Qualys EDR
統合バージョン: 3.0
Google Security Operations で Qualys EDR の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| API ルート | 文字列 | http://x.x.x.x | はい | Qualys EDR インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | Qualys EDR アカウントのユーザー名。 |
| パスワード | パスワード | なし | はい | Qualys EDR アカウントのパスワード。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Qualys EDR サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、Qualys EDR への接続をテストします。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| Case | 成功 | 不合格 | メッセージ |
|---|---|---|---|
| 成功した場合 | true | false | 指定された接続パラメータを使用して Qualys EDR サーバーに正常に接続されました。 |
| 成功しなかった場合 | false | true | Qualys EDR サーバーに接続できませんでした。エラー: {0}」format(exception.stacktrace) |
コネクタ
Qualys EDR - Events Connector
説明
Qualys EDR からイベントに関する情報を取得します。
Google SecOps で Qualys EDR - Events Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | タイプ | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | なし | はい | Qualys EDR インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | Qualys EDR アカウントのユーザー名。 |
| パスワード | 文字列 | なし | はい | Qualys EDR アカウントのパスワード。 |
| 取得する最小スコア | Integer | 5 | 誤り | イベントの取得に使用する必要がある最も低いスコア。最大: 10。何も指定しないと、コネクタはすべてのスコアのイベントを取り込みます。 |
| タイプ フィルタ | CSV | file、network | はい | イベントのタイプ フィルタ。値は次のいずれかです。 file、mutex、process、network、registry。 |
| 最大遡及時間 | 整数 | 1 | いいえ | どの時点からイベントを取得するかの時間数。 |
| 取得する最大イベント数 | 整数 | 100 | いいえ | 1 回のコネクタの反復処理で処理するアラートログの数。デフォルト: 100。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オン | はい | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オン | はい | 有効になっている場合は、Qualys EDR サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。