VM do Qualys

Versão da integração: 20.0

Este documento explica como integrar o Qualys VM ao Google Security Operations.

Parâmetros de integração

A integração do Qualys VM exige os seguintes parâmetros:

Parâmetro	Descrição
`Api Root`	Obrigatório. O URL de base da instância de VM do Qualys.
`Username`	Obrigatório. O nome de usuário associado às suas credenciais da API Qualys VM.
`Password`	Obrigatório. A senha associada às suas credenciais da API Qualys VM.
`Verify SSL`	Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor Qualys VM. Ativado por padrão.
`X-Requested-With Header`	Opcional. O valor do cabeçalho HTTP `X-Requested-With` usado para identificar a origem das solicitações de API. O valor padrão é `Google SecOps SOAR`.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Fazer o download dos resultados da verificação de VM

Descrição

Extrai os resultados de uma verificação de vulnerabilidades pelo ID dela.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
ID de verificação	String	N/A	Sim	Valor do ID da verificação.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/falso	is_success:False

Resultado do JSON

[
    {
       "username": "username",
        "city": "New York",
        "zip": "10024",
        "name": "user name",
        "add1": "Broadway",
        "country": "United States of America",
        "company": "X",
        "state": "New York",
        "scan_report_template_title": "Scan Results",
        "result_date": "01/28/2019 12:16:42",
        "role": "Manager",
        "add2": "Suite"
     },{
        "status": "Finished",
        "scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
        "network": "Global Default Network",
        "reference": "scan/1533110666.07264",
        "ips": "1.1.1.1",
        "launch_date": "08/01/2018 08:04:26",
        "option_profile": "Initial Options",
        "total_hosts": "1",
        "scan_title": "My first scan",
        "duration": "00:06:20",
        "excluded_ips": "",
        "asset_groups": null,
        "type": "API",
        "active_hosts": "1"
    },{
        "protocol": "tcp",
        "qid": 86000,
        "results": "Server Version\\tServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
        "solution": "N/A",
        "ip_status": "host scanned, found vuln",
        "port": "80",
        "category": "Web server",
        "severity": "1",
        "title": "Web Server Version",
        "instance": null,
        "dns": "1dot1dot1dot1.cloudflare-dns.com",
        "ip": "1.1.1.1",
        "type": "Ig",
        "vendor_reference": null,
        "cve_id": null,
        "ssl": "no",
        "netbios": null,
        "associated_malware": null,
        "pci_vuln": "no",
        "impact": "N/A",
        "fqdn": "",
        "bugtraq_id": null,
        "threat": "N/A",
        "os": "Linux 3.13",
        "exploitability": null
     },{
        "target_distribution_across_scanner_appliances": "External : 1.1.1.1"
    }
]

Enriquecimento de entidades

N/A

Insights

N/A

Enrich Host

Descrição

Enriquecer um host com informações do Qualys VMDR.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Criar insight	Caixa de seleção	Selecionado	Não	Se ativada, a ação cria um insight com todas as informações recuperadas sobre a entidade.

Executar em

Essa ação é executada nas seguintes entidades:

Endereço IP
Nome do host

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/falso	is_success:False

Resultado do JSON

[
   {
     "EntityResult":
      {
       "LAST_VM_SCANNED_DATE": "2019-01-06T12: 39: 00Z",
       "LAST_VM_SCANNED_DURATION": "490",
       "NETWORK_ID": "0",
       "IP": "1.1.1.1",
       "LAST_VULN_SCAN_DATETIME": "2019-01-06T12: 39: 00Z",
       "COMMENTS": "AddedbyX",
       "TRACKING_METHOD": "IP",
       "DNS": "one.one.one.one",
       "OS": "Linux3.13",
       "ID": "54664176"
      },
    "Entity": "1.1.1.1"
   }
]

Enriquecimento de entidades

Nome do campo de enriquecimento	Lógica: quando aplicar
LAST_VM_SCANNED_DATE	Retorna se ele existe no resultado JSON
LAST_VM_SCANNED_DURATION	Retorna se ele existe no resultado JSON
NETWORK_ID	Retorna se ele existe no resultado JSON
IP	Retorna se ele existe no resultado JSON
LAST_VULN_SCAN_DATETIME	Retorna se ele existe no resultado JSON
COMENTÁRIOS	Retorna se ele existe no resultado JSON
TRACKING_METHOD	Retorna se ele existe no resultado JSON
DNS	Retorna se ele existe no resultado JSON
SO	Retorna se ele existe no resultado JSON
ID	Retorna se ele existe no resultado JSON
Entidade	Retorna se ele existe no resultado JSON

Insights

N/A

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para um host (is_success=true): "Os seguintes hosts foram enriquecidos: {entity.identifier}." Se os dados não estiverem disponíveis para um host (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do Qualys VMDR: {entity.identifier}." Se os dados não estiverem disponíveis para todos os hosts (is_success=false): "Nenhum host foi enriquecido". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades"." Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se os dados estiverem disponíveis para um host (is_success=true): "Os seguintes hosts foram enriquecidos: {entity.identifier}."

Se os dados não estiverem disponíveis para um host (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do Qualys VMDR: {entity.identifier}."

Se os dados não estiverem disponíveis para todos os hosts (is_success=false): "Nenhum host foi enriquecido".

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades"." Motivo: {0}''.format(error.Stacktrace)

Geral

Fazer o download de relatórios

Descrição

Extrai o relatório pelo ID.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
ID do relatório	String	N/A	Sim	Valor do ID do relatório.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/falso	is_success:False

Resultado do JSON

{
  "STATUS":
    {
     "STATE": "Finished"
     },
  "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
  "TITLE": "Scan scan/1533110666.07264 Report",
  "USER_LOGIN": "sempf3mh",
  "OUTPUT_FORMAT": "PDF",
  "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
  "TYPE": "Scan",
  "ID": "775111",
  "SIZE": "22.17 KB"
}

Enriquecimento de entidades

N/A

Insights

N/A

Iniciar relatório de compliance

Descrição

É possível executar verificações de compliance e criar relatórios sobre hosts (endereços IP) adicionados ao PC.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título do relatório	String	N/A	Sim	Um título de relatório definido pelo usuário. O título pode ter no máximo 128 caracteres. Em um relatório de conformidade com PCI, o título é fornecido pela Qualys e não pode ser alterado.
Tipo de relatório	String	N/A	Sim	Nome do modelo.
Formato da saída	String	N/A	Sim	Um formato de saída pode ser especificado. Quando output_format=pdf é especificado, a distribuição segura de PDF pode ser usada. Exemplo: pdf, mht e html
IPs/intervalos	String	N/A	Não	Especifique IPs ou intervalos para mudar (substituir) o destino do relatório, conforme definido no modelo de relatório de correção. Vários IPs ou intervalos são separados por vírgulas.
Grupos de recursos	String	N/A	Não	Uma lista de grupos de recursos separada por vírgulas.
Referência de verificação	String	N/A	Não	Mostrar apenas uma verificação com um determinado código de referência.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
report_id	Verdadeiro/falso	report_id:False

Resultado do JSON

N/A

Enriquecimento de entidades

N/A

Insights

N/A

Iniciar relatório de patch

Descrição

Inicie relatórios de patch para saber quais patches você precisa aplicar para corrigir as vulnerabilidades atuais. Você poderá usar os links neste relatório para baixar e instalar rapidamente os patches ausentes.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título do relatório	String	N/A	Sim	Um título de relatório definido pelo usuário. O título pode ter no máximo 128 caracteres. Em um relatório de conformidade com PCI, o título é fornecido pela Qualys e não pode ser alterado.
Tipo de relatório	String	N/A	Sim	Nome do modelo.
Formato da saída	String	N/A	Sim	Um formato de saída pode ser especificado. Quando output_format=pdf é especificado, a distribuição segura de PDF pode ser usada. Exemplo: pdf, mht e html
IPs/intervalos	String	N/A	Não	Especifique IPs ou intervalos para mudar (substituir) o destino do relatório, conforme definido no modelo de relatório de correção. Vários IPs ou intervalos são separados por vírgulas.
Grupos de recursos	String	N/A	Não	Grupos de recursos. Se mais de um tiver que ser separado por vírgulas.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
report_id	Verdadeiro/falso	report_id:False

Resultado do JSON

N/A

Enriquecimento de entidades

N/A

Insights

N/A

Iniciar relatório de correção

Descrição

Inicie relatórios de correção para receber informações sobre tíquetes de correção, como status do tíquete e informações gerais de tendência. Você pode escolher entre estes relatórios:

Relatório executivo de correção
Tickets por grupo de recursos
Ingressos por usuário
Ingressos por vulnerabilidade

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título do relatório	String	N/A	Sim	Um título de relatório definido pelo usuário. O título pode ter no máximo 128 caracteres. Em um relatório de conformidade com PCI, o título é fornecido pela Qualys e não pode ser alterado.
Tipo de relatório	String	N/A	Sim	Nome do modelo.
Formato da saída	String	N/A	Sim	Um formato de saída pode ser especificado. Quando output_format=pdf é especificado, a distribuição segura de PDF pode ser usada. Exemplo: pdf, mht e html
IPs/intervalos	String	N/A	Não	Especifique IPs ou intervalos para mudar (substituir) o destino do relatório, conforme definido no modelo de relatório de correção. Vários IPs ou intervalos são separados por vírgulas.
Grupos de recursos	String	N/A	Não	Grupos de recursos. Se mais de um tiver que ser separado por vírgulas.
Mostrar resultados para todos os tíquetes	Caixa de seleção	Selecionado	Não	Especifica se o relatório inclui tíquetes atribuídos ao usuário atual (o usuário é definido por padrão) ou todos os tíquetes na conta do usuário. Por padrão, os tíquetes atribuídos ao usuário atual são incluídos.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
report_id	Verdadeiro/falso	report_id:False

Resultado do JSON

N/A

Enriquecimento de entidades

N/A

Insights

N/A

Iniciar relatório de verificação

Descrição

Inicie um relatório de verificação.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título do relatório	String	N/A	Sim	Um título de relatório definido pelo usuário. O título pode ter no máximo 128 caracteres. Em um relatório de conformidade com PCI, o título é fornecido pela Qualys e não pode ser alterado.
Tipo de relatório	String	N/A	Sim	Nome do modelo.
Formato da saída	String	N/A	Sim	Um formato de saída pode ser especificado. Quando output_format=pdf é especificado, a distribuição segura de PDF pode ser usada. Exemplo: pdf, mht e html.
IPs/intervalos	String	N/A	Não	Especifique IPs ou intervalos para mudar (substituir) o destino do relatório, conforme definido no modelo de relatório de correção. Vários IPs ou intervalos são separados por vírgulas.
Grupos de recursos	String	N/A	Não	Grupos de recursos. Se mais de um tiver que ser separado por vírgulas.
Referência de verificação	String	N/A	Não	Mostrar apenas uma verificação com um determinado código de referência.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
report_id	Verdadeiro/falso	report_id:False

Resultado do JSON

N/A

Enriquecimento de entidades

N/A

Insights

N/A

Iniciar a verificação de VM e buscar resultados

Descrição

Inicie uma verificação de vulnerabilidades em um host na sua rede e extraia os resultados.

Parâmetros

Parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Título	String	N/A	Não	O título da verificação. Ele pode ter até 2.000 caracteres (ASCII).
Prioridade de processamento	String	N/A	Sim	Especifique um valor entre 0 e 9 para definir um nível de prioridade de processamento para a verificação. Quando não especificado, um valor de 0 (sem prioridade) é usado. Os valores válidos são: 0 para "Sem prioridade" (padrão) 1 para emergência 2 para Ultimate 3 para "Crítica" 4 para grave 5 para "Alto" 6 para o Standard 7 para médio 8 para "Menor" 9 para "Baixa"
Verificação do perfil	String	N/A	Sim	O título do perfil de opção de compliance a ser usado. Um destes parâmetros precisa ser especificado em uma solicitação: option_title option_id
Appliance de scanner	String	N/A	Não	Os nomes amigáveis dos dispositivos de scanner a serem usados ou "External" para scanners externos. Várias entradas são separadas por vírgulas.
Rede	String	N/A	Não	O ID de uma rede usada para filtrar os IPs ou intervalos especificados no parâmetro "ip". Definido como um ID de rede personalizado. Observação:isso não filtra IPs ou intervalos especificados em "asset_groups" ou "asset_group_ids". Ou defina como "0" (o padrão) para a rede global padrão. Isso é usado para verificar hosts fora das suas redes personalizadas.

Executar em

Essa ação é executada na entidade "Endereço IP".

Resultados da ação

Enriquecimento de entidades

Nome do campo de enriquecimento	Lógica: quando aplicar
nome de usuário	Retorna se ele existe no resultado JSON
cidade	Retorna se ele existe no resultado JSON
zip	Retorna se ele existe no resultado JSON
nome	Retorna se ele existe no resultado JSON
add1	Retorna se ele existe no resultado JSON
país	Retorna se ele existe no resultado JSON
empresa	Retorna se ele existe no resultado JSON
estado	Retorna se ele existe no resultado JSON
can_report_template_title	Retorna se ele existe no resultado JSON
result_date	Retorna se ele existe no resultado JSON
papel	Retorna se ele existe no resultado JSON
add2	Retorna se ele existe no resultado JSON
status	Retorna se ele existe no resultado JSON
scanner_appliance	Retorna se ele existe no resultado JSON
rede	Retorna se ele existe no resultado JSON
Referência	Retorna se ele existe no resultado JSON
IPs	Retorna se ele existe no resultado JSON
launch_date	Retorna se ele existe no resultado JSON
option_profile	Retorna se ele existe no resultado JSON
total_hosts	Retorna se ele existe no resultado JSON
scan_title	Retorna se ele existe no resultado JSON
duration	Retorna se ele existe no resultado JSON
excluded_ips	Retorna se ele existe no resultado JSON
asset_groups	Retorna se ele existe no resultado JSON
tipo	Retorna se ele existe no resultado JSON
active_hosts	Retorna se ele existe no resultado JSON
protocolo	Retorna se ele existe no resultado JSON
qid	Retorna se ele existe no resultado JSON
resultados	Retorna se ele existe no resultado JSON
solução	Retorna se ele existe no resultado JSON
gravidade,	Retorna se ele existe no resultado JSON
título	Retorna se ele existe no resultado JSON
instância	Retorna se ele existe no resultado JSON
dns	Retorna se ele existe no resultado JSON
ip	Retorna se ele existe no resultado JSON
vendor_reference	Retorna se ele existe no resultado JSON
cve_id	Retorna se ele existe no resultado JSON
ssl	Retorna se ele existe no resultado JSON
netbios	Retorna se ele existe no resultado JSON
associated_malware	Retorna se ele existe no resultado JSON
pci_vuln	Retorna se ele existe no resultado JSON
fqdn	Retorna se ele existe no resultado JSON
bugtraq_id	Retorna se ele existe no resultado JSON
ameaça	Retorna se ele existe no resultado JSON
os	Retorna se ele existe no resultado JSON
vulnerabilidade a explorações	Retorna se ele existe no resultado JSON

Insights

N/A

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
scan_ref	N/A	N/A

Resultado do JSON

[
  {
    "username": "username",
    "city": "New York",
    "zip": "10024",
    "name": "user name",
    "add1": "Broadway",
    "country": "United States of America",
    "company": "X",
    "state": "New York",
    "scan_report_template_title": "Scan Results",
    "result_date": "01/28/2019 12:16:42",
    "role": "Manager",
    "add2": "Suite"
  },{
    "status": "Finished",
    "scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
    "network": "Global Default Network",
    "reference": "scan/1533110666.07264",
    "ips": "1.1.1.1",
    "launch_date": "08/01/2018 08:04:26",
    "option_profile": "Initial Options",
    "total_hosts": "1",
    "scan_title": "My first scan",
    "duration": "00:06:20",
    "excluded_ips": "",
    "asset_groups": null,
    "type": "API",
    "active_hosts": "1"
  },{
    "protocol": "tcp",
    "qid": 86000,
    "results": "Server VersiontServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
    "solution": "N/A",
    "ip_status": "host scanned, found vuln",
    "port": "80",
    "category": "Web server",
    "severity": "1",
    "title": "Web Server Version",
    "instance": null,
    "dns": "1dot1dot1dot1.cloudflare-dns.com",
    "ip": "1.1.1.1",
    "type": "Ig",
    "vendor_reference": null,
    "cve_id": null,
    "ssl": "no",
    "netbios": null,
    "associated_malware": null,
    "pci_vuln": "no",
    "impact": "N/A",
    "fqdn": "",
    "bugtraq_id": null,
    "threat": "N/A",
    "os": "Linux 3.13",
    "exploitability": null
   },{
    "target_distribution_across_scanner_appliances": "External : 1.1.1.1"
   }
]

Listar grupos

Descrição

Lista de grupos de recursos na conta do usuário.

Parâmetros

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/falso	is_success:False

Resultado do JSON

[{
   "TITLE": "All",
   "IP_SET":
      {
        "IP": ["1.1.1.1"]
       },
   "DOMAIN_LIST":
      {
        "DOMAIN":
          [{
             "@network_id": "0",
             "#text": "google.com"
           },{
             "@network_id": "0",
             "#text": "none",
             "@netblock": "1.1.1.1-1.1.1.1"
           }]
      },
   "LAST_UPDATE": "2018-07-25T14:56:05Z",
   "NETWORK_ID": "0",
   "OWNER_USER_NAME": "Global User",
   "BUSINESS_IMPACT": "High",
   "ID": "1111"
 },{
   "TITLE": "G",
   "NETWORK_ID": "0",
   "LAST_UPDATE": "2018-08-13T08:14:55Z",
   "OWNER_USER_NAME": "user (Manager)",
   "OWNER_USER_ID": "11111",
   "BUSINESS_IMPACT": "High",
   "ID": "11111"
 }]

Enriquecimento de entidades

N/A ##### Insights

N/A

Listar IPs

Descrição

Lista de endereços IP na conta do usuário. Por padrão, todos os hosts na conta do usuário são incluídos.

Parâmetros

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
ip_list	Verdadeiro/falso	ip_list:False

Resultado do JSON

[
  "1.1.1.1",
  "1.1.100.100",
  "10.10.10.10"
]

Enriquecimento de entidades

N/A ##### Insights

N/A

Listar relatórios

Descrição

Lista de relatórios na conta do usuário quando o recurso de compartilhamento de relatórios está ativado. A saída da lista de relatórios inclui todos os tipos, inclusive os de visão geral.

Parâmetros

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/falso	is_success:False

Resultado do JSON

[
  {
    "STATUS":
      {
        "STATE": "Finished"
      },
    "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
    "TITLE": "Scan scan/1533110666.07264 Report",
    "USER_LOGIN": "sempf3mh",
    "OUTPUT_FORMAT": "PDF",
    "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
    "TYPE": "Scan",
    "ID": "775111",
    "SIZE": "22.17 KB"
  }
]

Enriquecimento de entidades

N/A

Insights

N/A

Listar verificações

Descrição

Lista de verificações iniciadas nos últimos 30 dias.

Parâmetros

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/falso	is_success:False

Resultado do JSON

    [
       {
         "STATUS":
           {
              "STATE": "Finished"
           },
        "TARGET": "1.1.1.1",
        "TITLE": "Test Scan",
        "USER_LOGIN": "sempf3mh",
        "LAUNCH_DATETIME": "2019-01-06T12:29:52Z",
        "PROCESSED": "1",
        "REF": "scan/1546777792.44756",
        "PROCESSING_PRIORITY": "0 - No Priority",
        "DURATION": "00:08:24",
        "TYPE": "On-Demand"
       }
     ]

Enriquecimento de entidades

N/A

Insights

N/A

Ping

Descrição

Teste a conectividade.

Parâmetros

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/falso	is_success:False

Resultado do JSON

N/A

Enriquecimento de entidades

N/A

Insights

N/A

Listar detecções de endpoints

Descrição

Lista as detecções de endpoint no Qualys VMDR.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Filtro de status	CSV	nova, ativa, reaberta	Não	Especifique uma lista separada por vírgulas de status que devem ser usados durante a ingestão. Se nada for fornecido, a ação vai ingerir detecções com os status "Novo", "Ativo" e "Reaberto". Valores possíveis: "New", "Active", "Fixed" e "Re-Opened".
Ingerir detecções ignoradas	Caixa de seleção	Desmarcado	Não	Se ativada, a ação também vai retornar detecções ignoradas.
Ingerir detecções desativadas	Caixa de seleção	Desmarcado	Não	Se ativada, a ação também vai retornar detecções desativadas.
Gravidade mínima a ser buscada	DDL	Médio	Não	Especifique a gravidade mais baixa usada para buscar detecções.
Criar insight	Caixa de seleção	Selecionado	Não	Se ativada, a ação cria um insight com informações sobre as vulnerabilidades encontradas na entidade.
Número máximo de detecções a serem retornadas	Número inteiro	50	Não	Especifique o número de detecções a serem retornadas por entidade. Máximo: 200

Executar em

A ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/falso	is_success:False

Resultado do JSON

N/A

Enriquecimento de entidades

N/A

Insights

N/A

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se os dados de pelo menos um endpoint forem encontrados (is_success=true): "As detecções relacionadas aos seguintes endpoints no Qualys VMDR foram listadas com sucesso: {entity.identifier} Se um endpoint não for encontrado ou um IP inválido for fornecido (is_success=true): "A ação não conseguiu encontrar os seguintes endpoints no Qualys VMDR: {entity.identifier}." If no data for at least one endpoint is found (is_success=true): "No vulnerabilities were found for the following endpoints: {entity.identifier}." Se nenhum dado for encontrado para todos os endpoints (is_success=true): "Nenhuma vulnerabilidade foi encontrada nos endpoints fornecidos". Se nenhum endpoint for encontrado ou um IP inválido for fornecido (is_success=false): "Os endpoints fornecidos não foram encontrados no Qualys VMDR". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Endpoint Detections". Motivo: {0}''.format(error.Stacktrace) Se um "Filtro de status" inválido for informado: "Erro ao executar a ação "List Endpoint Detections"". Motivo: valor inválido fornecido para o parâmetro "Filtro de status": {value}. Valores possíveis: new, open, reopened, fixed.	Geral
Painel de casos	Colunas da tabela: QID Título Gravidade Diagnóstico Consequências Solução Patchable Categoria	Entidade

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se os dados de pelo menos um endpoint forem encontrados (is_success=true): "As detecções relacionadas aos seguintes endpoints no Qualys VMDR foram listadas com sucesso: {entity.identifier}

Se um endpoint não for encontrado ou um IP inválido for fornecido (is_success=true): "A ação não conseguiu encontrar os seguintes endpoints no Qualys VMDR: {entity.identifier}."

If no data for at least one endpoint is found (is_success=true): "No vulnerabilities were found for the following endpoints: {entity.identifier}."

Se nenhum dado for encontrado para todos os endpoints (is_success=true): "Nenhuma vulnerabilidade foi encontrada nos endpoints fornecidos".

Se nenhum endpoint for encontrado ou um IP inválido for fornecido (is_success=false): "Os endpoints fornecidos não foram encontrados no Qualys VMDR".

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Endpoint Detections". Motivo: {0}''.format(error.Stacktrace)

Se um "Filtro de status" inválido for informado: "Erro ao executar a ação "List Endpoint Detections"". Motivo: valor inválido fornecido para o parâmetro "Filtro de status": {value}. Valores possíveis: new, open, reopened, fixed.

Geral

Painel de casos

Colunas da tabela:

QID
Título
Gravidade
Diagnóstico
Consequências
Solução
Patchable
Categoria

Entidade

Conectores

Conector de detecções da VM do Qualys

Descrição

Extrai detecções do Qualys VMDR.

Configurar o conector de detecções da Qualys VM no Google SecOps

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do campo do produto	String	Nome do produto	Sim	Insira o nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento	String	Tipo de evento	Sim	Insira o nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo de ambiente	String	""	Não	Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão.
Padrão de regex do ambiente	String	.*	Não	Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Tempo limite do script (segundos)	Número inteiro	300	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	N/A		Raiz da API da instância de VM do Qualis.
Nome de usuário	String	N/A	Sim	Nome de usuário da instância de VM do Qualis.
Senha	Senha	N/A	Sim	Senha da instância de VM do Qualis.
Gravidade mínima a ser buscada	Número inteiro	0	Não	A gravidade mais baixa que será usada para buscar detecções. Se nada for fornecido, o conector vai buscar todas as detecções. Máximo: 5.
Filtro de status	CSV	NEW, ACTIVE, REOPENED	Não	Filtro de status para o conector. Se nada for fornecido, o conector vai ingerir detecções com status "Novo, ativo, reaberto". Valores possíveis: NEW, ACTIVE, FIXED, REOPENED.
Ingerir detecções ignoradas	Caixa de seleção	Desmarcado	Não	Se ativado, o conector vai ingerir detecções ignoradas.
Ingerir detecções desativadas	Caixa de seleção	Desmarcado	Não	Se ativado, o conector vai ingerir detecções desativadas.
Mecanismo de agrupamento	String	Detecção	Sim	Mecanismo de agrupamento que será usado para criar alertas do Google SecOps. Valores possíveis: Host, Detection, None. Se o host for fornecido, o conector vai criar um alerta do Google SecOps com todas as detecções relacionadas a ele. Se a detecção for fornecida, o conector vai criar um alerta do Google SecOps com informações sobre todos os hosts que têm essa detecção. Se o valor "None" ou um valor inválido for fornecido, o conector vai criar um novo alerta do Google SecOps para cada detecção separada por host.
Usar a lista de permissões como uma lista de proibições	Caixa de seleção	Desmarcado	Sim	Se ativada, a lista de permissões será usada como uma lista de bloqueios.
Verificar SSL	Caixa de seleção	Selecionado	Sim	Se ativado, verifique se o certificado SSL da conexão com o servidor VMDR da Qualys é válido.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a ser usado.
Nome de usuário do proxy	String	N/A	Não	O nome de usuário do proxy para autenticação.
Senha do proxy	Senha	N/A	Não	A senha do proxy para autenticação.
Cabeçalho X-Requested-With	String	Google SecOps SOAR	Não	O valor do cabeçalho HTTP `X-Requested-With` usado para identificar a origem das solicitações de API.

Regras do conector

Suporte a proxy

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.