Diese Seite wurde von der Cloud Translation API übersetzt.

Qualys VM

Integrationsversion: 18.0

Übersicht

QualysVM-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Aktionen

VM-Scanergebnisse herunterladen

Beschreibung

Ruft die Ergebnisse eines Scans auf Sicherheitslücken anhand der Scan-ID ab.

Parameter

Parameter	Typ	Standardwert	Ist obligatorisch	Beschreibung
Scan-ID	String	–	Ja	Scan-ID-Wert.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
       "username": "username",
        "city": "New York",
        "zip": "10024",
        "name": "user name",
        "add1": "Broadway",
        "country": "United States of America",
        "company": "X",
        "state": "New York",
        "scan_report_template_title": "Scan Results",
        "result_date": "01/28/2019 12:16:42",
        "role": "Manager",
        "add2": "Suite"
     },{
        "status": "Finished",
        "scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
        "network": "Global Default Network",
        "reference": "scan/1533110666.07264",
        "ips": "1.1.1.1",
        "launch_date": "08/01/2018 08:04:26",
        "option_profile": "Initial Options",
        "total_hosts": "1",
        "scan_title": "My first scan",
        "duration": "00:06:20",
        "excluded_ips": "",
        "asset_groups": null,
        "type": "API",
        "active_hosts": "1"
    },{
        "protocol": "tcp",
        "qid": 86000,
        "results": "Server Version\\tServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
        "solution": "N/A",
        "ip_status": "host scanned, found vuln",
        "port": "80",
        "category": "Web server",
        "severity": "1",
        "title": "Web Server Version",
        "instance": null,
        "dns": "1dot1dot1dot1.cloudflare-dns.com",
        "ip": "1.1.1.1",
        "type": "Ig",
        "vendor_reference": null,
        "cve_id": null,
        "ssl": "no",
        "netbios": null,
        "associated_malware": null,
        "pci_vuln": "no",
        "impact": "N/A",
        "fqdn": "",
        "bugtraq_id": null,
        "threat": "N/A",
        "os": "Linux 3.13",
        "exploitability": null
     },{
        "target_distribution_across_scanner_appliances": "External : 1.1.1.1"
    }
]

Entitätsanreicherung

–

Statistiken

–

Host anreichern

Beschreibung

Einen Host mit Informationen aus Qualys VMDR anreichern.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Insight erstellen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Hostname

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
   {
     "EntityResult":
      {
       "LAST_VM_SCANNED_DATE": "2019-01-06T12: 39: 00Z",
       "LAST_VM_SCANNED_DURATION": "490",
       "NETWORK_ID": "0",
       "IP": "1.1.1.1",
       "LAST_VULN_SCAN_DATETIME": "2019-01-06T12: 39: 00Z",
       "COMMENTS": "AddedbyX",
       "TRACKING_METHOD": "IP",
       "DNS": "one.one.one.one",
       "OS": "Linux3.13",
       "ID": "54664176"
      },
    "Entity": "1.1.1.1"
   }
]

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
LAST_VM_SCANNED_DATE	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
LAST_VM_SCANNED_DURATION	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
NETWORK_ID	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
IP-Adresse	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
LAST_VULN_SCAN_DATETIME	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
KOMMENTARE	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
TRACKING_METHOD	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
DNS	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Betriebssystem	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
ID	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Entität	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist

Statistiken

–

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für einen Host verfügbar sind (is_success=true): „Die folgenden Hosts wurden angereichert: {entity.identifier}.“ Wenn für einen Host keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Entitäten nicht mit Informationen aus Qualys VMDR anreichern: {entity.identifier}.“ Wenn keine Daten für alle Hosts verfügbar sind (is_success=false): „No hosts were enriched.“ (Es wurden keine Hosts angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘.“ Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Daten für einen Host verfügbar sind (is_success=true): „Die folgenden Hosts wurden angereichert: {entity.identifier}.“

Wenn für einen Host keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Entitäten nicht mit Informationen aus Qualys VMDR anreichern: {entity.identifier}.“

Wenn keine Daten für alle Hosts verfügbar sind (is_success=false): „No hosts were enriched.“ (Es wurden keine Hosts angereichert.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘.“ Grund: {0}''.format(error.Stacktrace)

Allgemein

Bericht herunterladen

Beschreibung

Bericht anhand der ID abrufen

Parameter

Parameter	Typ	Standardwert	Ist obligatorisch	Beschreibung
Berichts-ID	String	–	Ja	Berichts-ID-Wert.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
  "STATUS":
    {
     "STATE": "Finished"
     },
  "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
  "TITLE": "Scan scan/1533110666.07264 Report",
  "USER_LOGIN": "sempf3mh",
  "OUTPUT_FORMAT": "PDF",
  "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
  "TYPE": "Scan",
  "ID": "775111",
  "SIZE": "22.17 KB"
}

Entitätsanreicherung

–

Statistiken

–

Compliancebericht aufrufen

Beschreibung

Sie können Compliance-Scans durchführen und Compliance-Berichte für Hosts (IP-Adressen) erstellen, die dem PC hinzugefügt wurden.

Parameter

Parameter	Typ	Standardwert	Ist obligatorisch	Beschreibung
Berichtstitel	String	–	Ja	Ein benutzerdefinierter Berichtstitel. Der Titel darf maximal 128 Zeichen lang sein. Bei einem PCI-Compliance-Bericht wird der Berichtstitel von Qualys bereitgestellt und kann nicht geändert werden.
Berichtstyp	String	–	Ja	Name der Vorlage.
Ausgabeformat	String	–	Ja	Es kann nur ein Ausgabeformat angegeben werden. Wenn output_format=pdf angegeben ist, kann die sichere PDF-Verteilung verwendet werden. Beispiel: PDF, MHT und HTML
IP-Adressen/Bereiche	String	–	Nein	Geben Sie IPs oder Bereiche an, um das im Patch-Berichtstemplate definierte Berichtsziel zu ändern (zu überschreiben). Mehrere IP-Adressen oder ‑Bereiche werden durch Kommas getrennt.
Asset-Gruppen	String	–	Nein	Eine durch Kommas getrennte Liste von Asset-Gruppen.
Scanreferenz	String	–	Nein	Nur einen Scan mit einem bestimmten Scan-Referenzcode anzeigen

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
report_id	Wahr/falsch	report_id:False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

Bericht zu Launch-Patch

Beschreibung

Starten Sie Patchberichte, um herauszufinden, welche Patches Sie anwenden müssen, um die aktuellen Sicherheitslücken zu beheben. Über die Links in diesem Bericht können Sie fehlende Patches schnell herunterladen und installieren.

Parameter

Parameter	Typ	Standardwert	Ist obligatorisch	Beschreibung
Berichtstitel	String	–	Ja	Ein benutzerdefinierter Berichtstitel. Der Titel darf maximal 128 Zeichen lang sein. Bei einem PCI-Compliance-Bericht wird der Berichtstitel von Qualys bereitgestellt und kann nicht geändert werden.
Berichtstyp	String	–	Ja	Name der Vorlage.
Ausgabeformat	String	–	Ja	Es kann nur ein Ausgabeformat angegeben werden. Wenn output_format=pdf angegeben ist, kann die sichere PDF-Verteilung verwendet werden. Beispiel: PDF, MHT und HTML
IP-Adressen/Bereiche	String	–	Nein	Geben Sie IPs oder Bereiche an, um das im Patch-Berichtstemplate definierte Berichtsziel zu ändern (zu überschreiben). Mehrere IP-Adressen oder ‑Bereiche werden durch Kommas getrennt.
Asset-Gruppen	String	–	Nein	Asset-Gruppen. Wenn mehrere angegeben werden müssen, sind sie durch Kommas zu trennen.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
report_id	Wahr/falsch	report_id:False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

Bericht zur Behebung von Problemen bei der Einführung

Beschreibung

Starten Sie Berichte zur Fehlerbehebung, um Informationen zu Tickets zur Fehlerbehebung zu erhalten, z. B. Ticketstatus und allgemeine Trendinformationen. Folgende Berichte sind verfügbar:

Executive Remediation Report
Tickets pro Asset-Gruppe
Tickets pro Nutzer
Tickets pro Sicherheitslücke

Parameter

Parameter	Typ	Standardwert	Ist obligatorisch	Beschreibung
Berichtstitel	String	–	Ja	Ein benutzerdefinierter Berichtstitel. Der Titel darf maximal 128 Zeichen lang sein. Bei einem PCI-Compliance-Bericht wird der Berichtstitel von Qualys bereitgestellt und kann nicht geändert werden.
Berichtstyp	String	–	Ja	Name der Vorlage.
Ausgabeformat	String	–	Ja	Es kann nur ein Ausgabeformat angegeben werden. Wenn output_format=pdf angegeben ist, kann die sichere PDF-Verteilung verwendet werden. Beispiel: PDF, MHT und HTML
IP-Adressen/Bereiche	String	–	Nein	Geben Sie IPs oder Bereiche an, um das im Patch-Berichtstemplate definierte Berichtsziel zu ändern (zu überschreiben). Mehrere IP-Adressen oder ‑Bereiche werden durch Kommas getrennt.
Asset-Gruppen	String	–	Nein	Asset-Gruppen. Wenn mehrere angegeben werden müssen, sind sie durch Kommas zu trennen.
Ergebnisse für alle Tickets anzeigen	Kästchen	Aktiviert	Nein	Gibt an, ob der Bericht Tickets enthält, die dem aktuellen Nutzer zugewiesen sind (Nutzer ist standardmäßig festgelegt), oder alle Tickets im Nutzerkonto. Standardmäßig sind Tickets enthalten, die dem aktuellen Nutzer zugewiesen sind.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
report_id	Wahr/falsch	report_id:False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

Bericht zum Startscan

Beschreibung

Starten Sie einen Scanbericht.

Parameter

Parameter	Typ	Standardwert	Ist obligatorisch	Beschreibung
Berichtstitel	String	–	Ja	Ein benutzerdefinierter Berichtstitel. Der Titel darf maximal 128 Zeichen lang sein. Bei einem PCI-Compliance-Bericht wird der Berichtstitel von Qualys bereitgestellt und kann nicht geändert werden.
Berichtstyp	String	–	Ja	Name der Vorlage.
Ausgabeformat	String	–	Ja	Es kann nur ein Ausgabeformat angegeben werden. Wenn output_format=pdf angegeben ist, kann die sichere PDF-Verteilung verwendet werden. Beispiel: PDF, MHT und HTML.
IP-Adressen/Bereiche	String	–	Nein	Geben Sie IPs oder Bereiche an, um das im Patch-Berichtstemplate definierte Berichtsziel zu ändern (zu überschreiben). Mehrere IP-Adressen oder ‑Bereiche werden durch Kommas getrennt.
Asset-Gruppen	String	–	Nein	Asset-Gruppen. Wenn mehrere angegeben werden müssen, sind sie durch Kommas zu trennen.
Scanreferenz	String	–	Nein	Nur einen Scan mit einem bestimmten Scan-Referenzcode anzeigen

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
report_id	Wahr/falsch	report_id:False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

VM-Scan starten und Ergebnisse abrufen

Beschreibung

Starten Sie einen Scan auf Sicherheitslücken auf einem Host in Ihrem Netzwerk und rufen Sie die Ergebnisse ab.

Parameter

Parameter	Typ	Standardwert	Ist obligatorisch	Beschreibung
Titel	String	–	Nein	Der Titel des Scans. Sie kann bis zu 2.000 Zeichen (ASCII) lang sein.
Verarbeitungspriorität	String	–	Ja	Geben Sie einen Wert zwischen 0 und 9 an, um eine Prioritätsstufe für die Verarbeitung des Scans festzulegen. Wenn nichts angegeben ist, wird der Wert 0 (keine Priorität) verwendet. Gültige Werte sind: 0 für „Keine Priorität“ (Standardeinstellung) 1 für Notfall 2 für Ultimate 3 für „Kritisch“ 4 für „Schwerwiegend“ 5 für „Hoch“ 6 für Standard 7 für „Mittel“ 8 für „Gering“ 9 für „Niedrig“
Scanprofil	String	–	Ja	Der Titel des zu verwendenden Compliance-Optionsprofils. Einer dieser Parameter muss in einer Anfrage angegeben werden: option_title option_id
Scanner-Appliance	String	–	Nein	Die Anzeigenamen der zu verwendenden Scanner-Appliances oder „External“ für externe Scanner. Mehrere Einträge werden durch Kommas getrennt.
Netzwerk	String	–	Nein	Die ID eines Netzwerks, mit dem die im Parameter „ip“ angegebenen IPs oder Bereiche gefiltert werden. Auf eine benutzerdefinierte Netzwerk-ID festlegen. Hinweis:Dadurch werden keine IP-Adressen oder ‑Bereiche gefiltert, die in „asset_groups“ oder „asset_group_ids“ angegeben sind. Oder auf „0“ (Standard) für das globale Standardnetzwerk. Damit werden Hosts außerhalb Ihrer benutzerdefinierten Netzwerke gescannt.

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
Nutzername	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Ort	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
zip	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Name	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
add1	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
country	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Unternehmen	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
state	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
can_report_template_title	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
result_date	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Rolle	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
add2	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Status	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
scanner_appliance	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Netzwerk	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Referenz	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
ips	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
launch_date	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
option_profile	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
total_hosts	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
scan_title	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Dauer	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
excluded_ips	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
asset_groups	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Typ	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
active_hosts	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Protokoll	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
qid	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Ergebnisse	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Lösung	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
die Ausprägung	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Titel	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Instanz	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
dns	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
ip	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
vendor_reference	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
cve_id	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
SSL	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
netbios	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
associated_malware	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
pci_vuln	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
fqdn	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
bugtraq_id	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Bedrohung	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
os	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Ausnutzbarkeit	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
scan_ref	–	–

JSON-Ergebnis

[
  {
    "username": "username",
    "city": "New York",
    "zip": "10024",
    "name": "user name",
    "add1": "Broadway",
    "country": "United States of America",
    "company": "X",
    "state": "New York",
    "scan_report_template_title": "Scan Results",
    "result_date": "01/28/2019 12:16:42",
    "role": "Manager",
    "add2": "Suite"
  },{
    "status": "Finished",
    "scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
    "network": "Global Default Network",
    "reference": "scan/1533110666.07264",
    "ips": "1.1.1.1",
    "launch_date": "08/01/2018 08:04:26",
    "option_profile": "Initial Options",
    "total_hosts": "1",
    "scan_title": "My first scan",
    "duration": "00:06:20",
    "excluded_ips": "",
    "asset_groups": null,
    "type": "API",
    "active_hosts": "1"
  },{
    "protocol": "tcp",
    "qid": 86000,
    "results": "Server VersiontServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
    "solution": "N/A",
    "ip_status": "host scanned, found vuln",
    "port": "80",
    "category": "Web server",
    "severity": "1",
    "title": "Web Server Version",
    "instance": null,
    "dns": "1dot1dot1dot1.cloudflare-dns.com",
    "ip": "1.1.1.1",
    "type": "Ig",
    "vendor_reference": null,
    "cve_id": null,
    "ssl": "no",
    "netbios": null,
    "associated_malware": null,
    "pci_vuln": "no",
    "impact": "N/A",
    "fqdn": "",
    "bugtraq_id": null,
    "threat": "N/A",
    "os": "Linux 3.13",
    "exploitability": null
   },{
    "target_distribution_across_scanner_appliances": "External : 1.1.1.1"
   }
]

Gruppen auflisten

Beschreibung

Liste der Asset-Gruppen im Konto des Nutzers.

Parameter

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[{
   "TITLE": "All",
   "IP_SET":
      {
        "IP": ["1.1.1.1"]
       },
   "DOMAIN_LIST":
      {
        "DOMAIN":
          [{
             "@network_id": "0",
             "#text": "google.com"
           },{
             "@network_id": "0",
             "#text": "none",
             "@netblock": "1.1.1.1-1.1.1.1"
           }]
      },
   "LAST_UPDATE": "2018-07-25T14:56:05Z",
   "NETWORK_ID": "0",
   "OWNER_USER_NAME": "Global User",
   "BUSINESS_IMPACT": "High",
   "ID": "1111"
 },{
   "TITLE": "G",
   "NETWORK_ID": "0",
   "LAST_UPDATE": "2018-08-13T08:14:55Z",
   "OWNER_USER_NAME": "user (Manager)",
   "OWNER_USER_ID": "11111",
   "BUSINESS_IMPACT": "High",
   "ID": "11111"
 }]

Entitätsanreicherung

– ##### Statistiken

–

IP-Adressen auflisten

Beschreibung

Liste der IP-Adressen im Konto des Nutzers. Standardmäßig sind alle Hosts im Konto des Nutzers enthalten.

Parameter

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ip_list	Wahr/falsch	ip_list:False

JSON-Ergebnis

[
  "1.1.1.1",
  "1.1.100.100",
  "10.10.10.10"
]

Entitätsanreicherung

– ##### Statistiken

–

Berichte auflisten

Beschreibung

Liste der Berichte im Konto des Nutzers, wenn die Funktion „Bericht freigeben“ aktiviert ist. Die Ausgabe der Berichtsliste enthält alle Berichtstypen, einschließlich Übersichtsberichten.

Parameter

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
  {
    "STATUS":
      {
        "STATE": "Finished"
      },
    "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
    "TITLE": "Scan scan/1533110666.07264 Report",
    "USER_LOGIN": "sempf3mh",
    "OUTPUT_FORMAT": "PDF",
    "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
    "TYPE": "Scan",
    "ID": "775111",
    "SIZE": "22.17 KB"
  }
]

Entitätsanreicherung

–

Statistiken

–

Scans auflisten

Beschreibung

Liste der Scans, die in den letzten 30 Tagen gestartet wurden.

Parameter

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

    [
       {
         "STATUS":
           {
              "STATE": "Finished"
           },
        "TARGET": "1.1.1.1",
        "TITLE": "Test Scan",
        "USER_LOGIN": "sempf3mh",
        "LAUNCH_DATETIME": "2019-01-06T12:29:52Z",
        "PROCESSED": "1",
        "REF": "scan/1546777792.44756",
        "PROCESSING_PRIORITY": "0 - No Priority",
        "DURATION": "00:08:24",
        "TYPE": "On-Demand"
       }
     ]

Entitätsanreicherung

–

Statistiken

–

Ping

Beschreibung

Verbindung testen

Parameter

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

Endpunkterkennungen auflisten

Beschreibung

Listet Endpunkterkennungen in Qualys VMDR auf.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Statusfilter	CSV	neu, aktiv, wiedereröffnet	Nein	Geben Sie eine durch Kommas getrennte Liste der Status an, die bei der Aufnahme verwendet werden sollen. Wenn nichts angegeben wird, werden Erkennungen mit den Status „Neu“, „Aktiv“ und „Wiedereröffnet“ aufgenommen. Mögliche Werte: „New“ (Neu), „Active“ (Aktiv), „Fixed“ (Behoben), „Re-Opened“ (Wiedereröffnet).
Ignorierte Erkennungen aufnehmen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden auch ignorierte Erkennungen zurückgegeben.
Erkennungen ohne Aufnahme	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden auch deaktivierte Erkennungen zurückgegeben.
Niedrigster abzurufender Schweregrad	DDL	Mittel	Nein	Geben Sie den niedrigsten Schweregrad an, der zum Abrufen von erkannten Problemen verwendet wird.
Insight erstellen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, wird eine Statistik mit Informationen zu Sicherheitslücken erstellt, die für die Einheit gefunden wurden.
Maximale Anzahl zurückzugebender Erkennungen	Ganzzahl	50	Nein	Geben Sie die Anzahl der Erkennungen an, die pro Entität zurückgegeben werden sollen. Maximum: 200

Ausführen am

Die Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für mindestens einen Endpunkt gefunden werden (is_success=true): „Successfully listed detections related to the following endpoints in Qualys VMDR: {entity.identifier}“ (Erkennungen im Zusammenhang mit den folgenden Endpunkten wurden erfolgreich in Qualys VMDR aufgeführt: {entity.identifier}) Wenn ein Endpunkt nicht gefunden wird oder eine ungültige IP-Adresse angegeben ist (is_success=true): „Die Aktion konnte die folgenden Endpunkte in Qualys VMDR nicht finden: {entity.identifier}.“ If no data for at least one endpoint is found (is_success=true): "No vulnerabilities were found for the following endpoints: {entity.identifier}." Wenn keine Daten für alle Endpunkte gefunden werden (is_success=true): „Für die angegebenen Endpunkte wurden keine Sicherheitslücken gefunden.“ Wenn keine Endpunkte gefunden werden oder eine ungültige IP-Adresse angegeben wird (is_success=false): „Provided endpoints were not found in Qualys VMDR.“ (Die angegebenen Endpunkte wurden in Qualys VMDR nicht gefunden.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚List Endpoint Detections‘.“ Grund: {0}''.format(error.Stacktrace) Wenn ein ungültiger „Statusfilter“ gemeldet wird: „Fehler beim Ausführen der Aktion ‚List Endpoint Detections‘.“ Grund: Für den Parameter „Statusfilter“ wurde ein ungültiger Wert angegeben: {value}. Mögliche Werte: „new“, „open“, „reopened“, „fixed“.	Allgemein
Fall-Repository	Tabellenspalten: QID Titel Schweregrad Diagnose Auswirkungen Lösung Patchable Kategorie	Entität

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Daten für mindestens einen Endpunkt gefunden werden (is_success=true): „Successfully listed detections related to the following endpoints in Qualys VMDR: {entity.identifier}“ (Erkennungen im Zusammenhang mit den folgenden Endpunkten wurden erfolgreich in Qualys VMDR aufgeführt: {entity.identifier})

Wenn ein Endpunkt nicht gefunden wird oder eine ungültige IP-Adresse angegeben ist (is_success=true): „Die Aktion konnte die folgenden Endpunkte in Qualys VMDR nicht finden: {entity.identifier}.“

If no data for at least one endpoint is found (is_success=true): "No vulnerabilities were found for the following endpoints: {entity.identifier}."

Wenn keine Daten für alle Endpunkte gefunden werden (is_success=true): „Für die angegebenen Endpunkte wurden keine Sicherheitslücken gefunden.“

Wenn keine Endpunkte gefunden werden oder eine ungültige IP-Adresse angegeben wird (is_success=false): „Provided endpoints were not found in Qualys VMDR.“ (Die angegebenen Endpunkte wurden in Qualys VMDR nicht gefunden.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚List Endpoint Detections‘.“ Grund: {0}''.format(error.Stacktrace)

Wenn ein ungültiger „Statusfilter“ gemeldet wird: „Fehler beim Ausführen der Aktion ‚List Endpoint Detections‘.“ Grund: Für den Parameter „Statusfilter“ wurde ein ungültiger Wert angegeben: {value}. Mögliche Werte: „new“, „open“, „reopened“, „fixed“.

Allgemein

Fall-Repository

Tabellenspalten:

QID
Titel
Schweregrad
Diagnose
Auswirkungen
Lösung
Patchable
Kategorie

Entität

Connectors

Qualys VM – Detections Connector

Beschreibung

Erkennungen aus Qualys VMDR abrufen

Qualys VM – Detections Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	Ereignistyp	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	""	Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden)	Ganzzahl	300	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	–		API-Stammverzeichnis der Qualis-VM-Instanz.
Nutzername	String	–	Ja	Nutzername der Qualis-VM-Instanz.
Passwort	Passwort	–	Ja	Passwort der Qualis-VM-Instanz.
Niedrigster abzurufender Schweregrad	Ganzzahl	0	Nein	Der niedrigste Schweregrad, der zum Abrufen von erkannten Problemen verwendet wird. Wenn nichts angegeben ist, ruft der Connector alle erkannten Elemente ab. Maximal: 5
Statusfilter	CSV	NEU, AKTIV, WIEDER ERÖFFNET	Nein	Statusfilter für den Connector. Wenn nichts angegeben wird, werden Erkennungen mit den Status „Neu“, „Aktiv“ und „Wieder geöffnet“ aufgenommen. Mögliche Werte: NEW, ACTIVE, FIXED, REOPENED.
Ignorierte Erkennungen aufnehmen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden ignorierte Erkennungen vom Connector aufgenommen.
Erkennungen ohne Aufnahme	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden deaktivierte Erkennungen vom Connector aufgenommen.
Gruppierungsmechanismus	String	Erkennung	Ja	Gruppierungsmechanismus, der zum Erstellen von Google SecOps-Benachrichtigungen verwendet wird. Mögliche Werte: Host, Detection, None. Wenn „Host“ angegeben ist, erstellt der Connector eine Google SecOps-Benachrichtigung mit allen Erkennungen, die sich auf den Host beziehen. Wenn eine Erkennung bereitgestellt wird, erstellt der Connector eine Google SecOps-Benachrichtigung mit Informationen zu allen Hosts, für die diese Erkennung gilt. Wenn „None“ oder ein ungültiger Wert angegeben wird, erstellt der Connector für jede separate Erkennung pro Host eine neue Google SecOps-Benachrichtigung.
Zulassungsliste als Sperrliste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
SSL überprüfen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Qualys VMDR-Server gültig ist.
Proxyserveradresse	String	–	Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String	–	Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort	–	Nein	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung.

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten