Qualys EDR
Integrationsversion: 3.0
Qualys EDR-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | http://x.x.x.x | Ja | API-Stammverzeichnis der Qualys EDR-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Qualys EDR-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort des Qualys EDR-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Qualys EDR-Server gültig ist. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Qualys EDR mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Case | Erfolg | Fehler | Meldung |
|---|---|---|---|
| Bei Erfolg | wahr | falsch | Die Verbindung zum Qualys EDR-Server wurde mit den angegebenen Verbindungsparametern hergestellt. |
| Wenn nicht erfolgreich | falsch | wahr | Verbindung zum Qualys EDR-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Connector
Qualys EDR – Events Connector
Beschreibung
Informationen zu Ereignissen aus Qualys EDR abrufen
Qualys EDR – Events Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Typ | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | – | Ja | API-Stammverzeichnis der Qualys EDR-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Qualys EDR-Kontos. |
| Passwort | String | – | Ja | Das Passwort des Qualys EDR-Kontos. |
| Niedrigster abzurufender Wert | Ganzzahl | 5 | Falsch | Niedrigster Wert, der zum Abrufen von Ereignissen verwendet werden muss. Maximal: 10. Wenn nichts angegeben ist, werden Ereignisse mit allen Werten aufgenommen. |
| Filtertyp | CSV | Datei, Netzwerk | Ja | Typfilter für die Ereignisse. Mögliche Werte: file,mutex,process,network,registry. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Ereignisse abgerufen werden sollen. |
| Max. abzurufende Ereignisse | Ganzzahl | 100 | Nein | Gibt an, wie viele Warnungsprotokolle pro Connector-Iteration verarbeitet werden sollen. Der Standardwert is 100. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Qualys EDR-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxy.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten