Qualys EDR
Ce document explique comment intégrer Qualys EDR à Google SecOps.
Configurer l'intégration de Qualys EDR dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | http://x.x.x.x | Oui | Racine de l'API de l'instance Qualys EDR. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Qualys EDR. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Qualys EDR. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL de la connexion au serveur Qualys EDR est valide. |
Actions
Ping
Description
Testez la connectivité à Qualys EDR avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Cas | Opération réussie | Échec | Message |
|---|---|---|---|
| Si l'opération réussit | vrai | faux | Connexion réussie au serveur Qualys EDR avec les paramètres de connexion fournis. |
| Si l'opération échoue | faux | vrai | Échec de la connexion au serveur Qualys EDR. Error: {0}".format(exception.stacktrace) |
Connecteur
Qualys EDR – Connecteur d'événements
Description
Extraire des informations sur les événements de Qualys EDR.
Configurer le connecteur d'événements Qualys EDR dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | Type | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ d'environnement | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout récupérer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environment" à l'aide d'une logique d'expression régulière. Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, l'environnement final est celui par défaut. |
| Délai avant expiration du script (en secondes) | Entier | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | N/A | Oui | Racine de l'API de l'instance Qualys EDR. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Qualys EDR. |
| Mot de passe | Chaîne | N/A | Oui | Mot de passe du compte Qualys EDR. |
| Score le plus bas à récupérer | Integer | 5 | Faux | Score le plus bas à utiliser pour récupérer les événements. Maximum : 10. Si rien n'est spécifié, le connecteur ingère les événements avec tous les scores. |
| Filtre par type | CSV | fichier, réseau | Oui | Filtre de type pour les événements. Valeurs possibles : file,mutex,process,network,registry. |
| Nombre maximal d'heures en arrière | Entier | 1 | Non | Nombre d'heures dans le passé à partir desquelles récupérer les événements. |
| Nombre maximal d'événements à récupérer | Integer | 100 | Non | Nombre de journaux d'alertes à traiter par itération de connecteur. Valeur par défaut : 100. |
| Utiliser une liste blanche comme liste noire | Case à cocher | Cochée | Oui | Si cette option est activée, la liste blanche sera utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur Qualys EDR est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.