Поделиться через

Соединитель данных Qualys

  • Статья

Чтобы интегрироваться с Qualys, необходимо предоставить базовые учетные данные для пользователя Qualys с ролью диспетчера или читателя с полным область.

Конфигурация Qualys

  1. Чтобы настроить интеграцию Qualys, необходимо API_URL экземпляра Qualys, например "qualysapi.qg1.apps.qualys.co.uk". Его можно найти здесь.
    1. Если вы не можете найти его:
      1. Войдите в учетную запись Qualys.
      2. Перейдите к разделу Справкао программе.
      3. Необходимые сведения отобразятся в разделе Центр управления безопасностью (SOC).
  2. Для успешного получения данных из соединителя потребуются учетные данные пользователя с разрешениями на чтение ресурса . Чтобы создать пользователя с ролью Read Asset, выполните приведенные далее действия.
    1. Войдите в Qualys.
    2. Перейдите в область администрирования .
    3. Перейдите в раздел Управление ролями .
    4. Выберите Создать роль.
    5. Укажите имя роли, например "Read Asset".
    6. Для разрешений роли проверка доступ к API.
    7. В раскрывающемся списке Модули выберите Представление активов.
    8. Чтобы ограничить разрешения, выберите параметр Изменить в выбранном модуле Представление активов .
    9. Обязательно включите, по крайней мере, чтение ресурса в разделе Разрешения на управление ресурсами.
  3. Добавьте только что созданную роль для пользователя, с которым вы планируете пройти проверку подлинности, в соединителе Qualys управления экспозицией.
    1. В разделе Администрирование перейдите к разделуУправление пользователями.
    2. Выберите пользователя, подключенного с помощью соединителя Qualys Управления экспозицией, и нажмите кнопку Изменить.
    3. В разделе Роли и области добавьте роль Чтение ресурса, созданную в предыдущих разделах, для назначенных пользователем ролей.
    4. В разделе Изменить область выберите Разрешить пользователю доступ ко всем объектам, чтобы разрешить этому пользователю полное область.
    5. Сохраните назначение роли "Чтение ресурса " для пользователя.

Установка подключения Qualys в управлении экспозицией

Чтобы установить связь с Qualys в управлении экспозицией, выполните следующие действия.

  1. Откройте соединители данных в навигации "Управление экспозицией" и выберите Подключиться на плитке Qualys.
  2. Введите URL-адрес API Qualys и учетные данные проверки подлинности и нажмите кнопку Подключить.

Полученные данные

Соединитель Qualys извлекает данные на вычислительных устройствах, включая компьютеры и виртуальные машины, а также результаты обнаружения уязвимостей из Qualys в этих ресурсах. Он также извлекает некоторые сетевые данные для идентификации этих устройств.

Извлекаются только устройства, измененные за последние 90 дней, на основе оценки поля "изменено" в ресурсе Qualys.

Категория Properties
Ресурсы и устройства — Адрес шлюза
-ПОЛНОЕ ДОМЕННОЕ ИМЯ
— IP-адрес
— MAC-адрес
— сведения об ОС
— данные о критичности квалиса
Обнаружение уязвимостей Qualys получает результаты CVE для активов, которые он получает.

Устранение неполадок соединителя данных Qualys

Ниже приведены некоторые распространенные проблемы, которые могут возникнуть при настройке соединителя Qualys, и рекомендации по их устранению.

Тип ошибки Действие по устранению неполадок
Код ошибки 401: сбой авторизации Сбой авторизации указывает на то, что учетные данные могут быть неправильными или недостаточно разрешений для доступа к данным Qualys. Проверьте свои учетные данные и убедитесь, что они правильные и допустимые. Кроме того, проверка, что учетные данные имеют необходимые разрешения. Дополнительные сведения о назначении соответствующей роли и область см. в разделе Конфигурация Qualys.
Вы можете проверить учетные данные пользователя, выполнив следующую команду:
curl -u "user:password" -H "X-Requested-With: Curl" -X "POST"-d "action=list" "" >output.txthttps://qualysapi.qg1.apps.qualys.ca/qps/rest/2.0/search/am/hostasset
Код ошибки 409: возможные недостаточные разрешения Соединитель Qualys использует API knowledge_base, для которого требуются определенные разрешения. Дополнительные сведения см. в разделе Базы знаний этого документа Qualys API.
Чтобы убедиться, что у предоставленного пользователя достаточно разрешений, выполните следующую команду и убедитесь, что она выполнена успешно:
curl -u "user:password" -H "X-Requested-With: Curl" -X "POST"-d "action=list""https://qualysapi.qg1.apps.qualys.ca/api/2.0/fo/knowledge_base/vuln/" >output.txt
В случае сбоя см. документацию по Qualys, чтобы устранить проблемы.
Код ошибки 403: Ошибка запрета доступа Эта ошибка указывает, что предоставленные учетные данные не имеют необходимых разрешений для запуска запрошенных API. Обновите учетные данные с соответствующими разрешениями, как описано в разделе конфигурации, и убедитесь, что у них есть как минимум разрешения на чтение ресурса.
Код ошибки 404: Ошибка "Не найден" Эта ошибка указывает, что запрошенная конечная точка не была найдена доступной. Убедитесь, что конечная точка Qualys API правильна. Дополнительные сведения см. в разделе конфигурации .
Код ошибки 429 "Слишком много запросов" Система периодически извлекает данные от настроенных внешних поставщиков, которые могут иметь ограничение на количество одновременных запросов. Рекомендуется создать выделенного пользователя или учетную запись для соединителя, чтобы избежать достижения этого ограничения.
Сообщение об ошибке "Временное отключение" или "Временный сбой" Если это сообщение об ошибке отображается без дополнительных сведений, проверьте конфигурацию соединителя (конечная точка API и учетные данные). Если они допустимы и проблема не решается самостоятельно, обратитесь в службу поддержки.
Не отображаются мои ресурсы или уязвимости, о чем сообщает Qualys, в принятых данных Описание данных, которые должны быть получены соединителем Qualys, см. в разделе Извлеченные данные . Если данные по-прежнему отсутствуют, обратитесь в службу поддержки.
Необходимо настроить ip-адреса, разрешенные qualys, чтобы разрешить соединителям управления экспозицией доступ к Qualys Сведения о том, как добавить набор IP-адресов для добавления в список разрешенных, см. здесь: Список IP-адресов.

Дальнейшие действия

Получение ценности из соединителей данных.