Qualys VM
集成版本:18.0
概览
在 Google Security Operations 中配置 QualysVM 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
下载虚拟机扫描结果
说明
按扫描 ID 获取漏洞扫描结果。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 扫描 ID | 字符串 | 不适用 | 是 | 扫描 ID 值。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"username": "username",
"city": "New York",
"zip": "10024",
"name": "user name",
"add1": "Broadway",
"country": "United States of America",
"company": "X",
"state": "New York",
"scan_report_template_title": "Scan Results",
"result_date": "01/28/2019 12:16:42",
"role": "Manager",
"add2": "Suite"
},{
"status": "Finished",
"scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
"network": "Global Default Network",
"reference": "scan/1533110666.07264",
"ips": "1.1.1.1",
"launch_date": "08/01/2018 08:04:26",
"option_profile": "Initial Options",
"total_hosts": "1",
"scan_title": "My first scan",
"duration": "00:06:20",
"excluded_ips": "",
"asset_groups": null,
"type": "API",
"active_hosts": "1"
},{
"protocol": "tcp",
"qid": 86000,
"results": "Server Version\\tServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
"solution": "N/A",
"ip_status": "host scanned, found vuln",
"port": "80",
"category": "Web server",
"severity": "1",
"title": "Web Server Version",
"instance": null,
"dns": "1dot1dot1dot1.cloudflare-dns.com",
"ip": "1.1.1.1",
"type": "Ig",
"vendor_reference": null,
"cve_id": null,
"ssl": "no",
"netbios": null,
"associated_malware": null,
"pci_vuln": "no",
"impact": "N/A",
"fqdn": "",
"bugtraq_id": null,
"threat": "N/A",
"os": "Linux 3.13",
"exploitability": null
},{
"target_distribution_across_scanner_appliances": "External : 1.1.1.1"
}
]
实体扩充
不适用
数据分析
不适用
丰富主机
说明
使用 Qualys VMDR 中的信息丰富主机。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 创建分析数据 | 复选框 | 勾选 | 否 | 如果启用,该操作会创建一个包含有关实体的所有检索到的信息的分析洞见。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult":
{
"LAST_VM_SCANNED_DATE": "2019-01-06T12: 39: 00Z",
"LAST_VM_SCANNED_DURATION": "490",
"NETWORK_ID": "0",
"IP": "1.1.1.1",
"LAST_VULN_SCAN_DATETIME": "2019-01-06T12: 39: 00Z",
"COMMENTS": "AddedbyX",
"TRACKING_METHOD": "IP",
"DNS": "one.one.one.one",
"OS": "Linux3.13",
"ID": "54664176"
},
"Entity": "1.1.1.1"
}
]
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| LAST_VM_SCANNED_DATE | 返回 JSON 结果中是否存在相应值 |
| LAST_VM_SCANNED_DURATION | 返回 JSON 结果中是否存在相应值 |
| NETWORK_ID | 返回 JSON 结果中是否存在相应值 |
| IP | 返回 JSON 结果中是否存在相应值 |
| LAST_VULN_SCAN_DATETIME | 返回 JSON 结果中是否存在相应值 |
| 评论 | 返回 JSON 结果中是否存在相应值 |
| TRACKING_METHOD | 返回 JSON 结果中是否存在相应值 |
| DNS | 返回 JSON 结果中是否存在相应值 |
| 操作系统 | 返回 JSON 结果中是否存在相应值 |
| ID | 返回 JSON 结果中是否存在相应值 |
| 实体 | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个主机有数据 (is_success=true):“以下主机已扩充:{entity.identifier}。” 如果某个主机没有数据 (is_success=true):“Action 无法使用来自 Qualys VMDR 的信息来丰富以下实体:{entity.identifier}。” 如果并非所有主机都有数据(is_success=false):“没有主机得到丰富。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Enrich Entities".”(执行操作“丰富实体”时出错。)原因:{0}''.format(error.Stacktrace) |
常规 |
下载报告
说明
按 ID 获取报告。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 报告 ID | 字符串 | 不适用 | 是 | 报告 ID 值。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"STATUS":
{
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
实体扩充
不适用
数据分析
不适用
启动合规性报告
说明
您可以对已添加到 PC 中的主机(IP 地址)运行合规性扫描并创建合规性报告。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 报告标题 | 字符串 | 不适用 | 是 | 用户定义的报告标题。标题最多可包含 128 个字符。 对于 PCI 合规性报告,报告标题由 Qualys 提供,无法更改。 |
| 报告类型 | 字符串 | 不适用 | 是 | 模板名称。 |
| 输出格式 | 字符串 | 不适用 | 是 | 可以指定一种输出格式。 指定 output_format=pdf 时,可以使用安全 PDF 分发。 示例:pdf、mht 和 html |
| IP/范围 | 字符串 | 不适用 | 否 | 指定要更改(替换)报告目标的 IP 或范围,如补丁报告模板中所定义。 多个 IP 或范围以英文逗号分隔。 |
| 素材资源组 | 字符串 | 不适用 | 否 | 以英文逗号分隔的素材资源组列表。 |
| 扫描参考 | 字符串 | 不适用 | 否 | 仅显示具有特定扫描参考代码的扫描。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| report_id | True/False | report_id:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
发布补丁报告
说明
启动补丁报告,了解需要应用哪些补丁来修复当前存在的漏洞。您可以使用此报告中的链接快速下载并安装任何缺失的补丁。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 报告标题 | 字符串 | 不适用 | 是 | 用户定义的报告标题。标题最多可包含 128 个字符。 对于 PCI 合规性报告,报告标题由 Qualys 提供,无法更改。 |
| 报告类型 | 字符串 | 不适用 | 是 | 模板名称。 |
| 输出格式 | 字符串 | 不适用 | 是 | 可以指定一种输出格式。 指定 output_format=pdf 时,可以使用安全 PDF 分发。 示例:pdf、mht 和 html |
| IP/范围 | 字符串 | 不适用 | 否 | 指定要更改(替换)报告目标的 IP 或范围,如补丁报告模板中所定义。 多个 IP 或范围以英文逗号分隔。 |
| 素材资源组 | 字符串 | 不适用 | 否 | 素材资源组。 如果需要多个,则必须用英文逗号分隔。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| report_id | True/False | report_id:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
启动修复报告
说明
启动补救报告,以获取有关补救工单的信息,例如工单状态和总体趋势信息。您可以选择以下报告:
- 高管补救报告
- 每个素材资源组的门票数量
- 每位用户的支持票数
- 每个漏洞的工单数
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 报告标题 | 字符串 | 不适用 | 是 | 用户定义的报告标题。标题最多可包含 128 个字符。 对于 PCI 合规性报告,报告标题由 Qualys 提供,无法更改。 |
| 报告类型 | 字符串 | 不适用 | 是 | 模板名称。 |
| 输出格式 | 字符串 | 不适用 | 是 | 可以指定一种输出格式。 指定 output_format=pdf 时,可以使用安全 PDF 分发。 示例:pdf、mht 和 html |
| IP/范围 | 字符串 | 不适用 | 否 | 指定要更改(替换)报告目标的 IP 或范围,如补丁报告模板中所定义。 多个 IP 或范围以英文逗号分隔。 |
| 素材资源组 | 字符串 | 不适用 | 否 | 素材资源组。 如果需要多个,则必须用英文逗号分隔。 |
| 显示所有工单的结果 | 复选框 | 勾选 | 否 | 指定报告是包含分配给当前用户的支持请求(默认情况下,用户已设置),还是包含用户账号中的所有支持请求。 默认情况下,系统会包含分配给当前用户的工单。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| report_id | True/False | report_id:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
启动扫描报告
说明
启动扫描报告。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 报告标题 | 字符串 | 不适用 | 是 | 用户定义的报告标题。标题最多可包含 128 个字符。 对于 PCI 合规性报告,报告标题由 Qualys 提供,无法更改。 |
| 报告类型 | 字符串 | 不适用 | 是 | 模板名称。 |
| 输出格式 | 字符串 | 不适用 | 是 | 可以指定一种输出格式。 指定 output_format=pdf 时,可以使用安全 PDF 分发。 示例:pdf、mht 和 html。 |
| IP/范围 | 字符串 | 不适用 | 否 | 指定要更改(替换)报告目标的 IP 或范围,如补丁报告模板中所定义。 多个 IP 或范围以英文逗号分隔。 |
| 素材资源组 | 字符串 | 不适用 | 否 | 素材资源组。 如果需要多个,则必须用英文逗号分隔。 |
| 扫描参考 | 字符串 | 不适用 | 否 | 仅显示具有特定扫描参考代码的扫描。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| report_id | True/False | report_id:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
启动虚拟机扫描并获取结果
说明
在网络中的主机上启动漏洞扫描并获取结果。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 标题 | 字符串 | 不适用 | 否 | 扫描标题。最长可包含 2,000 个字符 (ASCII)。 |
| 处理优先级 | 字符串 | 不适用 | 是 | 指定一个介于 0 到 9 之间的值,以设置扫描的处理优先级。如果未指定,则使用值 0(无优先级)。 有效值包括:
|
| 扫描个人资料 | 字符串 | 不适用 | 是 | 要使用的合规性选项配置文件的标题。 必须在请求中指定以下参数之一:
|
| 扫描器设备 | 字符串 | 不适用 | 否 | 要使用的扫描器设备的别名,或“外部”表示外部扫描器。 多个条目以英文逗号分隔。 |
| 网络 | 字符串 | 不适用 | 否 | 用于过滤“ip”参数中指定的 IP 或范围的网络 ID。 设置为自定义网络 ID。 注意:此参数不会过滤“asset_groups”或“asset_group_ids”中指定的 IP 或范围。 或者,设置为“0”(默认值)以表示全球默认网络。用于扫描自定义网络之外的主机。 |
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 用户名 | 返回 JSON 结果中是否存在相应值 |
| city | 返回 JSON 结果中是否存在相应值 |
| zip | 返回 JSON 结果中是否存在相应值 |
| name | 返回 JSON 结果中是否存在相应值 |
| add1 | 返回 JSON 结果中是否存在相应值 |
| 国家/地区 | 返回 JSON 结果中是否存在相应值 |
| 公司 | 返回 JSON 结果中是否存在相应值 |
| state | 返回 JSON 结果中是否存在相应值 |
| can_report_template_title | 返回 JSON 结果中是否存在相应值 |
| result_date | 返回 JSON 结果中是否存在相应值 |
| 角色 | 返回 JSON 结果中是否存在相应值 |
| add2 | 返回 JSON 结果中是否存在相应值 |
| 状态 | 返回 JSON 结果中是否存在相应值 |
| scanner_appliance | 返回 JSON 结果中是否存在相应值 |
| 网络 | 返回 JSON 结果中是否存在相应值 |
| 引用 | 返回 JSON 结果中是否存在相应值 |
| IP 地址 | 返回 JSON 结果中是否存在相应值 |
| launch_date | 返回 JSON 结果中是否存在相应值 |
| option_profile | 返回 JSON 结果中是否存在相应值 |
| total_hosts | 返回 JSON 结果中是否存在相应值 |
| scan_title | 返回 JSON 结果中是否存在相应值 |
| 时长 | 返回 JSON 结果中是否存在相应值 |
| excluded_ips | 返回 JSON 结果中是否存在相应值 |
| asset_groups | 返回 JSON 结果中是否存在相应值 |
| 类型 | 返回 JSON 结果中是否存在相应值 |
| active_hosts | 返回 JSON 结果中是否存在相应值 |
| 协议 | 返回 JSON 结果中是否存在相应值 |
| qid | 返回 JSON 结果中是否存在相应值 |
| 结果 | 返回 JSON 结果中是否存在相应值 |
| 解决方案 | 返回 JSON 结果中是否存在相应值 |
| 和程度上减少 | 返回 JSON 结果中是否存在相应值 |
| title | 返回 JSON 结果中是否存在相应值 |
| 实例 | 返回 JSON 结果中是否存在相应值 |
| dns | 返回 JSON 结果中是否存在相应值 |
| ip | 返回 JSON 结果中是否存在相应值 |
| vendor_reference | 返回 JSON 结果中是否存在相应值 |
| cve_id | 返回 JSON 结果中是否存在相应值 |
| ssl | 返回 JSON 结果中是否存在相应值 |
| netbios | 返回 JSON 结果中是否存在相应值 |
| associated_malware | 返回 JSON 结果中是否存在相应值 |
| pci_vuln | 返回 JSON 结果中是否存在相应值 |
| fqdn | 返回 JSON 结果中是否存在相应值 |
| bugtraq_id | 返回 JSON 结果中是否存在相应值 |
| 威胁 | 返回 JSON 结果中是否存在相应值 |
| os | 返回 JSON 结果中是否存在相应值 |
| 可利用性 | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| scan_ref | 不适用 | 不适用 |
JSON 结果
[
{
"username": "username",
"city": "New York",
"zip": "10024",
"name": "user name",
"add1": "Broadway",
"country": "United States of America",
"company": "X",
"state": "New York",
"scan_report_template_title": "Scan Results",
"result_date": "01/28/2019 12:16:42",
"role": "Manager",
"add2": "Suite"
},{
"status": "Finished",
"scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
"network": "Global Default Network",
"reference": "scan/1533110666.07264",
"ips": "1.1.1.1",
"launch_date": "08/01/2018 08:04:26",
"option_profile": "Initial Options",
"total_hosts": "1",
"scan_title": "My first scan",
"duration": "00:06:20",
"excluded_ips": "",
"asset_groups": null,
"type": "API",
"active_hosts": "1"
},{
"protocol": "tcp",
"qid": 86000,
"results": "Server VersiontServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
"solution": "N/A",
"ip_status": "host scanned, found vuln",
"port": "80",
"category": "Web server",
"severity": "1",
"title": "Web Server Version",
"instance": null,
"dns": "1dot1dot1dot1.cloudflare-dns.com",
"ip": "1.1.1.1",
"type": "Ig",
"vendor_reference": null,
"cve_id": null,
"ssl": "no",
"netbios": null,
"associated_malware": null,
"pci_vuln": "no",
"impact": "N/A",
"fqdn": "",
"bugtraq_id": null,
"threat": "N/A",
"os": "Linux 3.13",
"exploitability": null
},{
"target_distribution_across_scanner_appliances": "External : 1.1.1.1"
}
]
列出群组
说明
用户账号中的素材资源组列表。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"TITLE": "All",
"IP_SET":
{
"IP": ["1.1.1.1"]
},
"DOMAIN_LIST":
{
"DOMAIN":
[{
"@network_id": "0",
"#text": "google.com"
},{
"@network_id": "0",
"#text": "none",
"@netblock": "1.1.1.1-1.1.1.1"
}]
},
"LAST_UPDATE": "2018-07-25T14:56:05Z",
"NETWORK_ID": "0",
"OWNER_USER_NAME": "Global User",
"BUSINESS_IMPACT": "High",
"ID": "1111"
},{
"TITLE": "G",
"NETWORK_ID": "0",
"LAST_UPDATE": "2018-08-13T08:14:55Z",
"OWNER_USER_NAME": "user (Manager)",
"OWNER_USER_ID": "11111",
"BUSINESS_IMPACT": "High",
"ID": "11111"
}]
实体扩充
不适用 ##### 数据分析
不适用
列出 IP
说明
用户账号中的 IP 地址列表。默认情况下,系统会纳入用户账号中的所有主机。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| ip_list | True/False | ip_list:False |
JSON 结果
[
"1.1.1.1",
"1.1.100.100",
"10.10.10.10"
]
实体扩充
不适用 ##### 数据分析
不适用
列出报告
说明
启用报告共享功能后,用户账号中的报告列表。 报告列表输出包含所有报告类型,包括得分卡报告。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"STATUS":
{
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
]
实体扩充
不适用
数据分析
不适用
列出扫描
说明
过去 30 天内启动的扫描的列表。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"STATUS":
{
"STATE": "Finished"
},
"TARGET": "1.1.1.1",
"TITLE": "Test Scan",
"USER_LOGIN": "sempf3mh",
"LAUNCH_DATETIME": "2019-01-06T12:29:52Z",
"PROCESSED": "1",
"REF": "scan/1546777792.44756",
"PROCESSING_PRIORITY": "0 - No Priority",
"DURATION": "00:08:24",
"TYPE": "On-Demand"
}
]
实体扩充
不适用
数据分析
不适用
Ping
说明
测试连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
列出端点检测结果
说明
列出 Qualys VMDR 中的端点检测结果。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| “状态”过滤条件 | CSV | 新、有效、重新提出 | 否 | 指定在提取期间应使用的状态的逗号分隔列表。 如果未提供任何内容,该操作会注入状态为“新、有效、重新打开”的检测结果。 可能的值:New、Active、Fixed、Re-Opened。 |
| 提取忽略的检测结果 | 复选框 | 尚未核查 | 否 | 如果启用,该操作还会返回忽略的检测结果。 |
| 注入已停用的检测 | 复选框 | 尚未核查 | 否 | 如果已启用,该操作还会返回已停用的检测结果。 |
| 要提取的最低严重程度 | DDL | 中 | 否 | 指定用于提取检测结果的最低严重程度。 |
| 创建分析数据 | 复选框 | 勾选 | 否 | 如果启用,该操作会创建一条包含实体上发现的漏洞相关信息的分析。 |
| 要返回的检测结果数上限 | 整数 | 50 | 否 | 指定每个实体要返回的检测次数。 最大值:200 |
运行于
该操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果找到至少一个端点的数据 (is_success=true):“Successfully listed detections related to the following endpoints in Qualys VMDR: {entity.identifier} 如果找不到某个端点或提供的 IP 无效 (is_success=true):“Action wasn't able to find the following endpoints in Qualys VMDR: {entity.identifier}.” 如果未找到至少一个端点的数据(is_success=true):“未发现以下端点的任何漏洞:{entity.identifier}。” 如果未找到任何端点的数据 (is_success=true):“未发现所提供端点的任何漏洞。” 如果未找到任何端点或提供的 IP 无效 (is_success=false):“在 Qualys VMDR 中未找到提供的端点。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "List Endpoint Detections''. 原因:{0}''.format(error.Stacktrace) 如果报告了无效的“状态过滤条件”:“执行操作‘列出端点检测结果’时出错。”原因:为“状态过滤条件”参数提供的值无效:{value}。可能的值:new、open、reopened、fixed。 |
常规 |
| 案例墙 | 表格列:
|
实体 |
连接器
Qualys VM - Detections 连接器
说明
从 Qualys VMDR 中提取检测结果。
在 Google SecOps 中配置 Qualys VM - 检测连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 事件类型 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 300 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | 不适用 | Qualis 虚拟机实例的 API 根。 | |
| 用户名 | 字符串 | 不适用 | 是 | Qualis 虚拟机实例的用户名。 |
| 密码 | 密码 | 不适用 | 是 | Qualis 虚拟机实例的密码。 |
| 要提取的最低严重程度 | 整数 | 0 | 否 | 用于提取检测结果的最低严重程度。如果未提供任何内容,连接器将提取所有检测结果。最多:5 个。 |
| “状态”过滤条件 | CSV | 新建、有效、重新打开 | 否 | 连接器的状态过滤条件。如果未提供任何内容,连接器将注入状态为“新、有效、重新打开”的检测结果。可能的值:NEW、ACTIVE、FIXED、REOPENED。 |
| 提取忽略的检测结果 | 复选框 | 尚未核查 | 否 | 如果启用,连接器将注入忽略的检测结果。 |
| 注入已停用的检测 | 复选框 | 尚未核查 | 否 | 如果启用,连接器将注入已停用的检测结果。 |
| 分组机制 | 字符串 | 检测 | 是 | 用于创建 Google SecOps 提醒的分组机制。可能的值:Host、Detection、None。 如果提供了主机,连接器将创建一个 Google SecOps 提醒,其中包含与该主机相关的所有检测结果。 如果提供检测结果,连接器将创建一个 Google SecOps 提醒,其中包含具有相应检测结果的所有主机的信息。 如果提供的值为 None 或无效值,连接器将为每个主机的每次单独检测创建新的 Google SecOps 提醒。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,请验证与 Qualys VMDR 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。