VM de Qualys

Versión de integración: 20.0

En este documento, se explica cómo integrar Qualys VM en Google Security Operations.

Parámetros de integración

La integración de Qualys VM requiere los siguientes parámetros:

Parámetro	Descripción
`Api Root`	Obligatorio. Es la URL base de la instancia de VM de Qualys.
`Username`	Obligatorio. Es el nombre de usuario asociado con tus credenciales de la API de Qualys VM.
`Password`	Obligatorio. Es la contraseña asociada a tus credenciales de la API de Qualys VM.
`Verify SSL`	Es opcional. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Qualys VM. Habilitada de forma predeterminada.
`X-Requested-With Header`	Es opcional. Es el valor del encabezado HTTP `X-Requested-With` que se usa para identificar la fuente de las solicitudes a la API. El valor predeterminado es `Google SecOps SOAR`.

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los playbooks. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Descarga los resultados del análisis de VM

Descripción

Recupera los resultados de un análisis de vulnerabilidades por su ID.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de análisis	String	N/A	Sí	Es el valor del ID de análisis.

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

[
    {
       "username": "username",
        "city": "New York",
        "zip": "10024",
        "name": "user name",
        "add1": "Broadway",
        "country": "United States of America",
        "company": "X",
        "state": "New York",
        "scan_report_template_title": "Scan Results",
        "result_date": "01/28/2019 12:16:42",
        "role": "Manager",
        "add2": "Suite"
     },{
        "status": "Finished",
        "scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
        "network": "Global Default Network",
        "reference": "scan/1533110666.07264",
        "ips": "1.1.1.1",
        "launch_date": "08/01/2018 08:04:26",
        "option_profile": "Initial Options",
        "total_hosts": "1",
        "scan_title": "My first scan",
        "duration": "00:06:20",
        "excluded_ips": "",
        "asset_groups": null,
        "type": "API",
        "active_hosts": "1"
    },{
        "protocol": "tcp",
        "qid": 86000,
        "results": "Server Version\\tServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
        "solution": "N/A",
        "ip_status": "host scanned, found vuln",
        "port": "80",
        "category": "Web server",
        "severity": "1",
        "title": "Web Server Version",
        "instance": null,
        "dns": "1dot1dot1dot1.cloudflare-dns.com",
        "ip": "1.1.1.1",
        "type": "Ig",
        "vendor_reference": null,
        "cve_id": null,
        "ssl": "no",
        "netbios": null,
        "associated_malware": null,
        "pci_vuln": "no",
        "impact": "N/A",
        "fqdn": "",
        "bugtraq_id": null,
        "threat": "N/A",
        "os": "Linux 3.13",
        "exploitability": null
     },{
        "target_distribution_across_scanner_appliances": "External : 1.1.1.1"
    }
]

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Host de enriquecimiento

Descripción

Enriquece un host con información de Qualys VMDR.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Crear estadística	Casilla de verificación	Marcado	No	Si está habilitada, la acción crea una sugerencia que contiene toda la información recuperada sobre la entidad.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

[
   {
     "EntityResult":
      {
       "LAST_VM_SCANNED_DATE": "2019-01-06T12: 39: 00Z",
       "LAST_VM_SCANNED_DURATION": "490",
       "NETWORK_ID": "0",
       "IP": "1.1.1.1",
       "LAST_VULN_SCAN_DATETIME": "2019-01-06T12: 39: 00Z",
       "COMMENTS": "AddedbyX",
       "TRACKING_METHOD": "IP",
       "DNS": "one.one.one.one",
       "OS": "Linux3.13",
       "ID": "54664176"
      },
    "Entity": "1.1.1.1"
   }
]

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
LAST_VM_SCANNED_DATE	Devuelve si existe en el resultado JSON
LAST_VM_SCANNED_DURATION	Devuelve si existe en el resultado JSON
NETWORK_ID	Devuelve si existe en el resultado JSON
IP	Devuelve si existe en el resultado JSON
LAST_VULN_SCAN_DATETIME	Devuelve si existe en el resultado JSON
COMENTARIOS	Devuelve si existe en el resultado JSON
TRACKING_METHOD	Devuelve si existe en el resultado JSON
DNS	Devuelve si existe en el resultado JSON
SO	Devuelve si existe en el resultado JSON
ID	Devuelve si existe en el resultado JSON
Entidad	Devuelve si existe en el resultado JSON

Estadísticas

N/A

Muro de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un host (is_success=true): "Se enriquecieron los siguientes hosts: {entity.identifier}". Si los datos no están disponibles para un host (is_success=true): "No se pudo enriquecer las siguientes entidades con información de Qualys VMDR: {entity.identifier}". Si los datos no están disponibles para todos los hosts (is_success=false): "No se enriqueció ningún host". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Enrich Entities"". Reason: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si hay datos disponibles para un host (is_success=true): "Se enriquecieron los siguientes hosts: {entity.identifier}".

Si los datos no están disponibles para un host (is_success=true): "No se pudo enriquecer las siguientes entidades con información de Qualys VMDR: {entity.identifier}".

Si los datos no están disponibles para todos los hosts (is_success=false): "No se enriqueció ningún host".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Enrich Entities"". Reason: {0}''.format(error.Stacktrace)

General

Descargar informe

Descripción

Recupera el informe por ID.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID del informe	String	N/A	Sí	Es el valor del ID del informe.

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

{
  "STATUS":
    {
     "STATE": "Finished"
     },
  "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
  "TITLE": "Scan scan/1533110666.07264 Report",
  "USER_LOGIN": "sempf3mh",
  "OUTPUT_FORMAT": "PDF",
  "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
  "TYPE": "Scan",
  "ID": "775111",
  "SIZE": "22.17 KB"
}

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Informe de cumplimiento del lanzamiento

Descripción

Puedes ejecutar análisis de cumplimiento y crear informes de cumplimiento en los hosts (direcciones IP) que se agregaron a la PC.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Título del informe	String	N/A	Sí	Es el título del informe definido por el usuario. El título puede tener un máximo de 128 caracteres. En el caso de un informe de cumplimiento de la PCI, Qualys proporciona el título del informe y no se puede cambiar.
Tipo de denuncia	String	N/A	Sí	Nombre de la plantilla
Formato de salida	String	N/A	Sí	Se puede especificar un formato de salida. Cuando se especifica output_format=pdf, se puede usar la distribución de PDF seguro. Ejemplo: pdf, mht y html
IPs o rangos	String	N/A	No	Especifica las IPs o los rangos para cambiar (anular) el objetivo del informe, como se define en la plantilla del informe de parche. Si hay varias IPs o rangos, sepáralos con comas.
Grupos de recursos	String	N/A	No	Es una lista de grupos de recursos separados por comas.
Referencia de escaneo	String	N/A	No	Mostrar solo un análisis con un determinado código de referencia de análisis

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
report_id	Verdadero o falso	report_id:False

Resultado de JSON

N/A

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Informe de parches de lanzamiento

Descripción

Ejecuta informes de parches para conocer los parches que debes aplicar para corregir las vulnerabilidades actuales. Podrás usar los vínculos de este informe para descargar e instalar rápidamente los parches faltantes.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Título del informe	String	N/A	Sí	Es el título del informe definido por el usuario. El título puede tener un máximo de 128 caracteres. En el caso de un informe de cumplimiento de la PCI, Qualys proporciona el título del informe y no se puede cambiar.
Tipo de denuncia	String	N/A	Sí	Nombre de la plantilla
Formato de salida	String	N/A	Sí	Se puede especificar un formato de salida. Cuando se especifica output_format=pdf, se puede usar la distribución de PDF seguro. Ejemplo: pdf, mht y html
IPs o rangos	String	N/A	No	Especifica las IPs o los rangos para cambiar (anular) el objetivo del informe, como se define en la plantilla del informe de parche. Si hay varias IPs o rangos, sepáralos con comas.
Grupos de recursos	String	N/A	No	Son grupos de recursos. Si hay más de uno, deben separarse con comas.

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
report_id	Verdadero o falso	report_id:False

Resultado de JSON

N/A

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Informe de corrección del lanzamiento

Descripción

Inicia informes de corrección para obtener información sobre los tickets de corrección, como el estado del ticket y la información general de tendencias. Puedes elegir entre los siguientes informes:

Informe de corrección ejecutivo
Tickets por grupo de recursos
Tickets por usuario
Tickets por vulnerabilidad

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Título del informe	String	N/A	Sí	Es el título del informe definido por el usuario. El título puede tener un máximo de 128 caracteres. En el caso de un informe de cumplimiento de la PCI, Qualys proporciona el título del informe y no se puede cambiar.
Tipo de denuncia	String	N/A	Sí	Nombre de la plantilla
Formato de salida	String	N/A	Sí	Se puede especificar un formato de salida. Cuando se especifica output_format=pdf, se puede usar la distribución de PDF seguro. Ejemplo: pdf, mht y html
IPs o rangos	String	N/A	No	Especifica las IPs o los rangos para cambiar (anular) el objetivo del informe, como se define en la plantilla del informe de parche. Si hay varias IPs o rangos, se separan con comas.
Grupos de recursos	String	N/A	No	Son grupos de recursos. Si hay más de uno, deben separarse con comas.
Mostrar resultados para todos los tickets	Casilla de verificación	Marcado	No	Especifica si el informe incluye los tickets asignados al usuario actual (el usuario se establece de forma predeterminada) o todos los tickets de la cuenta del usuario. De forma predeterminada, se incluyen los tickets asignados al usuario actual.

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
report_id	Verdadero o falso	report_id:False

Resultado de JSON

N/A

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Informe de análisis de lanzamiento

Descripción

Inicia un informe de análisis.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Título del informe	String	N/A	Sí	Es el título del informe definido por el usuario. El título puede tener un máximo de 128 caracteres. En el caso de un informe de cumplimiento de la PCI, Qualys proporciona el título del informe y no se puede cambiar.
Tipo de denuncia	String	N/A	Sí	Nombre de la plantilla
Formato de salida	String	N/A	Sí	Se puede especificar un formato de salida. Cuando se especifica output_format=pdf, se puede usar la distribución de PDF seguro. Ejemplo: pdf, mht y html.
IPs o rangos	String	N/A	No	Especifica las IPs o los rangos para cambiar (anular) el objetivo del informe, como se define en la plantilla del informe de parche. Si hay varias IPs o rangos, sepáralos con comas.
Grupos de recursos	String	N/A	No	Son grupos de recursos. Si hay más de uno, deben separarse con comas.
Referencia de escaneo	String	N/A	No	Mostrar solo un análisis con un determinado código de referencia de análisis

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
report_id	Verdadero o falso	report_id:False

Resultado de JSON

N/A

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Inicia el análisis de VM y recupera los resultados

Descripción

Inicia el análisis de vulnerabilidades en un host de tu red y recupera los resultados.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Título	String	N/A	No	Es el título del análisis. Puede tener hasta 2,000 caracteres (ASCII).
Prioridad de procesamiento	String	N/A	Sí	Especifica un valor entre 0 y 9 para establecer un nivel de prioridad de procesamiento para la exploración. Cuando no se especifica, se usa el valor 0 (sin prioridad). Estos son los valores válidos: 0 para Sin prioridad (valor predeterminado) 1 para emergencias 2 para Ultimate 3 para Crítica 4 para Major 5 para High 6 para Estándar 7 para Medium 8 para menores 9 para baja
Analizar perfil	String	N/A	Sí	Es el título del perfil de opción de cumplimiento que se usará. Se debe especificar uno de estos parámetros en una solicitud: option_title option_id
Dispositivo de escáner	String	N/A	No	Nombres descriptivos de los dispositivos de escaneo que se usarán o "External" para los escáneres externos. Las distintas entradas se separan con comas.
Red	String	N/A	No	Es el ID de una red que se usa para filtrar las IPs o los rangos especificados en el parámetro "ip". Se establece en un ID de red personalizado. Nota: Esto no filtra las IPs ni los rangos especificados en "asset_groups" o "asset_group_ids". También puedes establecerlo en "0" (el valor predeterminado) para la red predeterminada global. Se usa para analizar hosts fuera de tus redes personalizadas.

Ejecutar en

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
nombre de usuario	Devuelve si existe en el resultado JSON
ciudad	Devuelve si existe en el resultado JSON
zip	Devuelve si existe en el resultado JSON
nombre	Devuelve si existe en el resultado JSON
add1	Devuelve si existe en el resultado JSON
country	Devuelve si existe en el resultado JSON
empresa	Devuelve si existe en el resultado JSON
state	Devuelve si existe en el resultado JSON
can_report_template_title	Devuelve si existe en el resultado JSON
result_date	Devuelve si existe en el resultado JSON
rol	Devuelve si existe en el resultado JSON
add2	Devuelve si existe en el resultado JSON
estado	Devuelve si existe en el resultado JSON
scanner_appliance	Devuelve si existe en el resultado JSON
red	Devuelve si existe en el resultado JSON
referencia	Devuelve si existe en el resultado JSON
ips	Devuelve si existe en el resultado JSON
launch_date	Devuelve si existe en el resultado JSON
option_profile	Devuelve si existe en el resultado JSON
total_hosts	Devuelve si existe en el resultado JSON
scan_title	Devuelve si existe en el resultado JSON
duración	Devuelve si existe en el resultado JSON
excluded_ips	Devuelve si existe en el resultado JSON
asset_groups	Devuelve si existe en el resultado JSON
tipo	Devuelve si existe en el resultado JSON
active_hosts	Devuelve si existe en el resultado JSON
protocolo	Devuelve si existe en el resultado JSON
qid	Devuelve si existe en el resultado JSON
resultados	Devuelve si existe en el resultado JSON
solución	Devuelve si existe en el resultado JSON
gravedad,	Devuelve si existe en el resultado JSON
título	Devuelve si existe en el resultado JSON
instancia	Devuelve si existe en el resultado JSON
dns	Devuelve si existe en el resultado JSON
ip	Devuelve si existe en el resultado JSON
vendor_reference	Devuelve si existe en el resultado JSON
cve_id	Devuelve si existe en el resultado JSON
ssl	Devuelve si existe en el resultado JSON
netbios	Devuelve si existe en el resultado JSON
associated_malware	Devuelve si existe en el resultado JSON
pci_vuln	Devuelve si existe en el resultado JSON
fqdn	Devuelve si existe en el resultado JSON
bugtraq_id	Devuelve si existe en el resultado JSON
amenaza	Devuelve si existe en el resultado JSON
os	Devuelve si existe en el resultado JSON
explotabilidad	Devuelve si existe en el resultado JSON

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
scan_ref	N/A	N/A

Resultado de JSON

[
  {
    "username": "username",
    "city": "New York",
    "zip": "10024",
    "name": "user name",
    "add1": "Broadway",
    "country": "United States of America",
    "company": "X",
    "state": "New York",
    "scan_report_template_title": "Scan Results",
    "result_date": "01/28/2019 12:16:42",
    "role": "Manager",
    "add2": "Suite"
  },{
    "status": "Finished",
    "scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
    "network": "Global Default Network",
    "reference": "scan/1533110666.07264",
    "ips": "1.1.1.1",
    "launch_date": "08/01/2018 08:04:26",
    "option_profile": "Initial Options",
    "total_hosts": "1",
    "scan_title": "My first scan",
    "duration": "00:06:20",
    "excluded_ips": "",
    "asset_groups": null,
    "type": "API",
    "active_hosts": "1"
  },{
    "protocol": "tcp",
    "qid": 86000,
    "results": "Server VersiontServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
    "solution": "N/A",
    "ip_status": "host scanned, found vuln",
    "port": "80",
    "category": "Web server",
    "severity": "1",
    "title": "Web Server Version",
    "instance": null,
    "dns": "1dot1dot1dot1.cloudflare-dns.com",
    "ip": "1.1.1.1",
    "type": "Ig",
    "vendor_reference": null,
    "cve_id": null,
    "ssl": "no",
    "netbios": null,
    "associated_malware": null,
    "pci_vuln": "no",
    "impact": "N/A",
    "fqdn": "",
    "bugtraq_id": null,
    "threat": "N/A",
    "os": "Linux 3.13",
    "exploitability": null
   },{
    "target_distribution_across_scanner_appliances": "External : 1.1.1.1"
   }
]

Enumerar grupos

Descripción

Es la lista de grupos de recursos en la cuenta del usuario.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

[{
   "TITLE": "All",
   "IP_SET":
      {
        "IP": ["1.1.1.1"]
       },
   "DOMAIN_LIST":
      {
        "DOMAIN":
          [{
             "@network_id": "0",
             "#text": "google.com"
           },{
             "@network_id": "0",
             "#text": "none",
             "@netblock": "1.1.1.1-1.1.1.1"
           }]
      },
   "LAST_UPDATE": "2018-07-25T14:56:05Z",
   "NETWORK_ID": "0",
   "OWNER_USER_NAME": "Global User",
   "BUSINESS_IMPACT": "High",
   "ID": "1111"
 },{
   "TITLE": "G",
   "NETWORK_ID": "0",
   "LAST_UPDATE": "2018-08-13T08:14:55Z",
   "OWNER_USER_NAME": "user (Manager)",
   "OWNER_USER_ID": "11111",
   "BUSINESS_IMPACT": "High",
   "ID": "11111"
 }]

Enriquecimiento de entidades

N/A ##### Estadísticas

N/A

Enumera IPs

Descripción

Es la lista de direcciones IP de la cuenta del usuario. De forma predeterminada, se incluyen todos los hosts de la cuenta del usuario.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
ip_list	Verdadero o falso	ip_list:False

Resultado de JSON

[
  "1.1.1.1",
  "1.1.100.100",
  "10.10.10.10"
]

Enriquecimiento de entidades

N/A ##### Estadísticas

N/A

Enumerar informes

Descripción

Es la lista de informes en la cuenta del usuario cuando la función de uso compartido de informes está habilitada. El resultado de la lista de informes incluye todos los tipos de informes, incluidos los informes de cuadro de evaluación.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

[
  {
    "STATUS":
      {
        "STATE": "Finished"
      },
    "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
    "TITLE": "Scan scan/1533110666.07264 Report",
    "USER_LOGIN": "sempf3mh",
    "OUTPUT_FORMAT": "PDF",
    "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
    "TYPE": "Scan",
    "ID": "775111",
    "SIZE": "22.17 KB"
  }
]

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Enumera los análisis

Descripción

Es una lista de los análisis que se iniciaron en los últimos 30 días.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

    [
       {
         "STATUS":
           {
              "STATE": "Finished"
           },
        "TARGET": "1.1.1.1",
        "TITLE": "Test Scan",
        "USER_LOGIN": "sempf3mh",
        "LAUNCH_DATETIME": "2019-01-06T12:29:52Z",
        "PROCESSED": "1",
        "REF": "scan/1546777792.44756",
        "PROCESSING_PRIORITY": "0 - No Priority",
        "DURATION": "00:08:24",
        "TYPE": "On-Demand"
       }
     ]

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Ping

Descripción

Prueba la conectividad.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

N/A

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Enumera las detecciones de extremos

Descripción

Enumera las detecciones de extremos en Qualys VMDR.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Filtro de estado	CSV	nuevo, activo, reabierto	No	Especifica una lista separada por comas de los estados que se deben usar durante la transferencia. Si no se proporciona nada, la acción incorpora detecciones con los estados "Nuevo, Activo y Reabierto". Valores posibles: New, Active, Fixed, Re-Opened.
Transferencia de detecciones ignoradas	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción también devuelve las detecciones ignoradas.
Transferencia de detecciones inhabilitadas	Casilla de verificación	Desmarcado	No	Si está habilitada, la acción también devuelve las detecciones inhabilitadas.
Gravedad más baja que se recuperará	DDL	Media	No	Especifica la gravedad más baja que se usa para recuperar las detecciones.
Crear estadística	Casilla de verificación	Marcado	No	Si está habilitada, la acción crea una sugerencia que contiene información sobre las vulnerabilidades encontradas en la entidad.
Cantidad máxima de detecciones que se devolverán	Número entero	50	No	Especifica la cantidad de detecciones que se devolverán por entidad. Máximo: 200

Ejecutar en

La acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

N/A

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Muro de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se encuentran datos para al menos un extremo (is_success=true): "Se enumeraron correctamente las detecciones relacionadas con los siguientes extremos en Qualys VMDR: {entity.identifier} Si no se encuentra un extremo o se proporciona una IP no válida (is_success=true): "La acción no pudo encontrar los siguientes extremos en Qualys VMDR: {entity.identifier}". If no data for at least one endpoint is found (is_success=true): "No se encontraron vulnerabilidades para los siguientes extremos: {entity.identifier}." Si no se encuentran datos para todos los extremos (is_success=true): "No se encontraron vulnerabilidades para los extremos proporcionados". Si no se encuentran extremos o se proporciona una IP no válida (is_success=false): "No se encontraron los extremos proporcionados en Qualys VMDR". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "List Endpoint Detections". Reason: {0}''.format(error.Stacktrace) Si se informa un "Filtro de estado" no válido: "Error al ejecutar la acción "List Endpoint Detections"". Motivo: Se proporcionó un valor no válido para el parámetro "Filtro de estado": {value}. Valores posibles: new, open, reopened, fixed.	General
Muro de casos	Columnas de la tabla: QID Título Gravedad Diagnóstico Consecuencias Solución Se puede aplicar un parche Categoría	Entidad

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se encuentran datos para al menos un extremo (is_success=true): "Se enumeraron correctamente las detecciones relacionadas con los siguientes extremos en Qualys VMDR: {entity.identifier}

Si no se encuentra un extremo o se proporciona una IP no válida (is_success=true): "La acción no pudo encontrar los siguientes extremos en Qualys VMDR: {entity.identifier}".

If no data for at least one endpoint is found (is_success=true): "No se encontraron vulnerabilidades para los siguientes extremos: {entity.identifier}."

Si no se encuentran datos para todos los extremos (is_success=true): "No se encontraron vulnerabilidades para los extremos proporcionados".

Si no se encuentran extremos o se proporciona una IP no válida (is_success=false): "No se encontraron los extremos proporcionados en Qualys VMDR".

La acción debería fallar y detener la ejecución de la guía:

Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "List Endpoint Detections". Reason: {0}''.format(error.Stacktrace)

Si se informa un "Filtro de estado" no válido: "Error al ejecutar la acción "List Endpoint Detections"". Motivo: Se proporcionó un valor no válido para el parámetro "Filtro de estado": {value}. Valores posibles: new, open, reopened, fixed.

General

Muro de casos

Columnas de la tabla:

QID
Título
Gravedad
Diagnóstico
Consecuencias
Solución
Se puede aplicar un parche
Categoría

Entidad

Conectores

Conector de detecciones de Qualys VM

Descripción

Extrae detecciones de Qualys VMDR.

Configura el conector de detecciones de Qualys VM en Google SecOps

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo del producto	String	Nombre del producto	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento	String	Tipo de evento	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno	String	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos)	Número entero	300	Sí	Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	String	N/A		Es la raíz de la API de la instancia de VM de Qualis.
Nombre de usuario	String	N/A	Sí	Nombre de usuario de la instancia de VM de Qualis.
Contraseña	Contraseña	N/A	Sí	Contraseña de la instancia de VM de Qualis.
Gravedad más baja que se recuperará	Número entero	0	No	Es la gravedad más baja que se usará para recuperar las detecciones. Si no se proporciona nada, el conector recuperará todas las detecciones. Máximo: 5
Filtro de estado	CSV	NUEVA, ACTIVA, REABIERTA	No	Es el filtro de estado del conector. Si no se proporciona nada, el conector transferirá las detecciones con los estados "Nuevo, Activo, Reabierto". Valores posibles: NEW, ACTIVE, FIXED, REOPENED.
Transferencia de detecciones ignoradas	Casilla de verificación	Desmarcado	No	Si se habilita, el conector transferirá las detecciones ignoradas.
Transferencia de detecciones inhabilitadas	Casilla de verificación	Desmarcado	No	Si está habilitado, el conector transferirá las detecciones inhabilitadas.
Mecanismo de agrupación	String	Detección	Sí	Es el mecanismo de agrupación que se usará para crear alertas de Google SecOps. Valores posibles: Host, Detection, None. Si se proporciona el host, el conector creará 1 alerta de Google SecOps que contendrá toda la detección relacionada con el host. Si se proporciona la detección, el conector creará 1 alerta de Google SecOps que contendrá información sobre todos los hosts que tengan esa detección. Si se proporciona el valor None o un valor no válido, el conector creará una nueva alerta de Google SecOps para cada detección independiente por host.
Usar la lista blanca como lista negra	Casilla de verificación	Desmarcado	Sí	Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas.
Verificar SSL	Casilla de verificación	Marcado	Sí	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Qualys VMDR sea válido.
Dirección del servidor proxy	String	N/A	No	Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy	String	N/A	No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña	N/A	No	Contraseña del proxy para la autenticación.
Encabezado X-Requested-With	String	Google SecOps SOAR	No	Es el valor del encabezado HTTP `X-Requested-With` que se usa para identificar la fuente de las solicitudes a la API.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.