Qualys EDR
Versione integrazione: 3.0
Configura l'integrazione di Qualys EDR in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | http://x.x.x.x | Sì | Radice dell'API dell'istanza Qualys EDR. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Qualys EDR. |
| Password | Password | N/D | Sì | Password dell'account Qualys EDR. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Qualys EDR sia valido. |
Azioni
Dindin
Descrizione
Testa la connettività a Qualys EDR con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Custodia | Operazione riuscita | Errore | Messaggio |
|---|---|---|---|
| Se l'operazione ha esito positivo | true | falso | Connessione al server Qualys EDR riuscita con i parametri di connessione forniti. |
| In caso contrario | falso | true | Impossibile connettersi al server Qualys EDR. Errore: {0}".format(exception.stacktrace) |
Connettore
Qualys EDR - Events Connector
Descrizione
Recuperare informazioni sugli eventi da Qualys EDR.
Configura Qualys EDR - Events Connector in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | Tipo | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | N/D | Sì | Radice dell'API dell'istanza Qualys EDR. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Qualys EDR. |
| Password | Stringa | N/D | Sì | Password dell'account Qualys EDR. |
| Punteggio più basso da recuperare | Numero intero | 5 | Falso | Il punteggio più basso da utilizzare per recuperare gli eventi. Massimo: 10. Se non viene specificato nulla, il connettore acquisisce gli eventi con tutti i punteggi. |
| Tipo di filtro | CSV | file, network | Sì | Filtro per tipo per gli eventi. Valori possibili: file,mutex,process,network,registry. |
| Ore massime indietro | Numero intero | 1 | No | Numero di ore da cui recuperare gli eventi. |
| Numero massimo di eventi da recuperare | Numero intero | 100 | No | Numero di log degli avvisi da elaborare per un'iterazione del connettore. Valore predefinito: 100. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Selezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Qualys EDR sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.