Qualys Vulnerability Integration verstehen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Die Qualys Produktsensoren erfassen die Daten und senden sie automatisch an die Anwendung Qualys, die die Informationen kontinuierlich analysiert und korreliert. Die Integration mit Vulnerability Response als Qualys Vulnerability Integration ermöglicht die einfache Zuordnung von Schwachstellen zu CIs und Business-Services zur Bestimmung der Auswirkung und Priorität potenziell schädlicher Bedrohungen.

    Konfigurieren Sie Qualys Vulnerability Integration mit Schwachstelle > Administration > Setup-Assistent um den Datenabruf flexibler und skalierbarer zu gestalten.

    Wenn Sie über mehrere Bereitstellungen der Anwendung Qualys Cloud Platform verfügen, können Sie für jede Bereitstellung eine Integration hinzufügen. Assets, die von mehreren Drittanbieterbereitstellungen und ihren Schwachstellen identifiziert wurden, werden konsolidiert und mit Ihrer CMDB abgeglichen. Diese Konsolidierung erfolgt auch dann, wenn sich Scan-Prozesse zwischen den mehreren Bereitstellungen überschneiden. Daten, die aus den einzelnen Bereitstellungen stammen, werden identifiziert und sind in einer einzigen Instanz von Vulnerability Responseverfügbar. Qualys Vulnerability Integration Knowledge Base-Datensätze werden über alle Bereitstellungen hinweg normalisiert, um sicherzustellen, dass Instanzen derselben Schwachstelle in allen Bereitstellungen als dieselbe Schwachstelle behandelt werden.
    Hinweis:
    Sie können die ursprüngliche Schwachstellenintegration nicht löschen, aber deaktivieren. Aus deaktivierten Vorlagen erstellte Integrationen sind standardmäßig deaktiviert.

    Für jeden Integrationsdatensatz gibt es einen konfigurierten ausführenden Benutzer. Der Standardwert für diesen Anwender ist VR.System. Ändern Sie diesen Wert nicht.

    Hinweis:
    Qualys Vulnerability Integration erstellt zwar Integrationen für die Appliance-Liste, die Asset-Gruppe, die dynamische Suchliste und die statische Suchliste, sie sind jedoch für den normalen Betrieb nicht erforderlich.

    Verfügbare Versionen

    Release-Version für Xanadu Releasehinweise

    Qualys Vulnerability Integration v12.7, v12.8

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen

    Installierte Komponenten

    Eine aktuelle Liste der Rollen, Integrationsaufgaben und Tabellen, die mit der Integration installiert werden, sowie einen Link zu Anweisungen zum Anzeigen der derzeit in Ihrer Instanz installierten Elemente finden Sie unter Mit installierte Komponenten Qualys Vulnerability Integration.

    Primäre und unterstützende Integrationen

    Qualys Primäre und unterstützende Integrationen ergänzen die Schwachstellendaten in Ihrer Instanz, indem sie Daten aus der Qualys-Schwachstellenintegration abrufen. Die Integrationen werden automatisch durch eine Reihe von geplanten Aufgaben aufgerufen. Sie können sie auch manuell ausführen. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenkorrektur, indem sie die Instanz mit anderen Schwachstellenmanagementsystemen synchronisieren. Primäre und unterstützende Integrationen können geändert werden.

    Die Qualys Integrationen werden als geplante Aufgaben ausgeführt. Für jeden Integrationsdatensatz gibt es einen konfigurierten ausführenden Benutzer. Der Standardwert für diesen Anwender ist VR.System. Dieser Wert darf nicht geändert werden.
    Hinweis:
    Wenn keine gültige Ausführung als Anwender festgelegt werden kann, kommt es bei jeder Ausführung der Integration zu mehreren, häufig doppelten Datenabrufanhängen in den Datenquellen-Datensätzen. Mehrere Anhänge in der Datenquelle erhöhen die Verarbeitungsdauer, was zu inkonsistenten Transformationsergebnissen führt.

    Während des Imports werden CVE-Datensätze, die noch nicht vorhanden sind, als NVD-Datensätze erstellt und standardmäßig in Einträgen von Drittparteien für Qualys referenziert.

    Es sind Persona-Rollen und granulare Rollen verfügbar, mit denen Sie verwalten können, was Benutzer und Gruppen in der Anwendung Vulnerability Response sehen und tun können. Informationen zur erstmaligen Zuweisung der Persona-Rollen im Setup-Assistenten finden Sie unter Weisen Sie die Persona-Rollen Vulnerability Response mit dem Setup-Assistenten zu. Weitere Informationen zum Verwalten von granularen Rollen finden Sie unter Verwalten Sie Personas und granulare Rollen für Vulnerability Response.

    Primäre Integrationen

    Eine primäre Integration ist ein Einstiegspunkt für Qualys Cloud Platform, der mit der Qualys -API interagiert, die gemäß einem Zeitplan aufgerufen wird.

    Zeigen Sie die primären Integrationen an, indem Sie zu navigieren Qualys Schwachstellenintegration > Administration > Primäre Integrationenan.

    Unterstützende Integrationen

    Eine unterstützende Integration ist ein Prozess, der nicht zur Ausführung nach einem Zeitplan oder ohne Aufruf durch eine primäre Integration vorgesehen ist.

    Zeigen Sie die unterstützenden Integrationen an, indem Sie zu navigieren Qualys Schwachstellenintegration > Administration > Unterstützende Integrationenan.

    Service Graph Connector für Qualys

    Ab Version 2.2 ist der Service Graph Connector für Qualys im ServiceNow® Store] verfügbar. Weitere Informationen finden Sie unter Service Graph Connector for Qualys.

    Daten aus den Feldern der Datenquelle Qualys werden mit der Global Asset API und der Asset Management and Tagging API importiert.

    Globale Asset-API:
    • Eine CSAM-Lizenz ist erforderlich.
    • Asset-Informationen enthalten Details wie Hardwarekategorie und Betriebssystemkategorie.
    API für Asset-Verwaltung und Tagging:
    • Eine CSAM-Lizenz ist nicht erforderlich
    • Asset-Informationen enthalten keine Details zur Hardwarekategorie und zur Betriebssystemkategorie.

    Weitere Informationen finden Sie unter Service Graph Connector for Qualys APIs

    an.

    CIs mit der Engine Identification and Reconciliation (IRE) erstellen

    Sie können die Engine „Identification and Reconciliation“ (Identifizierung und Abgleich) verwenden, um neue CIs zu erstellen, wenn ein vorhandenes CI nicht mit einem Host abgeglichen werden kann, der aus einem Drittanbieterscanner importiert wurde. Aktivieren Sie das Plugin „CMDB CI Class Models“ (CMDB-CI-Klassenmodelle), um CIs mit den neuen Klassen zu erstellen. Andernfalls werden nicht abgeglichene CIs in den nicht abgeglichenen CI-Klassen erstellt. Weitere Informationen finden Sie unter CIs für Vulnerability Response werden mit der Engine „Identification and Reconciliation“ erstellt. Weitere Informationen zum Konfigurieren der Kategorisierung von nicht abgeglichenen Cloud-Ressourcen in Ihrer bevorzugten CI-Klasse finden Sie unter CI-Klasse für nicht abgeglichene Cloud-Assets aktualisieren.

    Suchlisten

    Suchlisten werden in Qualys verwendet, um anwenderdefinierte Gruppen von Schwachstellen zu erstellen. Sie können sie speichern und für die Ticketerstellung verwenden sowie Schwachstellen-Scans und Berichte anpassen. Mit dem Modul „Suchlisten“ können Sie Suchlistendaten von Qualys regelmäßig auf Ihre Instanz herunterladen.

    Suchlisten werden mithilfe der Datentransformationszuordnungen „ Dynamischer Suchlistenimport “ und/oder „ Statischer Suchlistenimport “ aus Qualys abgerufen. In jeder dieser Transformationen können Sie Zeitpläne für den Import definieren.

    Optionsprofile

    Optionsprofile sind mit den Scan-Einstellungen Qualys verfügbar. Ein Optionsprofil ist erforderlich, wenn Sie einen Scan von Ihrem Now Platformaus initiieren.

    Optionsprofile werden durch die Option Profile List Integration (Optionsprofillistenintegration) aus dem Produkt Qualys importiert. Möglicherweise möchten Sie die Integration der Optionsprofilliste nach einem Import aus den Integrationen der Suchlisten, der Qualys Integrationen der dynamischen Suchliste und der Integrationen der [ Qualys statischen Suchliste ausführen, damit Sie sehen können, welche Suchlisten mit Optionsprofilen verknüpft sind.

    Asset-Gruppen

    Asset-Gruppen werden auf der Plattform Qualys eingerichtet. Asset-Gruppen geben an, welche Scanner-Geräte zum Scannen übereinstimmender IP-Adressen verwendet werden, wenn ein Scan von Now Platformaus initiiert wird.

    Asset-Gruppen, denen Geräte zugeordnet sind, werden von der Asset-Gruppenlisten-Integration aus Qualys abgerufen.

    Initiieren Sie die Integration der Appliance-Listenintegration, nachdem Sie Asset-Gruppen importiert haben, um die Felder Appliance-Name und Appliance-Status in den Datensätzen Qualys Standardanwendungen in Ihrer Now Platform auszufüllen.

    Host-Tags

    Alle Host-Tags werden als Teil der Qualys -Hostlisten-Integration importiert. Host-Tags werden hauptsächlich zum Filtern in Vulnerability Response Zuweisungsregeln und Regeln für Schwachstellengruppen verwendet. Sie werden im Formular „Erkanntes Element“ angezeigt.
    Hinweis:
    Die Integration der Hostliste Qualys muss vor der Erstellung von Regeln für Zuweisungs- oder Korrekturaufgaben in Vulnerability Response ausgeführt werden, damit alle Tags in den Regeln vorhanden sein können und bevor angreifbare Elemente importiert und gruppiert werden.
    • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn ein San Diego -Tag erstellt wird, kann kein SAN DIEGO -Tag in der Host-Tag-Tabelle gespeichert werden. „San Diego“ und „SAN DIEGO“ werden als dasselbe Host-Tag betrachtet. Das zuerst importierte Tag gewinnen.
    • Die Verwendung von Host-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Host-Tags werden von der globalen Systemeigenschaft sn_vul.import_host_tags gesteuert. Diese Eigenschaft ist standardmäßig auf „true“ festgelegt. Durch das Deaktivieren von Tags werden sie für alle Instanzen deaktiviert.

    Host-Tags (auch als Asset-Tags bezeichnet) werden zum Organisieren und Nachverfolgen der Assets in Ihrer Organisation verwendet. Sie können Ihren Host-Assets Tags zuweisen. Dann können Sie beim Starten von Scans Tags auswählen, die den Hosts zugeordnet sind, die Sie scannen möchten. Mit dem Modul „Host-Tags“ können Sie Host-Tag-Daten von Qualys zeitplanbasiert in Ihre Instanz herunterladen.

    Öffnen Sie gelöste angreifbare Elemente, die nicht durch Scans geschlossen wurden

    Angreifbare Elemente, die in Ihrer Instanz Now Platform auf „Gelöst“ festgelegt, aber von den Integrationsausführungen der Drittpartei nicht in den Status „Geschlossen/Behoben“ versetzt wurden, werden erneut geöffnet, wenn sie bei erneuten Scans erkannt werden.

    Wenn der Scanner für Qualys -Erkennungen weiterhin VIs findet, die auf „Gelöst“ gesetzt wurden, dann aber nicht durch nachfolgende Scans in den Status „Geschlossen/Behoben“ überführt wurden, kehren diese VIs zu „Offen“ zurück, wenn das zuletzt gefundene Datum nach dem liegt Datum der Lösung.

    Einschränkungen beim Datenabruf

    Standardmäßig gibt es keine Einschränkungen für den Abruf von Daten aus Qualys. Viele Datensätze können sich auf Schwachstellen mit niedrigem Schweregrad beziehen, die ein Kunde nicht bereit ist, mit seinem Vulnerability Response-Prozess zu beheben. Durch Aktualisieren der entsprechenden REST-Nachrichten-/Methodenparameter kann dieses Verhalten geändert werden.

    Die für dieses Update verantwortliche REST-Nachricht/-Methode ist Qualys Host Detection – Standard/post. Um die Werte zu aktualisieren, fügen Sie der Post-Methode einen neuen HTTP-Abfrageparameter mit den folgenden Werten hinzu:
    • Name: Schweregrade
    • Wert: 3–5 (oder die gewünschten Schweregrade)

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.