Erweiterte Qualys-Konfigurationen und -Änderungen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 20 Minuten Lesedauer

    • Konfigurieren Sie erweiterte optionale Änderungen, und optimieren Sie einige der Daten speziell für die Qualys-Integration. Die meisten dieser Änderungen erfordern Codierung oder fortgeschrittene ServiceNow - oder Qualys Cloud Platform -Kenntnisse.

    Ändern Sie die Zuordnungswerte für Qualys zu ServiceNow für Priorität und Status

    Ändern Sie die Zuordnungswerte für Priorität und Status entsprechend Ihren Anforderungen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Dies ist eine erweiterte Anpassungsoption.

    Prozedur

    1. Navigieren zu Alle > Systemdefinition > Business-Regeln.
    2. Suchen Sie nach Map Qualys Values, und öffnen Sie es.
    3. Klicken Sie auf die Registerkarte Erweitert.
    4. Ändern Sie gemäß Ihren Anforderungen.
      Zu den häufigsten Änderungen gehören das Hinzufügen neuer Statuswerte oder das Überarbeiten der Relevanz oder Priorität.
    5. Klicken Sie auf Aktualisieren.

    Beschränken Sie die Fähigkeit, in einen Datensatz basierend auf einer Zuweisungsgruppe zu schreiben

    Sie können Schreib-/Leserechte für Datensätze basierend auf der Zugehörigkeit zu einer zugewiesenen Gruppe einschränken. Ändern Sie Bedingungen und Skripts basierend auf bestimmten Anforderungen.

    Vorbereitungen

    Erforderliche Rolle: security_admin (erweiterte Rolle von Administrator)
    Hinweis:
    Diese Aktion wird im Bereich „Schwachstelle“ ausgeführt.

    Prozedur

    1. Navigieren zu Alle > Systemsicherheit > Zugriffssteuerung (ACL).
    2. Suchen Sie nach ACLs, die mit sn_vulbeginnen.
    3. Wählen Sie einen Zugriffssteuerungsdatensatz aus, z. B. sn_vul_vulnerable_item, Operation write.
    4. Aktivieren Sie ggf. das Kontrollkästchen Erweitert im Datensatz, um die Rolleneinträge anzuzeigen.
    5. Ändern Sie das Rollenskript entsprechend Ihren Anforderungen.
      Skriptbeispiel für das Ändern des Zugriffs nach Gruppe.
      answer = (current.assigned_to == gs.getUserID() || isMemberOfForScopedApp(current.assignment_group));
// Note: standard 'isMemberOf' does not work within Scoped App
// gs.getUser().isMemberOf(current.assignment_group);
function isMemberOfForScopedApp(groupID){
var result = false;
if (groupID != ''){
var userID = gs.getUserID();
var now_GR = new GlideRecord("sys_user_grmember");
gr.addQuery("group", groupID);
gr.addQuery("user", userID);
gr.query();
if (gr.next()){
result = true;
}
}
return result;
}
    6. Klicken Sie auf Aktualisieren.

    Richten Sie Scannergeräte ein

    Wenn Sie Scans von Ihrem Now Platform® anstatt direkt von Qualys aus initiieren, können Sie Scans für IP-Adressbereiche einrichten.

    Vorbereitungen

    Die Daten stammen aus der Integration Qualys basierend auf Asset-Gruppen Qualys und den zugehörigen Standardgeräten (Scannern).

    Wenn für die Ziel-IP-Adressbereiche keine Geräte konfiguriert sind, wird das Gerät, das als Standard für die Integrationsinstanz festgelegt ist, für den Scan verwendet.

    Erforderliche Rolle: sn_vul_qualys.admin

    Prozedur

    1. Navigieren zu Alle > Qualys Schwachstellenintegration > Scannergeräte.
    2. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Gerätename

      Sie werden aufgefordert, dieses Feld auszufüllen, wenn Sie einen Datensatz manuell erstellen.

      Geben Sie den Namen für die Scanner-Appliance Qualys ein, die zum Aufrufen von Scans für übereinstimmende Konfigurationselemente verwendet werden soll.

      Verwenden Sie den Wert Extern, wenn der Scan mit einem externen Scanner gestartet werden soll.
      Geräte-ID

      Geben Sie den Gerätebezeichner für das Scannergerät Qualys ein, das zum Aufrufen von Scans für übereinstimmende Konfigurationselemente verwendet werden soll.

      Sie werden aufgefordert, dieses Feld auszufüllen, wenn Sie einen Datensatz manuell erstellen.

      Verwenden Sie den Wert 0, wenn der Scan mit einem externen Scanner gestartet werden soll.
      Gerätestatus Zeigt den letzten Status des Scannergeräts in den von der Qualys -Integration zurückgegebenen Daten an. Bei manuell erstellten Datensätzen wird der Status nur aktualisiert, wenn eine gültige Geräte-ID angegeben ist.
      Asset-Gruppen-ID Zeigt den Bezeichner der Asset-Gruppe Qualys an, von der dieser Datensatz erstellt wurde. Dieses Feld zeigt nur für Datensätze einen Wert an, die durch die Qualys -Integration erstellt wurden.
      Asset-Gruppenname Zeigt den Namen der Asset-Gruppe Qualys an, die diesen Datensatz erstellt hat. Dieses Feld zeigt nur für Datensätze einen Wert an, die durch die Qualys -Integration erstellt wurden.
      Reihenfolge Geben Sie einen Wert ein, der zur Bestimmung der Scan-Priorität verwendet werden soll. Bei Geräten mit in Konflikt stehenden Kriterien wird einem Gerät mit einem niedrigeren Reihenfolgewert eine höhere Priorität zugewiesen.
      Manuell erstellt Gibt an, ob dieser Datensatz vom Benutzer manuell erstellt wurde.
      Filtergruppe verwenden Aktivieren Sie dieses Kontrollkästchen, um eine Filtergruppe für die Suche nach übereinstimmenden Konfigurationselementen zum Scannen anzugeben.
      Filtergruppe Wählen Sie die Filtergruppe aus, die Sie für die Suche nach übereinstimmenden Konfigurationselementen zum Scannen verwenden möchten. Dieses Feld wird nur angezeigt, wenn Sie Filtergruppe verwendenausgewählt haben.
      IPs Kommagetrennte Liste von IP-Adressen oder IP-Adressbereichen, die von diesem Gerät beim Aufrufen von Scans verwendet werden sollen.
      Integrationsinstanz Die Qualys Integrationsinstanz, die dieser Appliance zugeordnet ist.
      Optionsprofil Wählen Sie das Optionsprofil aus, das Sie für Scans für übereinstimmende Konfigurationselemente verwenden möchten.
    3. Klicken Sie auf Aktualisieren.

    Konfigurieren und verwalten Sie Qualys Schwachstellenscanner und -scans

    Qualys Schwachstellenprüfungen können durchgeführt werden, um Softwareschwachstellen zu finden, die sich auf Ihre CIs auswirken. Sie können Scans aus einem Datensatz für angreifbare Elemente initiieren oder direkt einen Scan-Datensatz für Konfigurationselemente (CIs) und IP-Adressen erstellen.

    Wenn Sie Qualys angreifbare Elemente direkt über den Bildschirm „Angreifbare Elemente“ scannen, haben Sie auch die Möglichkeit, mehrere angreifbare Elemente gleichzeitig zu scannen.

    Wenn Security Incident Response aktiviert ist, können Sie auch einen Scan aus dem Security Incident-Katalog, einem Security Incident-Datensatz oder einer Sicherheitsscan-Anforderung initiieren.

    Scans, die von Qualys angreifbaren Elementen, Security Incident Catalog, Security Incidents oder Sicherheitsscananforderungen übermittelt werden, werden vom Standardscanner Qualys ausgeführt.

    Sie können das Optionsprofil auswählen, das Sie für Scans für übereinstimmende Konfigurationselemente verwenden möchten.

    • Optionsprofile enthalten Qualys Scan-Einstellungen.
    • Ein Optionsprofil ist erforderlich, wenn Sie einen Qualys -Scan von Ihrem Now Platform®aus initiieren.

    Konfigurieren Sie den von ServiceNow initiierten Qualys IP-Scan

    Der im Basissystem enthaltene Scanner Qualys bietet eine Baselineintegration zum Initiieren von Scans basierend auf IP-Adressen.

    Vorbereitungen

    Sie können das Optionsprofil auswählen, das Sie für Scans für übereinstimmende Konfigurationselemente verwenden möchten.

    • Optionsprofile enthalten Qualys Scan-Einstellungen.
    • Ein Optionsprofil ist erforderlich, wenn Sie einen Qualys-Scan von Ihrem Now Platform®aus initiieren.

    Erforderliche Rolle: sn_vul_qualys.admin

    Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scanner.
    2. Öffnen Sie den Datensatz Qualys.
    3. Aktivieren Sie die KontrollkästchenAktiv und Standard.

      Die Auswahl von Aktiv ist erforderlich, um den Scanner [ Qualys zum automatischen Scannen von Qualys VIs zu verwenden. Sie müssen auch nicht Standard auswählen, damit er automatisch ausgeführt wird.

      Vor v12.0 ist Active erforderlich, um den Scanner zu verwenden. Wenn auch Standard ausgewählt ist, wird der Scanner automatisch verwendet, ohne dass er während des Scanvorgangs ausgewählt werden muss.

    4. Klicken Sie für das Feld Quellintegration auf das Suchsymbol, und wählen Sie die Option für Qualysaus, z. B. Qualys Cloud Platform.
    5. Klicken Sie auf Aktualisieren.
    6. Navigieren zu Alle > Qualys Schwachstellenintegration > Administration > Primäre Integrationen.
    7. Öffnen Sie die Integration von Qualys-Asset-Gruppenlisten.
      1. Aktivieren Sie die Checkbox Aktiv.
      2. Klicken Sie auf Jetzt ausführen.
    8. Befolgen Sie diese Schritte, um Ihre Scanner-Appliances auszufüllen.
      Hinweis:
      Möglicherweise möchten Sie die Integration von Optionsprofillisten nach einem Import aus den Integrationen von Suchlisten, der dynamischen Qualys-Suchliste und der statischen Qualys-Suchlistenintegration ausführen, damit Sie sehen können, welche Suchlisten Optionsprofilen zugeordnet sind.
      1. Öffnen Sie die Integration von Qualys-Optionsprofillisten.
      2. Aktivieren Sie die Checkbox Aktiv.
      3. Klicken Sie auf Jetzt ausführen.
      4. Befolgen Sie die in Richten Sie Scannergeräte ein aufgeführten Schritte, um Ihre Scanner-Appliances zu konfigurieren.
        Kehren Sie nach Abschluss dieser Schritte hierher zurück, um mit der Konfiguration fortzufahren.
      5. Navigieren zu Alle > Qualys Schwachstellenintegration > Administration > Primäre Integrationen.
      6. Öffnen Sie die Qualys-Appliance-Listenintegration.
      7. Aktivieren Sie die Checkbox Aktiv.
      8. Klicken Sie auf Jetzt ausführen.
        Ihre Qualys Scanner-Appliances sind jetzt korrekt ausgefüllt.

    Scannen Sie mehrere Qualys Schwachstellen oder angreifbare Elemente

    Sie können mehrere Qualys Schwachstellen oder angreifbare Elemente gleichzeitig scannen, die mindestens ein betroffenes Configuration Item (CI) oder eine im Formular ausgefüllte IP-Adresse enthalten.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.vulnerability_write

    Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Prozedur

    1. Führen Sie einen der folgenden Schritte aus:
      • Navigieren zu Alle > Vulnerability Response > Korrekturaufgaben.
      • Navigieren zu Alle > Vulnerability Response > Alle angreifbaren Elemente.
    2. Aktivieren Sie die Kontrollkästchen für die Datensätze, die Sie scannen möchten.
    3. Klicken Sie auf die Liste Aktionen für ausgewählte Zeilen und klicken Sie auf Erneut nach angreifbaren Elementen scannen.
      Eine Nachricht mit einem Link zum Scan wird angezeigt, und die Arbeitsnotizen werden aktualisiert.
    4. Klicken Sie auf den Link, um den Fortschritt oder die Ergebnisse des Scans anzuzeigen.

    Konfigurieren Sie den automatischen Scan Qualys für gelöste Korrekturaufgaben

    Sie können den Scan so planen, dass er automatisch ausgeführt wird, um Ihre Qualys angreifbaren Elemente zu aktualisieren.

    Vorbereitungen

    Nachdem eine Korrekturaufgabe auf Gelöst gesetztwurde, wird automatisch ein Scan initiiert, um den Status der zugehörigen angreifbaren Elemente zu aktualisieren.

    • Der Scan ist standardmäßig deaktiviert.
    • Aktivieren Sie den Scan mit dem Integrationsinstanzparameter scan_on_resolved im Qualys -Datensatz unter Alle > Qualys Schwachstellenintegration > Integrationsinstanzen > Qualys-IDs. Weitere Informationen finden Sie in den folgenden Schritten.
    • Dieser Scan ist instanzspezifisch. Wenn Sie mehrere Instanzen haben und diesen Scan aktivieren oder deaktivieren möchten, müssen Sie den Parameter scan_on_resolved in den Integrationsinstanzparametern in jeder Instanz deaktivieren, die Sie ändern möchten.
    • Wenn der Scan aktiviert ist, können Sie den Scan bei Bedarf initiieren oder den Scan so planen, dass er nur innerhalb eines bestimmten Zeitfensters ausgeführt wird. Unter Konfigurieren Sie Qualys erneute Scans so, dass sie nur innerhalb geplanter Intervalle ausgeführt werden erfahren Sie, wie Sie die Start- und Endzeiten für das Zeitfenster festlegen.

    Erforderliche Rolle: sn_vul_qualys.admin

    Prozedur

    1. Navigieren zu Alle > Qualys Schwachstellenintegration > Administration > Integrationsinstanzen.
    2. Wählen Sie Qualys aus, um den Datensatz zu öffnen.
      Die Integrationsinstanzparameter für Qualys werden auf einer Registerkarte angezeigt.
    3. Um den automatischen Scan zu aktivieren, suchen Sie den Parameter scan_on_resolved.
    4. Geben Sie in der Spalte Wert für die Eigenschaft trueein.
    5. Klicken Sie auf Aktualisieren.

    Konfigurieren Sie Qualys erneute Scans so, dass sie nur innerhalb geplanter Intervalle ausgeführt werden

    Legen Sie für die Qualys Schwachstellenintegration die Start- und Endzeitparameter für Scans so fest, dass erneute Scans nur während der gewünschten Stunden ausgeführt werden oder verfügbar sind.

    Vorbereitungen

    Diese Konfiguration gilt sowohl für geplante erneute Scans als auch für erneute Scans, die Sie manuell im Produkt Qualys von Ihrer Instanz Now Platform® ] aus initiieren.

    Durch Festlegen der Start- und Endzeitparameter für Scans für Integrationsinstanzen können Sie Zeitfenster angeben, in denen erneute Scans im Produkt Qualys verfügbar sind. Sie können beispielsweise angeben, dass erneute Scans nur außerhalb der Geschäftszeiten verfügbar sind, z. B. von Mitternacht bis 10 Uhr.

    Diese Einstellung ist instanzspezifisch. Wenn Sie mehrere Instanzen haben, müssen Sie die Werte scan_start_time und scan_end_time in den Integrationsinstanzparametern in jeder Instanz konfigurieren, die Sie ändern möchten.

    Erforderliche Rolle: sn_vul_qualys.admin

    Prozedur

    1. Navigieren zu Alle > Qualys Schwachstellenintegration > Integrationsinstanzen > Qualys-IDs.
    2. Klicken Sie auf Qualys, um den Datensatz zu öffnen.
      Die Integrationsinstanzparameter für Qualys werden angezeigt.
    3. Geben Sie für den Parameter scan_start_time in der Spalte Wert die Zeit in der UTC-Zeitzone im 24-Stunden-Format (00:00 bis 24:00) für die Startzeit des Fensters ein, für das erneute Scans verfügbar sein sollen.
    4. Geben Sie für scan_end_time in der Spalte Wert Zeiten im gleichen Format (00:00 bis 24:00) für die Endzeit des verfügbaren Fensters ein.
      Wenn Sie beispielsweise eine Startzeit von 00:00 für den Parameter scan_start_time und eine scan_end_time von 10:00 Uhr desselben Morgens eingeben, werden Scans, die außerhalb des Zeitfensters von Mitternacht bis 10 Uhr geplant oder manuell gestartet wurden, in die Warteschlange gestellt und um gestartet Startzeit des Zeitfensters des folgenden Tages, 00:00.

      Wenn im selben Beispiel ein Fehlerkorrektur-Besitzer manuell einen erneuten Scan um 11:00 Uhr initiiert, wird der erneute Scan nicht sofort gestartet, da er außerhalb der verfügbaren konfigurierten Scan-Zeiten liegt. Die Scan-Anforderung bleibt bis zum Beginn des Zeitfensters des folgenden Tages in der Warteschlange, in diesem Beispiel (00:00).

    5. Klicken Sie auf Aktualisieren, um Ihre Einstellungen zu speichern.

    Qualys Quotenbegrenzungen für Schwachstellen Scans

    Sie können die Häufigkeit definieren, mit der verschiedene Arten von Scans ausgeführt werden, um die Anzahl der Anforderungen zu begrenzen, die an einen externen Scanner gesendet werden. Nachdem Sie Quotengrenzen definiert haben, können Sie sie auf die Scanner Qualys anwenden.

    Definieren Sie Qualys Scan-Ratengrenzen

    Sie können die Rate definieren, mit der verschiedene Arten von Scans ausgeführt werden, um die Last in Ihrer Scan-Warteschlange auszugleichen. In der Quotengrenze definierte Bedingungen bestimmen, ob die Quotengrenzen auf Einträge in der Warteschlange angewendet werden.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.admin

    Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Prozedur
    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Quotengrenzdefinitionen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Tabelle : 1. Quotengrenzdefinition
      Feld Beschreibung
      Name Geben Sie einen beschreibenden Namen an, der die Bedingungen angibt, die der Warteschlangeneintrag erfüllen muss. Beispiel: Scans pro Minute
      Bedingungen der Warteschlange Geben Sie Bedingungen ein, anhand derer bestimmt wird, ob ein Scan-Eintrag in der Warteschlange dieser Quotenbegrenzung unterliegt. Die Bedingungen sollten nicht für einen bestimmten Scanner spezifisch sein.
      Auswertungsskript Schreiben Sie ein Skript mit der Logik, um den Eintrag in der Warteschlange auszuwerten. Es ist wichtig, dass das Skript true/false zurückgibt, um zu definieren, ob der Eintrag verarbeitet wird. Basieren Sie das Bewertungsskript auch auf dem Eintrag in der Warteschlange, der ausgewertet wird.
    4. Klicken Sie auf Absenden.

    Wenden Sie Scan-Ratenbegrenzungen auf Qualys Scanner an

    Nachdem Sie Scan-Ratengrenzen mithilfe von Quotengrenzdefinitionendefiniert haben, können Sie Quotengrenzen auf bestimmte Qualys -Scanner anwenden.

    Vorbereitungen

    Erforderliche Rolle: sn.vul_admin

    Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Prozedur
    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scannerquotengrenzen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Tabelle : 2. Scanner-Quotenbegrenzung
      Feld Beschreibung
      Scanner Wählen Sie den Scanner aus, auf den Sie eine Quotenbegrenzung anwenden möchten.
      Quotengrenze Wählen Sie die Quotengrenze aus, die Sie auf diesen Scanner anwenden möchten.
      Schwellenwert Geben Sie den Schwellenwert ein, dem der ausgewählte Scanner für die ausgewählte Quotengrenze unterliegen soll. Wenn der Scanner beispielsweise 4 Scans pro Minute zulässt und die Quotengrenze als Anforderungen pro Minute definiert ist, wäre der Schwellenwert 4.
    4. Klicken Sie auf Absenden.

    Zeigen Sie die Schwachstellen-Scan-Warteschlange Qualys an

    An die Integration von Qualys für die Schwachstellen-Scan-Integration übermittelte Schwachstellen-Scan-Anforderungen werden in die Warteschlange gestellt, um die Systemressourcen nicht zu überlasten. Sie können den Status von Anforderungen in der Warteschlange nach Bedarf anzeigen.

    Vorbereitungen

    Erforderliche Rolle: sn_vul.vulnerability_admin oder sn_vul.admin (veraltet)

    Persona-Rollen und granulare Rollen sind verfügbar, um Sie bei der Verwaltung der Informationen zu unterstützen, die Benutzer und Gruppen in der Anwendung Vulnerability Response anzeigen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten granularer Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Warum und wann dieser Vorgang ausgeführt wird

    In der Liste der Scans in der Warteschlange enthält jeder Scan einen automatisch generierten Scan-Namen, der das gescannte CI identifiziert.

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Schwachstellenscan > Scan-Warteschlange.
      Alle Qualys Scan-Anforderungen, die übermittelt wurden, werden in einer Liste angezeigt. Die Spalte Status zeigt den aktuellen Status jedes Eintrags in der Warteschlange an. Der Status Abgeschlossen gibt an, dass der Scan die Warteschlange verlassen hat. Dies bedeutet nicht unbedingt, dass die Verarbeitung des Scans abgeschlossen ist. Wenn die Scans abgeschlossen sind oder fehlgeschlagen sind, wird in der Spalte Wird verarbeitet der entsprechende Arbeitsnotiztext angezeigt.
      Hinweis:
      Wenn ein Hash-Wert zum Scannen übermittelt wurde und der Scanner kein Ergebnis findet, zeigt der Status Abgeschlossen und die Arbeitsnotiz in der Spalte In VerarbeitungUnknownan.
    2. Klicken Sie nach Abschluss der Verarbeitung eines Scans auf einen Datensatz in der Warteschlange, um Details für die Scan-Anforderung anzuzeigen.

    Aktivieren Sie den Basissystemfilter für bestätigte Erkennungsimporte

    Aktivieren Sie einen Standardfilter mithilfe von Integrationsparametern, um nur bestätigte Erkennungen aus Qualys Cloud Platformzu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_vul_qualys.admin, sn_vul.vr_import_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Ein Instanzparameter für die Basissystemintegration „include_only_confirmed“ ist verfügbar, um eine gefilterte Liste von Erkennungen aus Qualys Cloud Platformzu importieren. Standardmäßig ist dieser Parameter auf FALSEfestgelegt, und alle Erkennungen, ob potenziell, bestätigt oder informativ, werden importiert.

    Prozedur

    1. Navigieren zu Alle > Qualys Schwachstellenintegration > Administration > Integrationsinstanzen.
    2. Öffnen Sie die Qualys-Cloud-Plattformintegration aus der Liste der Integrationsinstanzen.
    3. Öffnen Sie in der Liste „Integrationsinstanzparameter“ den Parameter „include_only_confirmed“.
    4. Aktualisieren Sie den Standardwert auf True.
    5. Klicken Sie auf Aktualisieren.
      Sie haben den Filter aktiviert, um bestätigte Erkennungen aus der Qualys Cloud Platform -Integration zu importieren.

    Ergebnisse

    Standardmäßig werden nur bestätigte Erkennungen aus der Qualys Cloud Platform -Integration importiert, wenn der nächste Qualys-Schwachstellenimport ausgeführt wird. Alle anderen Erkennungen wie „Information“ und „Potenziell“ werden ignoriert und nicht importiert. Weitere Informationen finden Sie unter Erkennungsdaten für angreifbare Elemente in Vulnerability Response anzeigen.

    Initiieren Sie einen erneuten Scan für Qualys Vulnerability Integration

    Vergewissern Sie sich, dass Ihre angreifbaren Elemente zwischen den geplanten Scan-Zyklen korrigiert wurden, indem Sie bei Bedarf erneute Scans im Produkt Qualys aus Ihrem Now Platform initiieren.

    Vorbereitungen

    Sie können erneute Scans über die Vulnerability Response-Arbeitsbereiche initiieren. Weitere Informationen finden Sie unter Scannen Sie Datensätze und Korrekturaufgaben im Arbeitsbereich des Schwachstellenmanagers erneut und Scannen Sie angreifbare Elemente und Korrekturaufgaben im erneut IT Remediation Workspace.

    Informationen zum erneuten Scannen in der klassischen Umgebung finden Sie in den folgenden Abschnitten, in denen erläutert wird, wie Sie erneute Scans initiieren.

    Erforderliches Setup für erneute Scans im Produkt Qualys, das von Ihrem Now Platforminitiiert wurde:

    Sie können bei Bedarf einen erneuten Scan für angreifbare Elemente für das Produkt Qualys aus Ihrer Instanz von Now Platform® initiieren.

    Um den Overhead und das Volumen geplanter, vollständiger Scans zu reduzieren, können Korrekturbesitzer, IT-Spezialisten, Schwachstellenanalysten oder Schwachstellenmanager bei Bedarf gezielte erneute Scans für bestimmte Schwachstellen in Assets (Konfigurationselemente) in ihren Umgebungen initiieren. Sie können erneute Scans im Produkt Qualys aus Datensätzen für angreifbare Elemente (VI), Korrekturaufgaben (RT), Drittanbietereinträgen (TPE) oder erkannten Elementen aus Ihrer Instanz von Now Platform initiieren.

    Mit erneuten Scans können Sie überprüfen, ob mit Ihren Korrekturaktivitäten, Patches und anderen Aktionen bestimmte Schwachstellen in Ihren Konfigurationselementen (Configuration Items, CIs) erfolgreich behoben wurden.

    Anwendungsfall

    Angenommen, Ihre gesamte Umgebung wird alle drei Wochen gescannt. Der letzte vollständige Scan wurde vor einer Woche abgeschlossen, Sie haben jedoch gestern einen Patch angewendet, um eine kritische Schwachstelle zu beheben. Aufgrund der Art dieser Schwachstelle können Sie nicht zwei Wochen auf den nächsten geplanten Scan warten, um sicherzustellen, dass die Schwachstelle behoben wurde. Um sicherzustellen, dass Ihr Patch eine kritische Schwachstelle, die während eines früheren Scans erkannt wurde, erfolgreich behoben hat, können Sie einen gezielten erneuten Scan von Now PlatformQualys auf angreifbare Elemente von [] initiieren.

    Sie können erneute Scans für AEs mit Qualys als Quelle in anderen Status als „Geschlossen“ initiieren. Siehe Scannen Sie Datensätze und Korrekturaufgaben im Arbeitsbereich des Schwachstellenmanagers erneut und Scannen Sie angreifbare Elemente und Korrekturaufgaben im erneut IT Remediation Workspace.

    Vergewissern Sie sich, dass Sie das folgende Setup abgeschlossen haben, das für erneute Scans erforderlich ist. Weitere Informationen finden Sie in den Schritten ab Konfigurieren und Verwalten von Qualys Schwachstellenscannern und Scans, die in den vorherigen Abschnitten aufgeführt sind.

    Erforderliche Rolle: sn_vul_manually_initiate_rescan

    Prozedur

    1. Navigieren zu Alle > Vulnerability Response > Angreifbare Elemente.
    2. Suchen Sie den Datensatz des angreifbaren Elements, für den Sie einen erneuten Scan auslösen möchten, und öffnen Sie ihn.
      Hinweis:
      Sie können erneute Scans nur für AEs mit Qualys als Quelle initiieren. Vergewissern Sie sich, dass Qualys in der Spalte „ Quelle “ in den VI-Listenansichten oder in den Feldern „ Quelle “ in einzelnen Datensätzen angezeigt wird. Sie können den Bedingungsgenerator verwenden, um AEs nach Quelle zu gruppieren. Oder, wenn die Spalte Quelle nicht in der VI-Listenansicht angezeigt wird, klicken Sie oben links in der Liste auf das Symbol „Liste personalisieren “ (Zahnradsymbol), und verwenden Sie den Slushbucket, um Quelle von Verfügbar zu Ausgewähltzu verschieben.
    3. Navigieren Sie alternativ zu Alle > Vulnerability Response > Korrekturaufgaben, Vulnerability Response > Bibliotheken > Drittpartei, oder zu erkannten Elemente für die Datensätze der Korrekturaufgabe, des Drittanbietereintrags oder der erkannten Elemente, die Sie für den erneuten Scan verwenden möchten.

      Abhängig von Ihrer Auswahl ist die Schaltfläche Erneut scannen für die folgenden Datensätze verfügbar:

      • In einem einzelnen VI-Datensatz muss die VI aus dem Produkt Qualys stammen und sich in einem anderen Status als Geschlossenbefinden. Für mehrere VI-Datensätze müssen alle VIs Qualys als Quelle haben und sich in einem anderen Status als Geschlossenbefinden.
      • In einem RT-Datensatz kann sich die Korrekturaufgabe in einem anderen Status als „ Geschlossen“ befinden, und alle zugeordneten AEs müssen Qualys als Quelle haben.
      • In einem TPE-Datensatz muss mindestens ein zugeordneter VI-Datensatz in einem anderen Status als Geschlossen mit Qualys als Quelle vorhanden sein.
      • In einem Datensatz eines erkannten Elements ist dem Konfigurationselement mindestens ein VI mit Qualys als Quelle in einem anderen Status als Geschlossenzugeordnet.
    4. Klicken Sie oben rechts im ausgewählten Datensatz auf Erneut scannen.
      Wählen Sie im angezeigten Dialogfeld eines aus, um fortzufahren.
      Option Beschreibung
      Aktivieren Sie das Kontrollkästchen Optionsprofile angeben. Wählen Sie in der Liste das Optionsprofil für den Scanner Qualys aus, den Sie für den erneuten Scan verwenden möchten. Dies sind die Geräte (Scanner), die Sie konfiguriert und unter aufgelistet haben Qualys Schwachstellenintegration > Scannergeräte.
      Deaktivieren Sie das Kontrollkästchen Optionsprofile angeben (nicht ausgewählt). Das Optionsprofil Qualys für den Scanner, den Sie in der Liste der Scannergeräte als Standardscanner festgelegt haben, wird für den Scan verwendet.

      Um weitere Informationen zum Festlegen der Standardscanner zu erhalten, die Sie über Now Platforminitiieren, richten Sie die im vorherigen Abschnitt aufgeführten Scanner-Appliances ein.
    5. Klicken Sie auf Scan anfordern.

      Eine Nachricht wird angezeigt, die angibt, dass Ihr Scan verarbeitet wird. Der Status für alle erneuten Scans kann jederzeit unter den zugehörigen Scan-Listen in den Datensätzen für VI, RT, TPE und erkannte Elemente gefunden werden, die Sie zum Starten der erneuten Scans verwendet haben. Klicken Sie in der Nachricht auf Details anzeigen, um den Status des erneuten Scans anzuzeigen und alle anderen erneuten Scans anzuzeigen, die von einem bestimmten Datensatz aus gestartet wurden.

      Ihre Instanz verfolgt den Status des erneuten Scannens bis zum erfolgreichen Abschluss oder bis zum Ablauf des festgelegten Nachverfolgungszeitraums, je nachdem, was zuerst eintritt. Die Zeitüberschreitung stoppt den Scan nicht. Die Zeitüberschreitung bezieht sich auf den Zeitpunkt, zu dem Now Platform die Nachverfolgung Ihres Status des erneuten Scannens beendet hat, nicht auf das Ende des tatsächlichen erneuten Scannens.

      Nachdem der erneute Scan erfolgreich abgeschlossen wurde, wird die Qualys Host Detection Integration automatisch initiiert, um Ihre angreifbaren Elemente zu aktualisieren. Je nachdem, wie viele VIs Sie haben, werden Ihre Erkennungen, VIs und RTs nach Abschluss des Qualys Host Detection Integration-Scans aktualisiert. Navigieren Sie zu diesen Datensätzen, um die Updates anzuzeigen, nachdem die Integration der Hosterkennung abgeschlossen ist.

      Dieser Scan ist instanzspezifisch und kann deaktiviert werden. Weitere Informationen zu den Qualys -Integrationen und zur Anzeige der Integrationen finden Sie unter Qualys Vulnerability Integration verstehen.

    Nächste Maßnahme

    Sie können einen CSV-Anhang im Scan-Datensatz anzeigen, um Details zu den erneuten Scans anzuzeigen.

    CSV-Datei und Hosts im Scan-Datensatz nicht gescannt.

    Wie in der vorherigen Abbildung gezeigt, werden während des erneuten Scans, wenn Hosts (Konfigurationselemente) in Ihrer Umgebung nicht zugänglich sind, Erkennungen und VIs, die diesen Assets zugeordnet sind, nicht aktualisiert, wenn der erneute Scan abgeschlossen ist. Damit Sie verstehen, warum sie nicht enthalten sind, werden die Asset-IP-Adressen für diese CIs nach Abschluss des erneuten Scans in den Schwachstellendatensätzen im Feld Nicht gescannte Hosts aufgelistet.