Cette page a été traduite par l'API Cloud Translation.

Qualys VM

Version de l'intégration : 18.0

Présentation

Configurer l'intégration de QualysVM dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Actions

Télécharger les résultats de l'analyse de VM

Description

Récupérez les résultats d'une analyse des failles à l'aide de l'ID de l'analyse.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'analyse	Chaîne	N/A	Oui	Valeur de l'ID d'analyse.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
       "username": "username",
        "city": "New York",
        "zip": "10024",
        "name": "user name",
        "add1": "Broadway",
        "country": "United States of America",
        "company": "X",
        "state": "New York",
        "scan_report_template_title": "Scan Results",
        "result_date": "01/28/2019 12:16:42",
        "role": "Manager",
        "add2": "Suite"
     },{
        "status": "Finished",
        "scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
        "network": "Global Default Network",
        "reference": "scan/1533110666.07264",
        "ips": "1.1.1.1",
        "launch_date": "08/01/2018 08:04:26",
        "option_profile": "Initial Options",
        "total_hosts": "1",
        "scan_title": "My first scan",
        "duration": "00:06:20",
        "excluded_ips": "",
        "asset_groups": null,
        "type": "API",
        "active_hosts": "1"
    },{
        "protocol": "tcp",
        "qid": 86000,
        "results": "Server Version\\tServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
        "solution": "N/A",
        "ip_status": "host scanned, found vuln",
        "port": "80",
        "category": "Web server",
        "severity": "1",
        "title": "Web Server Version",
        "instance": null,
        "dns": "1dot1dot1dot1.cloudflare-dns.com",
        "ip": "1.1.1.1",
        "type": "Ig",
        "vendor_reference": null,
        "cve_id": null,
        "ssl": "no",
        "netbios": null,
        "associated_malware": null,
        "pci_vuln": "no",
        "impact": "N/A",
        "fqdn": "",
        "bugtraq_id": null,
        "threat": "N/A",
        "os": "Linux 3.13",
        "exploitability": null
     },{
        "target_distribution_across_scanner_appliances": "External : 1.1.1.1"
    }
]

Enrichissement d'entités

N/A

Insights

N/A

Hôte d'enrichissement

Description

Enrichissez un hôte avec des informations provenant de Qualys VMDR.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Créer un insight	Case à cocher	Cochée	Non	Si cette option est activée, l'action crée un insight contenant toutes les informations récupérées sur l'entité.

Exécuter sur

Cette action s'applique aux entités suivantes :

Adresse IP
Nom d'hôte

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
   {
     "EntityResult":
      {
       "LAST_VM_SCANNED_DATE": "2019-01-06T12: 39: 00Z",
       "LAST_VM_SCANNED_DURATION": "490",
       "NETWORK_ID": "0",
       "IP": "1.1.1.1",
       "LAST_VULN_SCAN_DATETIME": "2019-01-06T12: 39: 00Z",
       "COMMENTS": "AddedbyX",
       "TRACKING_METHOD": "IP",
       "DNS": "one.one.one.one",
       "OS": "Linux3.13",
       "ID": "54664176"
      },
    "Entity": "1.1.1.1"
   }
]

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand les utiliser ?
LAST_VM_SCANNED_DATE	Renvoie la valeur si elle existe dans le résultat JSON.
LAST_VM_SCANNED_DURATION	Renvoie la valeur si elle existe dans le résultat JSON.
NETWORK_ID	Renvoie la valeur si elle existe dans le résultat JSON.
IP	Renvoie la valeur si elle existe dans le résultat JSON.
LAST_VULN_SCAN_DATETIME	Renvoie la valeur si elle existe dans le résultat JSON.
COMMENTAIRES	Renvoie la valeur si elle existe dans le résultat JSON.
TRACKING_METHOD	Renvoie la valeur si elle existe dans le résultat JSON.
DNS	Renvoie la valeur si elle existe dans le résultat JSON.
OS	Renvoie la valeur si elle existe dans le résultat JSON.
ID	Renvoie la valeur si elle existe dans le résultat JSON.
Entité	Renvoie la valeur si elle existe dans le résultat JSON.

Insights

N/A

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour un hôte (is_success=true) : "Les hôtes suivants ont été enrichis : {entity.identifier}." Si les données ne sont pas disponibles pour un hôte (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations de Qualys VMDR : {entity.identifier}." Si les données ne sont pas disponibles pour tous les hôtes (is_success=false) : "Aucun hôte n'a été enrichi." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités"." Raison : {0}''.format(error.Stacktrace)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si des données sont disponibles pour un hôte (is_success=true) : "Les hôtes suivants ont été enrichis : {entity.identifier}."

Si les données ne sont pas disponibles pour un hôte (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations de Qualys VMDR : {entity.identifier}."

Si les données ne sont pas disponibles pour tous les hôtes (is_success=false) : "Aucun hôte n'a été enrichi."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités"." Raison : {0}''.format(error.Stacktrace)

Général

Télécharger le rapport

Description

Récupérez le rapport par son ID.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
ID du rapport	Chaîne	N/A	Oui	Valeur de l'ID du rapport.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
  "STATUS":
    {
     "STATE": "Finished"
     },
  "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
  "TITLE": "Scan scan/1533110666.07264 Report",
  "USER_LOGIN": "sempf3mh",
  "OUTPUT_FORMAT": "PDF",
  "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
  "TYPE": "Scan",
  "ID": "775111",
  "SIZE": "22.17 KB"
}

Enrichissement d'entités

N/A

Insights

N/A

Lancer le rapport de conformité

Description

Vous pouvez effectuer des analyses de conformité et créer des rapports de conformité sur les hôtes (adresses IP) qui ont été ajoutés au PC.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Titre du rapport	Chaîne	N/A	Oui	Titre de rapport défini par l'utilisateur. Le titre ne peut pas comporter plus de 128 caractères. Pour un rapport de conformité PCI, le titre est fourni par Qualys et ne peut pas être modifié.
Type de rapport	Chaîne	N/A	Oui	Nom du modèle.
Format de sortie	Chaîne	N/A	Oui	Vous ne pouvez spécifier qu'un seul format de sortie. Lorsque output_format=pdf est spécifié, la distribution sécurisée de PDF peut être utilisée. Exemples : pdf, mht et html
Adresses IP/Plages d'adresses IP	Chaîne	N/A	Non	Spécifiez les adresses IP ou les plages à modifier (remplacer) pour la cible du rapport, telle qu'elle est définie dans le modèle de rapport sur les correctifs. Si vous indiquez plusieurs adresses IP ou plages, séparez-les par une virgule.
Groupes de composants	Chaîne	N/A	Non	Liste de groupes d'assets séparés par une virgule.
Référence de l'analyse	Chaîne	N/A	Non	N'afficher qu'un scan avec un certain code de référence de scan.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
report_id	Vrai/Faux	report_id:False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

Rapport sur le correctif de lancement

Description

Lancez des rapports sur les correctifs pour identifier ceux que vous devez appliquer afin de corriger vos failles actuelles. Vous pourrez utiliser les liens de ce rapport pour télécharger et installer rapidement les correctifs manquants.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Titre du rapport	Chaîne	N/A	Oui	Titre de rapport défini par l'utilisateur. Le titre ne peut pas comporter plus de 128 caractères. Pour un rapport de conformité PCI, le titre est fourni par Qualys et ne peut pas être modifié.
Type de rapport	Chaîne	N/A	Oui	Nom du modèle.
Format de sortie	Chaîne	N/A	Oui	Vous ne pouvez spécifier qu'un seul format de sortie. Lorsque output_format=pdf est spécifié, la distribution sécurisée de PDF peut être utilisée. Exemple : pdf, mht et html
Adresses IP/Plages d'adresses IP	Chaîne	N/A	Non	Spécifiez les adresses IP ou les plages à modifier (remplacer) pour la cible du rapport, telle qu'elle est définie dans le modèle de rapport sur les correctifs. Si vous indiquez plusieurs adresses IP ou plages, séparez-les par une virgule.
Groupes de composants	Chaîne	N/A	Non	Groupes de composants. Si vous en avez plusieurs, séparez-les par une virgule.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
report_id	Vrai/Faux	report_id:False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

Lancer le rapport sur la correction

Description

Lancez des rapports sur les mesures correctives pour obtenir des informations sur les demandes de correction, comme leur état et les tendances générales. Vous pouvez choisir parmi les rapports suivants :

Rapport sur les mesures correctives pour la direction
Tickets par groupe de composants
Billets par utilisateur
Demandes par faille

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Titre du rapport	Chaîne	N/A	Oui	Titre de rapport défini par l'utilisateur. Le titre ne peut pas comporter plus de 128 caractères. Pour un rapport de conformité PCI, le titre est fourni par Qualys et ne peut pas être modifié.
Type de rapport	Chaîne	N/A	Oui	Nom du modèle.
Format de sortie	Chaîne	N/A	Oui	Vous ne pouvez spécifier qu'un seul format de sortie. Lorsque output_format=pdf est spécifié, la distribution sécurisée de PDF peut être utilisée. Exemple : pdf, mht et html
Adresses IP/Plages d'adresses IP	Chaîne	N/A	Non	Spécifiez les adresses IP ou les plages à modifier (remplacer) pour la cible du rapport, telle qu'elle est définie dans le modèle de rapport sur les correctifs. Si vous indiquez plusieurs adresses IP ou plages, séparez-les par une virgule.
Groupes de composants	Chaîne	N/A	Non	Groupes de composants. Si vous en avez plusieurs, séparez-les par une virgule.
Afficher les résultats pour tous les billets	Case à cocher	Cochée	Non	Indique si le rapport inclut les demandes attribuées à l'utilisateur actuel (l'utilisateur est défini par défaut) ou toutes les demandes du compte utilisateur. Par défaut, les demandes attribuées à l'utilisateur actuel sont incluses.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
report_id	Vrai/Faux	report_id:False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

Rapport d'analyse du lancement

Description

Lancez un rapport d'analyse.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Titre du rapport	Chaîne	N/A	Oui	Titre de rapport défini par l'utilisateur. Le titre ne peut pas comporter plus de 128 caractères. Pour un rapport de conformité PCI, le titre est fourni par Qualys et ne peut pas être modifié.
Type de rapport	Chaîne	N/A	Oui	Nom du modèle.
Format de sortie	Chaîne	N/A	Oui	Vous ne pouvez spécifier qu'un seul format de sortie. Lorsque output_format=pdf est spécifié, la distribution sécurisée de PDF peut être utilisée. Exemple : pdf, mht et html.
Adresses IP/Plages d'adresses IP	Chaîne	N/A	Non	Spécifiez les adresses IP ou les plages à modifier (remplacer) pour la cible du rapport, telle qu'elle est définie dans le modèle de rapport sur les correctifs. Si vous indiquez plusieurs adresses IP ou plages, séparez-les par une virgule.
Groupes de composants	Chaîne	N/A	Non	Groupes de composants. Si vous en avez plusieurs, séparez-les par une virgule.
Référence de l'analyse	Chaîne	N/A	Non	N'afficher qu'un scan avec un certain code de référence de scan.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
report_id	Vrai/Faux	report_id:False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

Lancer l'analyse de VM et récupérer les résultats

Description

Lancez une analyse des failles sur un hôte de votre réseau et récupérez les résultats.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Title	Chaîne	N/A	Non	Titre de l'analyse. Il peut comporter jusqu'à 2 000 caractères ASCII.
Priorité de traitement	Chaîne	N/A	Oui	Définissez une valeur comprise entre 0 et 9 pour définir un niveau de priorité de traitement pour l'analyse. Si aucune valeur n'est spécifiée, la valeur 0 (aucune priorité) est utilisée. Les valeurs possibles sont les suivantes : 0 pour "Aucune priorité" (valeur par défaut) 1 pour les urgences 2 pour Ultimate 3 pour les problèmes critiques 4 correspond à "Majeur" 5 pour "Élevée" 6 pour Standard 7 pour "Moyenne" 8 pour "Mineure" 9 pour "Faible"
Analyser le profil	Chaîne	N/A	Oui	Titre du profil d'option de conformité à utiliser. L'un de ces paramètres doit être spécifié dans une requête : option_title option_id
Scanner Appliance	Chaîne	N/A	Non	Noms conviviaux des appliances de scanner à utiliser ou "External" (Externe) pour les scanners externes. Si vous saisissez plusieurs entrées, séparez-les par une virgule.
Réseau	Chaîne	N/A	Non	ID d'un réseau utilisé pour filtrer les adresses IP ou les plages spécifiées dans le paramètre "ip". Définissez un ID de réseau personnalisé. Remarque : Cette option ne filtre pas les adresses IP ni les plages spécifiées dans "asset_groups" ou "asset_group_ids". Vous pouvez également définir la valeur sur "0" (valeur par défaut) pour le réseau mondial par défaut. Cette option permet d'analyser les hôtes en dehors de vos réseaux personnalisés.

Exécuter sur

Cette action s'exécute sur l'entité "Adresse IP".

Résultats de l'action

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand les utiliser ?
nom d'utilisateur	Renvoie la valeur si elle existe dans le résultat JSON.
city	Renvoie la valeur si elle existe dans le résultat JSON.
zip	Renvoie la valeur si elle existe dans le résultat JSON.
nom	Renvoie la valeur si elle existe dans le résultat JSON.
add1	Renvoie la valeur si elle existe dans le résultat JSON.
pays	Renvoie la valeur si elle existe dans le résultat JSON.
notre société	Renvoie la valeur si elle existe dans le résultat JSON.
state	Renvoie la valeur si elle existe dans le résultat JSON.
can_report_template_title	Renvoie la valeur si elle existe dans le résultat JSON.
result_date	Renvoie la valeur si elle existe dans le résultat JSON.
rôle	Renvoie la valeur si elle existe dans le résultat JSON.
add2	Renvoie la valeur si elle existe dans le résultat JSON.
état	Renvoie la valeur si elle existe dans le résultat JSON.
scanner_appliance	Renvoie la valeur si elle existe dans le résultat JSON.
réseau	Renvoie la valeur si elle existe dans le résultat JSON.
référence	Renvoie la valeur si elle existe dans le résultat JSON.
ips	Renvoie la valeur si elle existe dans le résultat JSON.
launch_date	Renvoie la valeur si elle existe dans le résultat JSON.
option_profile	Renvoie la valeur si elle existe dans le résultat JSON.
total_hosts	Renvoie la valeur si elle existe dans le résultat JSON.
scan_title	Renvoie la valeur si elle existe dans le résultat JSON.
duration	Renvoie la valeur si elle existe dans le résultat JSON.
excluded_ips	Renvoie la valeur si elle existe dans le résultat JSON.
asset_groups	Renvoie la valeur si elle existe dans le résultat JSON.
type	Renvoie la valeur si elle existe dans le résultat JSON.
active_hosts	Renvoie la valeur si elle existe dans le résultat JSON.
protocol	Renvoie la valeur si elle existe dans le résultat JSON.
qid	Renvoie la valeur si elle existe dans le résultat JSON.
résultats	Renvoie la valeur si elle existe dans le résultat JSON.
solution	Renvoie la valeur si elle existe dans le résultat JSON.
de gravité,	Renvoie la valeur si elle existe dans le résultat JSON.
titre	Renvoie la valeur si elle existe dans le résultat JSON.
instance	Renvoie la valeur si elle existe dans le résultat JSON.
dns	Renvoie la valeur si elle existe dans le résultat JSON.
ip	Renvoie la valeur si elle existe dans le résultat JSON.
vendor_reference	Renvoie la valeur si elle existe dans le résultat JSON.
cve_id	Renvoie la valeur si elle existe dans le résultat JSON.
ssl	Renvoie la valeur si elle existe dans le résultat JSON.
netbios	Renvoie la valeur si elle existe dans le résultat JSON.
associated_malware	Renvoie la valeur si elle existe dans le résultat JSON.
pci_vuln	Renvoie la valeur si elle existe dans le résultat JSON.
fqdn	Renvoie la valeur si elle existe dans le résultat JSON.
bugtraq_id	Renvoie la valeur si elle existe dans le résultat JSON.
menace	Renvoie la valeur si elle existe dans le résultat JSON.
os	Renvoie la valeur si elle existe dans le résultat JSON.
exploitabilité	Renvoie la valeur si elle existe dans le résultat JSON.

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
scan_ref	N/A	N/A

Résultat JSON

[
  {
    "username": "username",
    "city": "New York",
    "zip": "10024",
    "name": "user name",
    "add1": "Broadway",
    "country": "United States of America",
    "company": "X",
    "state": "New York",
    "scan_report_template_title": "Scan Results",
    "result_date": "01/28/2019 12:16:42",
    "role": "Manager",
    "add2": "Suite"
  },{
    "status": "Finished",
    "scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
    "network": "Global Default Network",
    "reference": "scan/1533110666.07264",
    "ips": "1.1.1.1",
    "launch_date": "08/01/2018 08:04:26",
    "option_profile": "Initial Options",
    "total_hosts": "1",
    "scan_title": "My first scan",
    "duration": "00:06:20",
    "excluded_ips": "",
    "asset_groups": null,
    "type": "API",
    "active_hosts": "1"
  },{
    "protocol": "tcp",
    "qid": 86000,
    "results": "Server VersiontServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
    "solution": "N/A",
    "ip_status": "host scanned, found vuln",
    "port": "80",
    "category": "Web server",
    "severity": "1",
    "title": "Web Server Version",
    "instance": null,
    "dns": "1dot1dot1dot1.cloudflare-dns.com",
    "ip": "1.1.1.1",
    "type": "Ig",
    "vendor_reference": null,
    "cve_id": null,
    "ssl": "no",
    "netbios": null,
    "associated_malware": null,
    "pci_vuln": "no",
    "impact": "N/A",
    "fqdn": "",
    "bugtraq_id": null,
    "threat": "N/A",
    "os": "Linux 3.13",
    "exploitability": null
   },{
    "target_distribution_across_scanner_appliances": "External : 1.1.1.1"
   }
]

Répertorier les groupes

Description

Liste des groupes d'assets dans le compte de l'utilisateur.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[{
   "TITLE": "All",
   "IP_SET":
      {
        "IP": ["1.1.1.1"]
       },
   "DOMAIN_LIST":
      {
        "DOMAIN":
          [{
             "@network_id": "0",
             "#text": "google.com"
           },{
             "@network_id": "0",
             "#text": "none",
             "@netblock": "1.1.1.1-1.1.1.1"
           }]
      },
   "LAST_UPDATE": "2018-07-25T14:56:05Z",
   "NETWORK_ID": "0",
   "OWNER_USER_NAME": "Global User",
   "BUSINESS_IMPACT": "High",
   "ID": "1111"
 },{
   "TITLE": "G",
   "NETWORK_ID": "0",
   "LAST_UPDATE": "2018-08-13T08:14:55Z",
   "OWNER_USER_NAME": "user (Manager)",
   "OWNER_USER_ID": "11111",
   "BUSINESS_IMPACT": "High",
   "ID": "11111"
 }]

Enrichissement d'entités

N/A ##### Insights

N/A

Lister les adresses IP

Description

Liste des adresses IP du compte de l'utilisateur. Par défaut, tous les hôtes du compte de l'utilisateur sont inclus.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ip_list	Vrai/Faux	ip_list:False

Résultat JSON

[
  "1.1.1.1",
  "1.1.100.100",
  "10.10.10.10"
]

Enrichissement d'entités

N/A ##### Insights

N/A

Répertorier les rapports

Description

Liste des rapports dans le compte de l'utilisateur lorsque la fonctionnalité de partage de rapports est activée. La liste des rapports inclut tous les types de rapports, y compris les rapports sur les tableaux de données.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
  {
    "STATUS":
      {
        "STATE": "Finished"
      },
    "EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
    "TITLE": "Scan scan/1533110666.07264 Report",
    "USER_LOGIN": "sempf3mh",
    "OUTPUT_FORMAT": "PDF",
    "LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
    "TYPE": "Scan",
    "ID": "775111",
    "SIZE": "22.17 KB"
  }
]

Enrichissement d'entités

N/A

Insights

N/A

Lister les analyses

Description

Liste des analyses lancées au cours des 30 derniers jours.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

    [
       {
         "STATUS":
           {
              "STATE": "Finished"
           },
        "TARGET": "1.1.1.1",
        "TITLE": "Test Scan",
        "USER_LOGIN": "sempf3mh",
        "LAUNCH_DATETIME": "2019-01-06T12:29:52Z",
        "PROCESSED": "1",
        "REF": "scan/1546777792.44756",
        "PROCESSING_PRIORITY": "0 - No Priority",
        "DURATION": "00:08:24",
        "TYPE": "On-Demand"
       }
     ]

Enrichissement d'entités

N/A

Insights

N/A

Ping

Description

Testez la connectivité.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

Lister les détections de points de terminaison

Description

Lister les détections de points de terminaison dans Qualys VMDR.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Filtre d'état	CSV	nouvelle, active, rouverte	Non	Spécifiez une liste d'états séparés par une virgule à utiliser lors de l'ingestion. Si aucune valeur n'est fournie, l'action ingère les détections dont l'état est "Nouveau", "Actif" ou "Réouvert". Valeurs possibles : "Nouveau", "Actif", "Résolu" et "Réouvert".
Ingérer les détections ignorées	Case à cocher	Décochée	Non	Si cette option est activée, l'action renvoie également les détections ignorées.
Ingérer les détections désactivées	Case à cocher	Décochée	Non	Si cette option est activée, l'action renvoie également les détections désactivées.
Gravité la plus faible à récupérer	LDD	Moyenne	Non	Spécifiez le niveau de gravité le plus bas utilisé pour récupérer les détections.
Créer un insight	Case à cocher	Cochée	Non	Si cette option est activée, l'action crée un insight contenant des informations sur les failles trouvées sur l'entité.
Nombre maximal de détections à renvoyer	Integer	50	Non	Spécifiez le nombre de détections à renvoyer par entité. Maximum : 200

Exécuter sur

L'action ne s'exécute pas sur les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Enrichissement d'entités

N/A

Insights

N/A

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont trouvées pour au moins un point de terminaison (is_success=true) : "Les détections liées aux points de terminaison suivants dans Qualys VMDR ont bien été listées : {entity.identifier}" Si un point de terminaison est introuvable ou qu'une adresse IP non valide est fournie (is_success=true) : "L'action n'a pas pu trouver les points de terminaison suivants dans Qualys VMDR : {entity.identifier}." Si aucune donnée n'est trouvée pour au moins un point de terminaison (is_success=true) : "Aucune faille de sécurité n'a été détectée pour les points de terminaison suivants : {entity.identifier}." Si aucune donnée n'est trouvée pour tous les points de terminaison (is_success=true) : "Aucune faille n'a été trouvée pour les points de terminaison fournis." Si aucun point de terminaison n'est trouvé ou si une adresse IP non valide est fournie (is_success=false) : "Les points de terminaison fournis n'ont pas été trouvés dans Qualys VMDR." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Lister les détections de points de terminaison". Raison : {0}''.format(error.Stacktrace) Si un "filtre d'état" non valide est signalé : "Erreur lors de l'exécution de l'action "List Endpoint Detections"." Motif : valeur non valide fournie pour le paramètre "Filtre d'état" : {value}. Valeurs possibles : "new" (nouveau), "open" (ouvert), "reopened" (rouvert), "fixed" (résolu).	Général
Mur des cas	Colonnes du tableau : QID Titre Gravité Diagnostic Conséquences Solution Patchable Catégorie	Entité

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si des données sont trouvées pour au moins un point de terminaison (is_success=true) : "Les détections liées aux points de terminaison suivants dans Qualys VMDR ont bien été listées : {entity.identifier}"

Si un point de terminaison est introuvable ou qu'une adresse IP non valide est fournie (is_success=true) : "L'action n'a pas pu trouver les points de terminaison suivants dans Qualys VMDR : {entity.identifier}."

Si aucune donnée n'est trouvée pour au moins un point de terminaison (is_success=true) : "Aucune faille de sécurité n'a été détectée pour les points de terminaison suivants : {entity.identifier}."

Si aucune donnée n'est trouvée pour tous les points de terminaison (is_success=true) : "Aucune faille n'a été trouvée pour les points de terminaison fournis."

Si aucun point de terminaison n'est trouvé ou si une adresse IP non valide est fournie (is_success=false) : "Les points de terminaison fournis n'ont pas été trouvés dans Qualys VMDR."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Lister les détections de points de terminaison". Raison : {0}''.format(error.Stacktrace)

Si un "filtre d'état" non valide est signalé : "Erreur lors de l'exécution de l'action "List Endpoint Detections"." Motif : valeur non valide fournie pour le paramètre "Filtre d'état" : {value}. Valeurs possibles : "new" (nouveau), "open" (ouvert), "reopened" (rouvert), "fixed" (résolu).

Général

Mur des cas

Colonnes du tableau :

QID
Titre
Gravité
Diagnostic
Conséquences
Solution
Patchable
Catégorie

Entité

Connecteurs

Connecteur Qualys VM – Détections

Description

Extrayez les détections de Qualys VMDR.

Configurer le connecteur Qualys VM – Detections dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	Type d'événement	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	300	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	N/A		Racine de l'API de l'instance Qualys VM.
Nom d'utilisateur	Chaîne	N/A	Oui	Nom d'utilisateur de l'instance Qualys VM.
Mot de passe	Mot de passe	N/A	Oui	Mot de passe de l'instance de VM Qualys.
Gravité la plus faible à récupérer	Integer	0	Non	Gravité la plus faible qui sera utilisée pour récupérer les détections. Si vous ne fournissez aucune valeur, le connecteur récupère toutes les détections. Maximum : 5.
Filtre d'état	CSV	NOUVEAU, ACTIF, ROUVERT	Non	Filtre d'état pour le connecteur. Si aucune valeur n'est fournie, le connecteur ingère les détections dont l'état est "Nouveau", "Actif" ou "Réouvert". Valeurs possibles : NEW, ACTIVE, FIXED, REOPENED.
Ingérer les détections ignorées	Case à cocher	Décochée	Non	Si cette option est activée, le connecteur ingère les détections ignorées.
Ingérer les détections désactivées	Case à cocher	Décochée	Non	Si cette option est activée, le connecteur ingère les détections désactivées.
Mécanisme de regroupement	Chaîne	Détection	Oui	Mécanisme de regroupement qui sera utilisé pour créer des alertes Google SecOps. Valeurs possibles : "Host", "Detection" ou "None". Si un hôte est fourni, le connecteur crée une alerte Google SecOps contenant toutes les détections associées à l'hôte. Si la détection est fournie, le connecteur crée une alerte Google SecOps contenant des informations sur tous les hôtes concernés. Si la valeur "None" ou une valeur non valide est fournie, le connecteur créera une alerte Google SecOps pour chaque détection distincte par hôte.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Qualys VMDR est valide.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.