Condividi tramite

Connettore dati Qualys

  • Articolo

Per eseguire l'integrazione con Qualys, è necessario fornire le credenziali di base per un utente Qualys con ruolo Manager o ruolo lettore con ambito completo.

Configurazione di Qualys

  1. Per configurare l'integrazione di Qualys, è necessario il API_URL dell'istanza di Qualys, ad esempio "qualysapi.qg1.apps.qualys.co.uk". È possibile trovarlo qui.
    1. Se non è possibile trovarlo:
      1. Accedere all'account Qualys.
      2. Passare alla GuidaInformazioni su.
      3. Verranno visualizzate le informazioni necessarie in Security Operations Center (SOC).
  2. Per recuperare correttamente i dati dal connettore, sono necessarie le credenziali di un utente con almeno le autorizzazioni Di lettura asset . Per creare un utente con un ruolo Di lettura asset:
    1. Accedere a Qualys.
    2. Passare all'area Amministrazione .
    3. Passare alla sezione Gestione ruoli .
    4. Selezionare Nuovo ruolo.
    5. Specificare un nome di ruolo, ad esempio "Read Asset".
    6. Per le autorizzazioni del ruolo, selezionare Accesso alle API.
    7. Nell'elenco a discesa Moduli scegliere Visualizzazione asset.
    8. Per limitare le autorizzazioni, scegliere l'opzione Modifica all'interno del modulo selezionato Visualizzazione asset .
    9. Assicurarsi di abilitare, almeno, Leggere asset in Autorizzazioni di gestione asset.
  3. Aggiungere il ruolo appena creato all'utente con cui si intende eseguire l'autenticazione in Exposure Management Qualys Connector.
    1. In Amministrazione passare a Gestioneutenti.
    2. Selezionare l'utente di cui è stato caricato l'onboarding con Exposure Management Qualys Connector e scegliere Modifica.
    3. In Ruoli e ambiti aggiungere il ruolo Read Asset creato nelle sezioni precedenti ai ruoli assegnati dall'utente.
    4. In Modifica ambito selezionare Consenti l'accesso della visualizzazione utente a tutti gli oggetti per consentire a questo utente l'ambito completo.
    5. Salvare l'assegnazione di ruolo Read Asset all'utente.

Stabilire la connessione Qualys in Exposure Management

Per stabilire una connessione con Qualys in Exposure Management, seguire questa procedura:

  1. Aprire i connettori dati dal riquadro di spostamento di Exposure Management e selezionare Connetti nel riquadro Qualys.
  2. Immettere l'URL dell'API Qualys e le credenziali di autenticazione e selezionare Connetti.

Dati recuperati

Il connettore Qualys recupera i dati nei dispositivi di calcolo, incluse macchine virtuali e macchine virtuali, e i risultati della vulnerabilità da Qualys su tali asset. Recupera anche alcuni dati di rete per identificare tali dispositivi.

Vengono recuperati solo i dispositivi modificati negli ultimi 90 giorni, in base alla valutazione del campo "modificato" nell'asset Qualys.

Categoria Properties
Asset/dispositivi - Indirizzo del gateway
-FQDN
-Indirizzo IP
- Indirizzo MAC
- Informazioni sul sistema operativo
- Dati di criticità qualys
Risultati della vulnerabilità Qualys recupera i risultati CVE sugli asset inseriti.

Risoluzione dei problemi relativi al connettore dati Qualys

Ecco alcuni problemi comuni che potrebbero verificarsi durante la configurazione del connettore Qualys e suggerimenti su come risolverli.

Tipo di errore Azione di risoluzione dei problemi
Codice di errore 401: Errore di autorizzazione Un errore di autorizzazione indica che le credenziali potrebbero non essere corrette o che potrebbero non essere disponibili autorizzazioni sufficienti per accedere ai dati Qualys. Controllare le credenziali e assicurarsi che siano corrette e valide. Verificare anche che le credenziali dispongano delle autorizzazioni necessarie. Per informazioni dettagliate su come assegnare il ruolo e l'ambito appropriati, vedere la sezione relativa alla configurazione di Qualys.
È possibile convalidare le credenziali utente eseguendo quanto segue:
curl -u "user:password" -H "X-Requested-With: Curl" -X "POST"-d "action=list" "https://qualysapi.qg1.apps.qualys.ca/qps/rest/2.0/search/am/hostasset" >output.txt
Codice di errore 409: Possibili autorizzazioni insufficienti Qualys Connector usa l'API knowledge_base che richiede autorizzazioni specifiche. Per altri dettagli, vedere la sezione KnowledgeBase di questo documento sull'API Qualys.
Per convalidare che l'utente fornito disponga di autorizzazioni sufficienti, eseguire il comando seguente e verificare che abbia esito positivo:
curl -u "user:password" -H "X-Requested-With: Curl" -X "POST"-d "action=list""https://qualysapi.qg1.apps.qualys.ca/api/2.0/fo/knowledge_base/vuln/" >output.txt
In caso di errore, fare riferimento alla documentazione di Qualys per attenuare il problema.
Codice di errore 403: Errore di accesso negato Questo errore indica che le credenziali fornite non dispongono delle autorizzazioni necessarie per eseguire le API richieste. Aggiornare le credenziali con le autorizzazioni appropriate come descritto nella sezione di configurazione e assicurarsi che dispongano almeno delle autorizzazioni Lettura asset.
Codice di errore 404: Errore non trovato Questo errore indica che l'endpoint richiesto non è stato trovato raggiungibile. Verificare che l'endpoint dell'API Qualys sia corretto. Per informazioni dettagliate, vedere la sezione relativa alla configurazione .
Codice di errore 429 "Troppe richieste" Il sistema esegue periodicamente il pull dei dati dai provider esterni configurati, che potrebbero avere un limite per il numero di richieste simultanee. È consigliabile creare un utente o un account dedicato per il connettore per evitare di raggiungere questo limite.
Messaggio di errore "Temporaneo disconnesso" o "Errore temporaneo" Nel caso in cui questo messaggio di errore venga visualizzato senza informazioni aggiuntive, verificare la configurazione del connettore (endpoint API e credenziali). Se questi sono validi e il problema non viene risolto autonomamente, contattare il supporto tecnico.
Non vengono visualizzati gli asset o le vulnerabilità segnalate da Qualys nei dati inseriti Per una descrizione dei dati che dovrebbero essere recuperati dal connettore Qualys, vedere Dati recuperati . Se mancano ancora dati, contattare il supporto tecnico.
Gli INDIRIZZI IP consentiti di Qualys devono essere configurati per consentire ai connettori di Gestione esposizione di accedere a Qualys Leggere come aggiungere il set di indirizzi IP da aggiungere all'elenco di indirizzi consentiti qui: Indirizzi IP consentiti.

Passaggi successivi

Recupero di valore dai connettori dati.