer

    Vous pouvez sélectionner le profil d’option que vous souhaitez utiliser pour les analyses à la recherche d’éléments de configuration correspondants.

    • Les profils d’option contiennent Qualys des paramètres d’analyse.
    • Un profil d’option est requis lorsque vous lancez une analyse Qualys à partir de votre Now Platform®fichier .

    Rôle requis : sn_vul_qualys.admin

    Des rôles granulaires et de profil sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration. Pour plus d’informations sur la gestion des rôles granulaires, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.

    Procédure

    1. Accédez à la Tous > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Scanners.
    2. Ouvrez l’enregistrement Qualys .
    3. Sélectionnez les cases à cocherActif et Par défaut .

      Sélectionner Actif est nécessaire pour utiliser le Qualys scanner afin d’analyser Qualys automatiquement les VI. Vous n’avez pas non plus besoin de sélectionner Par défaut pour qu’il s’exécute automatiquement.

      Avant la version 12.0, Active est requis pour utiliser le scanner. Si l’option Par défaut est également sélectionnée, le scanner est automatiquement utilisé sans qu’il soit nécessaire de le sélectionner pendant la numérisation.

    4. Pour le champ Intégration source, cliquez sur l’icône de recherche et sélectionnez l’option pour Qualys, par exemple Qualys Cloud Platform.
    5. Cliquez sur Mettre à jour.
    6. Accédez à la Tous > Intégration de vulnérabilité Qualys > Administration > Intégrations principales.
    7. Ouvrez l’intégration de la liste des groupes de ressources Qualys.
      1. Sélectionnez la case à cocher Activé.
      2. Cliquez sur Exécuter maintenant.
    8. Procédez comme suit pour renseigner vos dispositifs de scanner.
      Remarque :
      Vous préférerez peut-être exécuter l’intégration de liste de profils d’options après une importation depuis les intégrations de listes de recherche, de Qualys Dynamic Search List et de Qualys Static Search Lists, afin de voir quelles listes de recherche sont associées à des profils d’options.
      1. Ouvrez l’intégration de la liste des profils d’options Qualys.
      2. Sélectionnez la case à cocher Activé.
      3. Cliquez sur Exécuter maintenant.
      4. Suivez les étapes répertoriées dans Configurer des dispositifs de scanner pour configurer vos dispositifs de scanner.
        Une fois que vous avez terminé ces étapes, revenez ici pour poursuivre la configuration.
      5. Accédez à la Tous > Intégration de vulnérabilité Qualys > Administration > Intégrations principales.
      6. Ouvrez Qualys Appliance List Integration.
      7. Sélectionnez la case à cocher Activé.
      8. Cliquez sur Exécuter maintenant.
        Vos Qualys dispositifs de scanner sont maintenant correctement renseignés.

    Analyser plusieurs Qualys vulnérabilités ou éléments vulnérables

    Vous pouvez analyser simultanément plusieurs Qualys vulnérabilités ou éléments vulnérables qui contiennent au moins un élément de configuration (CI) affecté ou une adresse IP renseignée sur le formulaire.

    Avant de commencer

    Rôle requis : sn_vul.vulnerability_write

    Des rôles granulaires et de profil sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration. Pour plus d’informations sur la gestion des rôles granulaires, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.

    Procédure

    1. Effectuez l'une des actions suivantes :
      • Accédez à la Tous > Réponse aux vulnérabilités > Tâches de remédiation.
      • Accédez à la Tous > Réponse aux vulnérabilités > Tous les éléments vulnérables.
    2. Cochez les cases pour les enregistrements que vous souhaitez analyser.
    3. Cliquez sur la liste Actions sur les lignes sélectionnées , puis cliquez sur Analyser à nouveau pour rechercher des éléments vulnérables.
      Un message s’affiche avec un lien vers l’analyse et les notes de travail sont mises à jour.
    4. Cliquez sur le lien pour afficher la progression ou les résultats de l’analyse.

    Configurer l’analyse automatique pour les Qualys tâches de rattrapage résolues

    Vous pouvez planifier l’analyse qui s’exécute automatiquement pour mettre à jour vos Qualys éléments vulnérables.

    Avant de commencer

    Lorsqu’une tâche de rattrapage est passée à l’état Résolu, une analyse est lancée automatiquement pour mettre à jour l’état des éléments vulnérables associés.

    • L’analyse est désactivée par défaut.
    • Activez l’analyse avec le paramètre d’instance d’intégration scan_on_resolved dans l’enregistrement Qualys situé à Tous > Intégration de vulnérabilité Qualys > Instances d'intégration > Qualys. Consultez les étapes suivantes pour plus d’informations.
    • Cette analyse est spécifique à l’instance. Si vous avez plusieurs instances et que vous souhaitez activer ou désactiver cette analyse, vous devez désactiver le paramètre scan_on_resolved dans les paramètres d’instance d’intégration dans chaque instance que vous souhaitez modifier.
    • Lorsque l’analyse est activée, vous pouvez la lancer sur demande ou planifier l’exécution de l’analyse uniquement dans une fenêtre de temps spécifiée. Reportez-vous à la rubrique Configurer Qualys les nouvelles analyses pour qu’elles s’exécutent uniquement à intervalles planifiés pour savoir comment définir les heures de début et de fin de la fenêtre horaire.

    Rôle requis : sn_vul_qualys.admin

    Procédure

    1. Accédez à la Tous > Intégration de vulnérabilité Qualys > Administration > Instances d'intégration.
    2. Sélectionnez Qualys pour ouvrir l’enregistrement.
      Les paramètres d’instance d’intégration sont Qualys affichés dans un onglet.
    3. Pour activer l’analyse automatique, localisez le scan_on_resolved paramètre.
    4. Dans la colonne Valeur de la propriété, saisissez true.
    5. Cliquez sur Mettre à jour.

    Configurer Qualys les nouvelles analyses pour qu’elles s’exécutent uniquement à intervalles planifiés

    Pour l’intégration de Qualys vulnérabilité, définissez les paramètres d’heure de début et de fin de l’analyse de sorte que les nouvelles analyses s’exécutent ou ne soient disponibles que pendant les heures souhaitées.

    Avant de commencer

    Cette configuration s’applique à la fois aux réanalyses planifiées et aux nouvelles analyses que vous lancez manuellement dans le Qualys produit à partir de votre Now Platform® instance.

    La définition des paramètres d’heure de début et de fin d’analyse pour les instances d’intégration vous permet de spécifier des fenêtres horaires lorsque des nouvelles analyses sont disponibles dans le Qualys produit. Par exemple, vous préférerez peut-être spécifier que les nouvelles analyses ne sont disponibles qu’en dehors des heures de bureau, par exemple, de minuit à minuit.

    Ce paramètre est spécifique à l’instance. Si vous avez plusieurs instances, vous devez configurer les valeurs de scan_start_time et de scan_end_time dans les paramètres d’instance d’intégration de chaque instance que vous souhaitez modifier.

    Rôle requis : sn_vul_qualys.admin

    Procédure

    1. Accédez à la Tous > Intégration de vulnérabilité Qualys > Instances d'intégration > Qualys.
    2. Cliquez sur Qualys pour ouvrir l’enregistrement.
      Les paramètres d’instance d’intégration de Qualys sont affichés.
    3. Pour le paramètre scan_start_time, entrez l’heure dans le fuseau horaire UTC au format 24 heures (00 :00 à 24 :00) pour l’heure de début de la fenêtre pour laquelle vous souhaitez que des nouvelles analyses soient disponibles.
    4. Pour la scan_end_time, entrez les heures au même format (00 :00 à 24 :00) pour l’heure de fin de la fenêtre disponible dans la colonne Valeur.
      Par exemple, si vous entrez une heure de début de 00h00 pour le paramètre scan_start_time et une scan_end_time de 10h00 le matin même, les analyses planifiées ou lancées manuellement en dehors de la fenêtre horaire de minuit à 10h sont mises en file d’attente et lancées à l’heure de début de la fenêtre horaire du jour suivant, 00h00.

      Dans le même exemple, si un propriétaire de rattrapage lance manuellement une nouvelle analyse à 11h00, celle-ci n’est pas lancée immédiatement, car elle se trouve en dehors des heures d’analyse configurées disponibles. La demande d’analyse reste en file d’attente jusqu’au début de la fenêtre horaire du jour suivant, dans cet exemple (00 :00).

    5. Cliquez sur Mettre à jour pour enregistrer vos paramètres.

    Qualys Limites des taux d’analyse de vulnérabilité

    Vous pouvez définir la fréquence à laquelle différents types d’analyses sont effectués pour limiter le nombre de demandes envoyées à un analyseur externe. Une fois que vous avez défini des limites de débit, vous pouvez les appliquer aux Qualys scanners.

    Définir des Qualys limites de taux d’analyse

    Vous pouvez définir la fréquence à laquelle différents types d’analyses sont effectués pour équilibrer la charge dans votre file d’attente d’analyse. Les conditions définies dans la limite de taux déterminent si les limites de taux sont appliquées aux entrées en file d’attente.

    Avant de commencer

    Rôle requis : sn_vul.admin

    Des rôles granulaires et de profil sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration. Pour plus d’informations sur la gestion des rôles granulaires, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.

    Procédure
    1. Accédez à la Tous > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Définitions de limite d'évaluation.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Tableau 1. Définition de limite de taux
      Champ Description
      Nom Fournissez un nom descriptif qui identifie les conditions que l’entrée de file d’attente doit remplir. Par exemple, analyses par minute
      Conditions de la file d'attente Entrez les conditions utilisées pour déterminer si une entrée d’analyse en file d’attente est soumise à cette limite de taux. Les conditions ne doivent pas être spécifiques à un scanner particulier.
      Script d'évaluation Écrivez un script avec la logique pour évaluer l’entrée en file d’attente. Il est important que le script retourne vrai/faux pour définir si l’entrée est traitée. Basez également le script d’évaluation sur l’entrée en file d’attente évaluée.
    4. Cliquez sur Envoyer.

    Appliquer des limites de taux de balayage aux Qualys scanners

    Une fois que vous avez défini des limites de taux d’analyse à l’aide de définitions de limite de taux, vous pouvez appliquer des limites de débit à des scanners spécifiques Qualys .

    Avant de commencer

    Rôle requis : sn.vul_admin

    Des rôles granulaires et de profil sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration. Pour plus d’informations sur la gestion des rôles granulaires, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.

    Procédure
    1. Accédez à la Tous > Réponse aux vulnérabilités > Analyse de la vulnérabilité > Limites de taux des analyseurs.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Tableau 2. Limite de taux du scanner
      Champ Description
      Scanner Sélectionnez le scanner auquel vous souhaitez appliquer une limite de taux.
      Limite du taux Sélectionnez la limite de taux que vous souhaitez appliquer à ce scanner.
      Seuil Entrez le seuil auquel vous voulez soumettre le scanner sélectionné pour la limite de taux sélectionnée. Par exemple, si le scanner autorise 4 numérisations par minute et que la limite de taux est définie comme demandes par minute, le seuil sera de 4.
    4. Cliquez sur Envoyer.

    Afficher la file d’attente de l’analyse Qualys de vulnérabilité

    Les demandes d’analyse de vulnérabilité soumises à l’intégration de l’analyse de vulnérabilité sont mises en file d’attente Qualys afin de ne pas surcharger les ressources système. Vous pouvez afficher l’état des demandes mises en file d’attente, selon les besoins.

    Avant de commencer

    Rôle requis : sn_vul.vulnerability_admin ou sn_vul.admin (déconseillé)

    Des rôles granulaires et de profil sont disponibles pour vous aider à gérer ce que les utilisateurs et les groupes peuvent afficher et faire dans l’application Vulnerability Response . Pour une affectation initiale des rôles de profil dans l’Assistant de configuration, reportez-vous à la section Affecter les rôles de profil à l’aide de l’Assistant Vulnerability Response de configuration. Pour plus d’informations sur la gestion des rôles granulaires, consultez Gérer les profils et les rôles granulaires pour Vulnerability Response.

    Pourquoi et quand exécuter cette tâche

    Dans la liste des analyses en file d’attente, chaque analyse comprend un nom d’analyse généré automatiquement qui identifie le CI qui a été analysé.

    Procédure

    1. Accédez à la Tous > Réponse aux vulnérabilités > Analyse de la vulnérabilité > File d'attente de l'analyse.
      Toutes les Qualys demandes d’analyse qui ont été soumises sont affichées dans une liste. La colonne État affiche l’état actuel de chaque entrée en file d’attente. Un état Terminé indique que l’analyse a quitté la file d’attente. Cela n’indique pas nécessairement que le traitement de l’analyse est terminé. Lorsque les analyses ont été terminées ou si elles ont échoué, la colonne Traitement affiche le texte des notes de travail approprié.
      Remarque :
      Si une valeur de hachage a été soumise pour analyse et que le scanner ne trouve pas de résultat, l’état indique Terminé et la note de travail dans la colonne Traitement indique Inconnu.
    2. Une fois le traitement d’une analyse terminée, cliquez sur un enregistrement en file d’attente pour afficher les détails de la demande d’analyse.

    Activer le filtre du système de base pour les importations de détection confirmées

    Activer un filtre par défaut à l’aide des paramètres d’intégration pour importer uniquement les détections confirmées à partir de Qualys Cloud Platform.

    Avant de commencer

    Rôle requis : sn_vul_qualys.admin, sn_vul.vr_import_admin

    Pourquoi et quand exécuter cette tâche

    Un paramètre d’instance d’intégration du système de base « include_only_confirmed » est disponible pour importer une liste filtrée des détections à partir de .Qualys Cloud Platform Par défaut, ce paramètre est défini sur FALSE et toutes les détections, qu’elles soient potentielles, confirmées ou informatives, sont importées.

    Procédure

    1. Accédez à la Tous > Intégration de vulnérabilité Qualys > Administration > Instances d'intégration.
    2. Ouvrez Qualys Cloud Platform Integration à partir de la liste Instances d’intégration.
    3. Dans la liste Paramètres d’instance d’intégration, ouvrez le paramètre «include_only_confirmed ».
    4. Mettez à jour la valeur par défaut sur Vrai.
    5. Cliquez sur Mettre à jour.
      Vous avez activé le filtre pour importer les détections confirmées à partir de l’intégration Qualys Cloud Platform .

    Résultats

    Par défaut, seules les détections confirmées de l’intégration Qualys Cloud Platform sont importées lors de l’exécution de la prochaine importation de vulnérabilité Qualys. Toutes les autres détections, qu’elles soient informatives ou potentielles, sont ignorées et ne sont pas importées. Pour plus d’informations, consultez Afficher les données de détection d’éléments vulnérables de Vulnerability Response.

    Lancer une nouvelle analyse pour le Qualys Vulnerability Integration

    Vérifiez que vos éléments vulnérables ont été corrigés entre les cycles d’analyse planifiés en lançant de nouvelles analyses dans le Qualys produit à partir de votre Now Platform service sur demande.

    Avant de commencer

    Vous pouvez lancer de nouvelles analyses à partir des espaces de travail Vulnerability Response. Pour plus d'informations, consultez Analyser de nouveau les enregistrements et les tâches de rattrapage dans Vulnerability Manager Workspace et Analyser à nouveau les éléments vulnérables et les tâches de rattrapage dans Espace de travail de remédiation IT.

    Pour les nouvelles analyses dans l’environnement classique, consultez les sections suivantes pour savoir comment lancer de nouvelles analyses.

    Configuration requise pour les nouveaux scans dans le Qualys produit lancés à partir de votre Now Platform:

    Vous pouvez lancer une nouvelle analyse sur demande des éléments vulnérables pour le Qualys produit à partir de votre Now Platform® instance.

    Pour aider à réduire les frais généraux et le volume liés aux analyses complètes planifiées, les propriétaires de correction, les spécialistes informatiques, les analystes de vulnérabilités ou les gestionnaires de vulnérabilités peuvent lancer de nouvelles analyses ciblées à la demande pour rechercher des vulnérabilités spécifiques sur les actifs (éléments de configuration) de leurs environnements. Vous pouvez lancer de nouvelles analyses dans le Qualys produit à partir d’un élément vulnérable (VI), de tâches de rattrapage (RT), d’une entrée tierce (TPE) ou d’enregistrements d’éléments détectés depuis votre Now Platform instance.

    Les nouvelles analyses vous permettent de vérifier que vos activités de correction, correctifs et autres actions ont corrigé avec succès des vulnérabilités spécifiques sur vos éléments de configuration (CI).

    Cas d'utilisation

    À titre d’exemple, supposons que l’ensemble de votre environnement soit analysé une fois toutes les trois semaines. L’analyse complète la plus récente a été terminée il y a une semaine, mais vous avez appliqué un correctif hier pour corriger une vulnérabilité critique. En raison de la nature de cette vulnérabilité, vous ne pouvez pas attendre deux semaines la prochaine analyse planifiée pour vérifier qu’elle a été corrigée. Pour vérifier que votre correctif a corrigé avec succès une vulnérabilité critique détectée lors d’une analyse précédente, vous pouvez lancer une nouvelle analyse ciblée à partir de votre Now Platform recherche Qualys d’éléments vulnérables.

    Vous pouvez lancer de nouvelles analyses pour les VI dont la source est Qualys dans des états autres que Fermé. Consultez Analyser de nouveau les enregistrements et les tâches de rattrapage dans Vulnerability Manager Workspace et Analyser à nouveau les éléments vulnérables et les tâches de rattrapage dans Espace de travail de remédiation IT.

    Vérifiez que vous avez terminé la configuration suivante requise pour les nouvelles analyses. Consultez les étapes à partir de Configurer et gérer Qualys les scanners et analyses de vulnérabilité répertoriés dans les sections précédentes pour plus d’informations.

    Rôle requis : sn_vul_manually_initiate_rescan

    Procédure

    1. Accédez à la Tous > Réponse aux vulnérabilités > Éléments vulnérables.
    2. Localisez l’enregistrement d’élément vulnérable à partir duquel vous souhaitez lancer une nouvelle analyse et ouvrez-le.
      Remarque :
      Vous pouvez uniquement lancer de nouvelles analyses pour les VI avec Qualys la source comme source. Verify Qualys s’affiche dans la colonne Source des vues de listes de VI ou dans les champs Source des enregistrements individuels. Vous pouvez utiliser le créateur de condition pour regrouper les VI par source. Ou, si la colonne Source n’est pas affichée dans la vue de listes VI, en haut à gauche de la liste, cliquez sur l’icônePersonnaliser la liste (icône d’engrenage) et utilisez la zone de liste double pour déplacer la source de Disponible à Sélectionné.
    3. Vous pouvez également accéder à Tous > Réponse aux vulnérabilités > Tâches de remédiation, Réponse aux vulnérabilités > Bibliothèques > Tiersou aux éléments détectés pour la tâche de rattrapage, l’entrée tierce ou les enregistrements d’éléments détectés, respectivement, que vous souhaitez utiliser pour la nouvelle analyse.

      Selon votre choix, le bouton Analyser de nouveau est disponible sur les enregistrements suivants :

      • Sur un seul enregistrement de VI, le VI doit provenir du Qualys produit et être dans un état autre que Fermé. Pour plusieurs enregistrements de VI, tous les VI doivent avoir Qualys comme source et dans un état autre que Fermé.
      • Sur un enregistrement RT, la tâche de rattrapage peut être dans n’importe quel état autre que Fermé, et tous les VI associés doivent avoir Qualys comme source.
      • Sur un enregistrement d’entrée tierce (TPE), l’enregistrement doit avoir au moins un enregistrement de VI associé dans un état autre que Fermé avec Qualys comme source.
      • Sur un enregistrement d’élément détecté, l’élément de configuration a au moins un VI Qualys associé comme source dans un état autre que Fermé.
    4. En haut à droite de l’enregistrement que vous avez choisi, cliquez sur Analyser à nouveau.
      Dans la boîte de dialogue qui s’affiche, choisissez-en un pour continuer.
      Option Description
      Cochez la case Spécifier les profils d’option . Dans la liste, choisissez le profil d’option Qualys du scanner que vous souhaitez utiliser pour la nouvelle numérisation. Il s’agit des dispositifs (scanners) que vous avez configurés et répertoriés dans Intégration de vulnérabilité Qualys > Dispositifs de scanner.
      Décochez la case Spécifier les profils d’option (non cochée). Le Qualys profil d’option du scanner que vous avez défini comme scanner par défaut dans la liste Dispositifs de scanner est utilisé pour l’analyse.

      Pour plus d’informations sur la définition des scanners par défaut que vous lancez à partir de votre Now Platform, Configurez les dispositifs de scanner répertoriés dans la section précédente pour plus d’informations.
    5. Cliquez sur Demander une analyse.

      Un message s’affiche indiquant que votre scan est en cours de traitement. L’état de toutes les nouvelles analyses est disponible à tout moment sous les listes connexes à l’analyse des enregistrements VI, RT, TPE et élément détecté que vous avez utilisés pour lancer les nouvelles analyses. Dans le message, cliquez sur Afficher les détails pour afficher l’état de la nouvelle analyse et afficher toutes les autres analyses lancées à partir d’un enregistrement donné.

      Votre instance suit l’état de la nouvelle analyse jusqu’à ce qu’elle se termine avec succès ou jusqu’à ce que la période de suivi définie expire, selon la première éventualité. Le délai d’expiration n’arrête pas l’analyse. Le délai d’expiration fait référence au moment où le suivi de l’état Now Platform de votre nouvelle analyse a cessé, et non à la date à laquelle la nouvelle analyse s’est arrêtée.

      Une fois la nouvelle analyse terminée avec succès, l’intégration de détection d’hôte Qualys est automatiquement lancée pour mettre à jour vos éléments vulnérables. En fonction du nombre de VI que vous avez, vos détections, VI et RT sont mis à jour une fois l’analyse de l’intégration de détection d’hôte Qualys terminée. Accédez à ces enregistrements pour afficher les mises à jour une fois l’intégration de la détection d’hôte terminée.

      Cette analyse est spécifique à l’instance et peut être désactivée. Pour plus d’informations sur les intégrations et la Qualys façon de visualiser les intégrations, consultez Présentation de Qualys Vulnerability Integration.

    Que faire ensuite

    Vous pouvez afficher une pièce jointe .csv sur l’enregistrement d’analyse pour afficher les détails des nouvelles analyses.

    .csv fichier et hôtes non analysés sur l’enregistrement d’analyse.

    Comme le montre l’image précédente, pendant la nouvelle analyse, si les hôtes (éléments de configuration) de votre environnement ne sont pas accessibles, les détections et les VI associés à ces actifs ne sont pas mis à jour lorsque la nouvelle analyse est terminée. Pour vous aider à comprendre pourquoi ils ne sont pas inclus, une fois la nouvelle analyse terminée, les adresses IP d’actif pour ces CI sont répertoriées dans les enregistrements de vulnérabilité dans le champ Hôtes non analysés.