Noções básicas sobre o Qualys Vulnerability Integration

  • Versão de lançamento: Washingtondc
  • Atualizado 26 de jan. de 2024
  • 8 min. de leitura

    • Os sensores do produto Qualys coletam os dados e os enviam automaticamente para a aplicação Qualys, que analisa e correlaciona continuamente as informações. Ele se integra facilmente com Vulnerability Response como o Qualys Vulnerability Integration para mapear vulnerabilidades para ICs e serviços de negócios para determinar o impacto e a prioridade de ameaças potencialmente mal-intencionadas.

    Configure seu Qualys Vulnerability Integration usando Vulnerabilidade > Administração > Assistente de configuração para tornar a recuperação de dados mais flexível e escalonável.

    Se você tiver várias implantações da aplicação Qualys Cloud Platform, poderá adicionar uma integração para cada implantação. Os ativos, identificados por várias implantações de terceiros e suas vulnerabilidades, são consolidados e reconciliados com o seu CMDB. Essa consolidação acontece mesmo quando os processos de verificação se sobrepõem entre as várias implantações. Os dados provenientes de cada implantação são identificados e disponíveis em uma única instância de Vulnerability Response. Qualys Vulnerability Integration Os registros da Base de conhecimento são normalizados entre implantações, garantindo que as instâncias da mesma vulnerabilidade em implantações sejam tratadas como a mesma vulnerabilidade.
    Nota:
    Você não pode excluir a integração de vulnerabilidade original, mas pode desabilitá-la. As integrações criadas a partir de modelos desabilitados são desabilitadas por padrão.

    Há um usuário executado configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Não altere este valor.

    Nota:
    Embora o Qualys Vulnerability Integration crie integrações para Lista de dispositivos, Grupo de ativos, Lista de pesquisa dinâmica e Lista de pesquisa estática, eles não são necessários para a operação normal.

    Versões disponíveis

    Versão de lançamento para Washington DC Notas de versão

    Qualys Vulnerability Integration v12.7, v12.8

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Componentes instalados

    Para obter uma lista atual das funções, trabalhos de integração e tabelas instaladas com a integração, bem como um link para instruções sobre como exibir o que está instalado na sua instância, consulte Componentes instalados com o Qualys Vulnerability Integration.

    Integrações primárias e de suporte

    Qualys As integrações primárias e de suporte enriquecem os dados de vulnerabilidade em sua instância recuperando dados da integração de vulnerabilidade da Qualys. Uma série de trabalhos programados invoca as integrações automaticamente. Você também pode executá-los manualmente. Os trabalhos programados simplificam o ciclo de vida de correção de vulnerabilidades, mantendo a instância sincronizada com outros sistemas de gestão de vulnerabilidades. As integrações primárias e de suporte podem ser modificadas.

    As Qualys integrações são executadas como trabalhos programados. Há um usuário executado configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Este valor não deve ser alterado.
    Nota:
    Falha ao definir um usuário executar como válido resulta em vários anexos de recuperação de dados, geralmente duplicados, nos registros de fonte de dados, sempre que a integração é executada. Vários anexos na fonte de dados aumentam o tempo de processamento, resultando em resultados de transformação inconsistentes.

    Durante a importação, os registros CVE, ainda não presentes, são criados como registros NVD e referenciados em entradas de terceiros para Qualys por padrão.

    Persona e funções granulares estão disponíveis para ajudá-lo a gerenciar o que usuários e grupos podem ver e fazer na aplicação Vulnerability Response. Para obter uma atribuição inicial das funções de persona no Assistente de configuração, consulte Atribua as funções de persona Vulnerability Response usando o Assistente de configuração. Para obter mais informações sobre como gerenciar funções granulares, consulte Gerenciar persona e funções granulares para Vulnerability Response.

    Integrações primárias

    Uma integração primária é um ponto de entrada para o Qualys Cloud Platform interagindo com a API Qualys invocada em uma programação.

    Exiba as integrações primárias navegando até Integração de Vulnerabilidade da Qualys > Administração > Integrações Primárias.

    Integrações de suporte

    Uma integração de suporte é um processo que não deve ser executado em uma programação nem sem invocação por uma integração primária.

    Exiba as integrações de suporte navegando até Integração de Vulnerabilidade da Qualys > Administração > Integrações de Suporte.

    Conector do Service Graph para Qualys

    A partir da versão 2.2, o Conector do Service Graph para Qualys está disponível no ServiceNow® Store. Para obter mais informações, consulte Service Graph Connector for Qualys.

    Os dados dos campos de fonte de dados da Qualys são importados com a API Ativo global e a API Gestão e marcação de ativos.

    API de ativos globais:
    • É necessária uma licença do CSAM.
    • As informações de ativos incluem detalhes como Categoria de hardware e Categoria de SO.
    API de marcação e gestão de ativos:
    • Não é necessária uma licença de CSAM
    • As informações de ativos não incluem detalhes sobre Categoria de hardware e Categoria de SO.

    Para obter mais informações, consulte Service Graph Connector for Qualys APIs

    .

    Criar ICs usando o Mecanismo de Identificação e Reconciliação (IRE)

    Você pode usar o Mecanismo de Identificação e Reconciliação para criar novos ICs quando um IC existente não puder ser correspondido com um host importado de um scanner de terceiros. Habilite o plug-in CMDB CI Class Models para criar ICs usando as novas classes, caso contrário, ICs incompatíveis serão criados nas classes de IC incompatíveis. Para obter mais informações, consulte Criando ICs para Vulnerability Response usando o mecanismo de Identificação e Reconciliação. Para obter mais informações sobre como configurar a categorização de recursos de nuvem incompatíveis em sua classe de IC preferencial, consulte Atualizando classe de IC para ativos de nuvem incompatíveis.

    Listas de pesquisa

    As listas de pesquisa são usadas em Qualys para criar grupos personalizados de vulnerabilidades. Você pode salvá-los e usá-los para criação de tíquetes e para personalizar verificações e relatórios de vulnerabilidades. O módulo Listas de pesquisa permite que você baixe os dados da lista de pesquisa do Qualys para sua instância de forma programada.

    As listas de pesquisa são extraídas de Qualys usando os mapas de transformação de dados Importação de lista de pesquisa dinâmica e/ou Importação de lista de pesquisa estática. Em cada uma dessas transformações, você pode definir programações para executar a importação.

    Perfis de opção

    Perfis de opção estão disponíveis com Qualys configurações de verificação. Um perfil de opção é necessário ao iniciar uma verificação do Now Platform.

    Os perfis de opção são importados do produto Qualys pela Integração da lista de perfis de opção. Você pode preferir executar a integração da lista de perfis de opção após uma importação das integrações de listas de pesquisa, Qualys lista de pesquisa dinâmica e Qualys integrações de lista de pesquisa estática para que você possa ver quais listas de pesquisa estão associadas aos perfis de opção.

    Grupos de ativos

    Os grupos de ativos são configurados na plataforma Qualys. Os grupos de ativos identificam quais dispositivos de scanner são usados para verificar endereços IP correspondentes quando uma verificação é iniciada do Now Platform.

    Os grupos de ativos que têm dispositivos associados são extraídos de Qualys pela Integração da lista de grupos de ativos.

    Inicie a integração da lista de dispositivos depois de importar grupos de ativos para preencher os campos Nome do dispositivo e Status do dispositivo nos registros de Aplicações padrão Qualys na Now Platform.

    Marcadores de host

    Todos os marcadores de host são importados como parte da integração da lista de hosts Qualys. Os marcadores de host são usados principalmente para filtragem em Vulnerability Response Regras de Grupo de Atribuição e Vulnerabilidade. Eles são exibidos no formulário Item descoberto.
    Nota:
    A integração da lista de hosts Qualys deve ser executada antes de criar Regras de atribuição ou de tarefa de correção em Vulnerability Response para que todos os marcadores possam estar presentes nas regras e antes que os itens vulneráveis sejam importados e agrupados.
    • O armazenamento de marcador não faz distinção entre maiúsculas e minúsculas. Se um marcador San Diego for criado, um marcador SAN DIEGO não poderá ser armazenado na tabela de marcadores do host. "San Diego" e "SAN DIEGO" são considerados o mesmo marcador de host. Qualquer marcador que tenha sido importado primeiro vencerá.
    • Usar marcadores de host como uma chave de grupo em uma regra de tarefa de correção pode ter resultados inesperados. Os marcadores de host devem ser usados somente no Construtor de condição.
    • Os marcadores de host são controlados pela propriedade do sistema global sn_vul.import_host_tags. Esta propriedade é definida como verdadeira por padrão. Desativar os marcadores os desativa em todas as instâncias.

    Marcadores de host (também chamados de marcadores de ativo) são usados para organizar e rastrear os ativos em sua organização. Você pode atribuir marcadores aos ativos de host. Em seguida, ao iniciar as verificações, você pode selecionar marcadores associados aos hosts que deseja verificar. O módulo Marcadores de host permite que você baixe dados de marcador de host de Qualys para sua instância de forma programada.

    Reabrir itens vulneráveis resolvidos não encerrados por verificações

    Itens vulneráveis definidos como "Resolvidos" em sua instância Now Platform, mas não transicionados para "Encerrado/Corrigido" pelas execuções de integração de terceiros serão reabertos se forem detectados durante novas verificações.

    Para Qualys detecções, se o scanner continuar a encontrar IVs que foram definidos como "Resolvido", mas não transicionados para "Encerrado/Corrigido" pelas verificações subsequentes, esses IVs retornam para "Aberto" quando a última data encontrada for posterior a Data de resolução.

    Limitações de recuperação de dados

    Por padrão, não há restrições sobre como os dados são recuperados de Qualys. Muitos registros podem estar relacionados a vulnerabilidades de baixa severidade que um cliente não está disposto a corrigir usando seu processo de resposta de vulnerabilidade. Atualizar os parâmetros de mensagem/método REST correspondentes pode modificar esse comportamento.

    A mensagem/método REST responsável por esta atualização é Qualys Host Detection – Standard/post. Para atualizar os valores, adicione um novo parâmetro de consulta HTTP ao método post com os seguintes valores:
    • Nome: severities
    • Valor: 3-5 (ou quaisquer gravidades apropriadas desejadas)

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.