Qualys VM
整合版本:18.0
總覽
在 Google Security Operations 中設定 QualysVM 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
下載 VM 掃描結果
說明
依掃描 ID 擷取安全漏洞掃描結果。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 掃描 ID | 字串 | 不適用 | 是 | 掃描 ID 值。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"username": "username",
"city": "New York",
"zip": "10024",
"name": "user name",
"add1": "Broadway",
"country": "United States of America",
"company": "X",
"state": "New York",
"scan_report_template_title": "Scan Results",
"result_date": "01/28/2019 12:16:42",
"role": "Manager",
"add2": "Suite"
},{
"status": "Finished",
"scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
"network": "Global Default Network",
"reference": "scan/1533110666.07264",
"ips": "1.1.1.1",
"launch_date": "08/01/2018 08:04:26",
"option_profile": "Initial Options",
"total_hosts": "1",
"scan_title": "My first scan",
"duration": "00:06:20",
"excluded_ips": "",
"asset_groups": null,
"type": "API",
"active_hosts": "1"
},{
"protocol": "tcp",
"qid": 86000,
"results": "Server Version\\tServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
"solution": "N/A",
"ip_status": "host scanned, found vuln",
"port": "80",
"category": "Web server",
"severity": "1",
"title": "Web Server Version",
"instance": null,
"dns": "1dot1dot1dot1.cloudflare-dns.com",
"ip": "1.1.1.1",
"type": "Ig",
"vendor_reference": null,
"cve_id": null,
"ssl": "no",
"netbios": null,
"associated_malware": null,
"pci_vuln": "no",
"impact": "N/A",
"fqdn": "",
"bugtraq_id": null,
"threat": "N/A",
"os": "Linux 3.13",
"exploitability": null
},{
"target_distribution_across_scanner_appliances": "External : 1.1.1.1"
}
]
實體擴充
不適用
深入分析
不適用
Enrich Host
說明
使用 Qualys VMDR 的資訊擴充主機。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含實體的所有擷取資訊。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult":
{
"LAST_VM_SCANNED_DATE": "2019-01-06T12: 39: 00Z",
"LAST_VM_SCANNED_DURATION": "490",
"NETWORK_ID": "0",
"IP": "1.1.1.1",
"LAST_VULN_SCAN_DATETIME": "2019-01-06T12: 39: 00Z",
"COMMENTS": "AddedbyX",
"TRACKING_METHOD": "IP",
"DNS": "one.one.one.one",
"OS": "Linux3.13",
"ID": "54664176"
},
"Entity": "1.1.1.1"
}
]
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| LAST_VM_SCANNED_DATE | 如果 JSON 結果中存在該值,則傳回該值 |
| LAST_VM_SCANNED_DURATION | 如果 JSON 結果中存在該值,則傳回該值 |
| NETWORK_ID | 如果 JSON 結果中存在該值,則傳回該值 |
| IP | 如果 JSON 結果中存在該值,則傳回該值 |
| LAST_VULN_SCAN_DATETIME | 如果 JSON 結果中存在該值,則傳回該值 |
| 註解 | 如果 JSON 結果中存在該值,則傳回該值 |
| TRACKING_METHOD | 如果 JSON 結果中存在該值,則傳回該值 |
| DNS | 如果 JSON 結果中存在該值,則傳回該值 |
| 作業系統 | 如果 JSON 結果中存在該值,則傳回該值 |
| ID | 如果 JSON 結果中存在該值,則傳回該值 |
| 實體 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某個主機有資料 (is_success=true):「已擴充下列主機:{entity.identifier}。」 如果某個主機沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from Qualys VMDR: {entity.identifier}.」(動作無法使用 Qualys VMDR 的資訊擴充下列實體:{entity.identifier}。) 如果並非所有主機都有資料 (is_success=false):「No hosts were enriched.」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。」原因:{0}''.format(error.Stacktrace) |
一般 |
下載報表
說明
依 ID 擷取報表。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 報告 ID | 字串 | 不適用 | 是 | 報表 ID 值。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"STATUS":
{
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
實體擴充
不適用
深入分析
不適用
啟動法規遵循報告
說明
您可以對已新增至電腦的主機 (IP 位址) 執行法規遵循掃描,並建立法規遵循報告。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 報表標題 | 字串 | 不適用 | 是 | 使用者定義的報表標題。標題長度上限為 128 個半形字元。 如果是 PCI 法規遵循報告,報告標題是由 Qualys 提供,無法變更。 |
| 報表類型 | 字串 | 不適用 | 是 | 範本名稱。 |
| 輸出格式 | 字串 | 不適用 | 是 | 可指定一種輸出格式。 指定 output_format=pdf 時,可以使用安全 PDF 發布功能。 例如:pdf、mht 和 html |
| IP/範圍 | 字串 | 不適用 | 否 | 指定 IP 或範圍,變更 (覆寫) 修補程式報表範本中定義的報表目標。 多個 IP 或範圍以半形逗號分隔。 |
| 素材資源群組 | 字串 | 不適用 | 否 | 以半形逗號分隔的素材資源群組清單。 |
| 掃描參考資料 | 字串 | 不適用 | 否 | 只顯示具有特定掃描參考代碼的掃描結果。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| report_id | True/False | report_id:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
啟動修補程式報表
說明
啟動修補程式報告,瞭解需要套用哪些修補程式來修正目前的安全漏洞。您可以使用這份報表中的連結,快速下載及安裝所有缺少的修補程式。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 報表標題 | 字串 | 不適用 | 是 | 使用者定義的報表標題。標題長度上限為 128 個半形字元。 如果是 PCI 法規遵循報告,報告標題是由 Qualys 提供,無法變更。 |
| 報表類型 | 字串 | 不適用 | 是 | 範本名稱。 |
| 輸出格式 | 字串 | 不適用 | 是 | 可指定一種輸出格式。 指定 output_format=pdf 時,可以使用安全 PDF 發布功能。 例如:pdf、mht 和 html |
| IP/範圍 | 字串 | 不適用 | 否 | 指定 IP 或範圍,變更 (覆寫) 修補程式報表範本中定義的報表目標。 多個 IP 或範圍以半形逗號分隔。 |
| 素材資源群組 | 字串 | 不適用 | 否 | 素材資源群組。 如果有多個,請以半形逗號分隔。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| report_id | True/False | report_id:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
啟動修復報告
說明
啟動補救措施報告,取得補救措施單的相關資訊,例如單號狀態和整體趨勢資訊。可供選擇的報表如下:
- 高階修復報告
- 每個素材資源群組的票數
- 每位使用者的票券數
- 每個安全漏洞的支援單
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 報表標題 | 字串 | 不適用 | 是 | 使用者定義的報表標題。標題長度上限為 128 個半形字元。 如果是 PCI 法規遵循報告,報告標題是由 Qualys 提供,無法變更。 |
| 報表類型 | 字串 | 不適用 | 是 | 範本名稱。 |
| 輸出格式 | 字串 | 不適用 | 是 | 可指定一種輸出格式。 指定 output_format=pdf 時,可以使用安全 PDF 發布功能。 例如:pdf、mht 和 html |
| IP/範圍 | 字串 | 不適用 | 否 | 指定 IP 或範圍,變更 (覆寫) 修補程式報表範本中定義的報表目標。 多個 IP 或範圍以半形逗號分隔。 |
| 素材資源群組 | 字串 | 不適用 | 否 | 素材資源群組。 如果有多個,請以半形逗號分隔。 |
| 顯示所有票證的結果 | 核取方塊 | 已勾選 | 否 | 指定報表是否要納入指派給目前使用者的支援單 (預設為「使用者」),或是使用者帳戶中的所有支援單。 根據預設,系統會納入指派給目前使用者的支援單。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| report_id | True/False | report_id:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
啟動掃描報告
說明
啟動掃描報告。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 報表標題 | 字串 | 不適用 | 是 | 使用者定義的報表標題。標題長度上限為 128 個半形字元。 如果是 PCI 法規遵循報告,報告標題是由 Qualys 提供,無法變更。 |
| 報表類型 | 字串 | 不適用 | 是 | 範本名稱。 |
| 輸出格式 | 字串 | 不適用 | 是 | 可指定一種輸出格式。 指定 output_format=pdf 時,可以使用安全 PDF 發布功能。 例如:pdf、mht 和 html。 |
| IP/範圍 | 字串 | 不適用 | 否 | 指定 IP 或範圍,變更 (覆寫) 修補程式報表範本中定義的報表目標。 多個 IP 或範圍以半形逗號分隔。 |
| 素材資源群組 | 字串 | 不適用 | 否 | 素材資源群組。 如果有多個,請以半形逗號分隔。 |
| 掃描參考資料 | 字串 | 不適用 | 否 | 只顯示具有特定掃描參考代碼的掃描結果。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| report_id | True/False | report_id:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
啟動 VM 掃描並擷取結果
說明
在網路中的主機上啟動安全漏洞掃描,並擷取結果。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 標題 | 字串 | 不適用 | 否 | 掃描標題。長度上限為 2,000 個字元 (ASCII)。 |
| 處理優先順序 | 字串 | 不適用 | 是 | 請指定介於 0 到 9 之間的值,設定掃描的處理優先順序。如未指定,系統會使用值 0 (無優先順序)。 有效的值包括:
|
| 掃描設定檔 | 字串 | 不適用 | 是 | 要使用的法規遵循選項設定檔標題。 要求中必須指定下列其中一個參數:
|
| 掃描器設備 | 字串 | 不適用 | 否 | 要使用的掃描器設備友善名稱,或外部掃描器的「External」。 多個項目以半形逗號分隔。 |
| 網路 | 字串 | 不適用 | 否 | 用於篩選「ip」參數中指定 IP 或範圍的網路 ID。 設為自訂聯播網 ID。 注意:這不會篩選「asset_groups」或「asset_group_ids」中指定的 IP 或範圍。 或者設為「0」(預設值),表示使用全域預設網路。用於掃描自訂網路以外的主機。 |
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 使用者名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| city | 如果 JSON 結果中存在該值,則傳回該值 |
| zip | 如果 JSON 結果中存在該值,則傳回該值 |
| 名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| add1 | 如果 JSON 結果中存在該值,則傳回該值 |
| 國家/地區 | 如果 JSON 結果中存在該值,則傳回該值 |
| 公司 | 如果 JSON 結果中存在該值,則傳回該值 |
| state | 如果 JSON 結果中存在該值,則傳回該值 |
| can_report_template_title | 如果 JSON 結果中存在該值,則傳回該值 |
| result_date | 如果 JSON 結果中存在該值,則傳回該值 |
| 角色 | 如果 JSON 結果中存在該值,則傳回該值 |
| add2 | 如果 JSON 結果中存在該值,則傳回該值 |
| 狀態 | 如果 JSON 結果中存在該值,則傳回該值 |
| scanner_appliance | 如果 JSON 結果中存在該值,則傳回該值 |
| 網路 | 如果 JSON 結果中存在該值,則傳回該值 |
| 參考資料 | 如果 JSON 結果中存在該值,則傳回該值 |
| ips | 如果 JSON 結果中存在該值,則傳回該值 |
| launch_date | 如果 JSON 結果中存在該值,則傳回該值 |
| option_profile | 如果 JSON 結果中存在該值,則傳回該值 |
| total_hosts | 如果 JSON 結果中存在該值,則傳回該值 |
| scan_title | 如果 JSON 結果中存在該值,則傳回該值 |
| 持續時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| excluded_ips | 如果 JSON 結果中存在該值,則傳回該值 |
| asset_groups | 如果 JSON 結果中存在該值,則傳回該值 |
| 類型 | 如果 JSON 結果中存在該值,則傳回該值 |
| active_hosts | 如果 JSON 結果中存在該值,則傳回該值 |
| 通訊協定 | 如果 JSON 結果中存在該值,則傳回該值 |
| qid | 如果 JSON 結果中存在該值,則傳回該值 |
| 結果 | 如果 JSON 結果中存在該值,則傳回該值 |
| 解決方案 | 如果 JSON 結果中存在該值,則傳回該值 |
| 嚴重性 | 如果 JSON 結果中存在該值,則傳回該值 |
| title | 如果 JSON 結果中存在該值,則傳回該值 |
| 執行個體 | 如果 JSON 結果中存在該值,則傳回該值 |
| dns | 如果 JSON 結果中存在該值,則傳回該值 |
| ip | 如果 JSON 結果中存在該值,則傳回該值 |
| vendor_reference | 如果 JSON 結果中存在該值,則傳回該值 |
| cve_id | 如果 JSON 結果中存在該值,則傳回該值 |
| SSL | 如果 JSON 結果中存在該值,則傳回該值 |
| netbios | 如果 JSON 結果中存在該值,則傳回該值 |
| associated_malware | 如果 JSON 結果中存在該值,則傳回該值 |
| pci_vuln | 如果 JSON 結果中存在該值,則傳回該值 |
| fqdn | 如果 JSON 結果中存在該值,則傳回該值 |
| bugtraq_id | 如果 JSON 結果中存在該值,則傳回該值 |
| 威脅 | 如果 JSON 結果中存在該值,則傳回該值 |
| os | 如果 JSON 結果中存在該值,則傳回該值 |
| 可利用性 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| scan_ref | 不適用 | 不適用 |
JSON 結果
[
{
"username": "username",
"city": "New York",
"zip": "10024",
"name": "user name",
"add1": "Broadway",
"country": "United States of America",
"company": "X",
"state": "New York",
"scan_report_template_title": "Scan Results",
"result_date": "01/28/2019 12:16:42",
"role": "Manager",
"add2": "Suite"
},{
"status": "Finished",
"scanner_appliance": "1.1.1.1 (Scanner 10.10.10-1, Vulnerability Signatures 10.10.10-2)",
"network": "Global Default Network",
"reference": "scan/1533110666.07264",
"ips": "1.1.1.1",
"launch_date": "08/01/2018 08:04:26",
"option_profile": "Initial Options",
"total_hosts": "1",
"scan_title": "My first scan",
"duration": "00:06:20",
"excluded_ips": "",
"asset_groups": null,
"type": "API",
"active_hosts": "1"
},{
"protocol": "tcp",
"qid": 86000,
"results": "Server VersiontServer Banner\\ncloudflare-nginx\\tcloudflare-nginx",
"solution": "N/A",
"ip_status": "host scanned, found vuln",
"port": "80",
"category": "Web server",
"severity": "1",
"title": "Web Server Version",
"instance": null,
"dns": "1dot1dot1dot1.cloudflare-dns.com",
"ip": "1.1.1.1",
"type": "Ig",
"vendor_reference": null,
"cve_id": null,
"ssl": "no",
"netbios": null,
"associated_malware": null,
"pci_vuln": "no",
"impact": "N/A",
"fqdn": "",
"bugtraq_id": null,
"threat": "N/A",
"os": "Linux 3.13",
"exploitability": null
},{
"target_distribution_across_scanner_appliances": "External : 1.1.1.1"
}
]
可列出群組
說明
使用者帳戶中的素材資源群組清單。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"TITLE": "All",
"IP_SET":
{
"IP": ["1.1.1.1"]
},
"DOMAIN_LIST":
{
"DOMAIN":
[{
"@network_id": "0",
"#text": "google.com"
},{
"@network_id": "0",
"#text": "none",
"@netblock": "1.1.1.1-1.1.1.1"
}]
},
"LAST_UPDATE": "2018-07-25T14:56:05Z",
"NETWORK_ID": "0",
"OWNER_USER_NAME": "Global User",
"BUSINESS_IMPACT": "High",
"ID": "1111"
},{
"TITLE": "G",
"NETWORK_ID": "0",
"LAST_UPDATE": "2018-08-13T08:14:55Z",
"OWNER_USER_NAME": "user (Manager)",
"OWNER_USER_ID": "11111",
"BUSINESS_IMPACT": "High",
"ID": "11111"
}]
實體擴充
不適用 ##### 深入分析
不適用
列出 IP
說明
使用者帳戶中的 IP 位址清單。根據預設,系統會納入使用者帳戶中的所有主機。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| ip_list | True/False | ip_list:False |
JSON 結果
[
"1.1.1.1",
"1.1.100.100",
"10.10.10.10"
]
實體擴充
不適用 ##### 深入分析
不適用
可列出報表
說明
啟用「分享報表」功能後,使用者帳戶中的報表清單。 報表清單輸出內容包含所有報表類型,包括評分表報表。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"STATUS":
{
"STATE": "Finished"
},
"EXPIRATION_DATETIME": "2019-02-04T13:11:15Z",
"TITLE": "Scan scan/1533110666.07264 Report",
"USER_LOGIN": "sempf3mh",
"OUTPUT_FORMAT": "PDF",
"LAUNCH_DATETIME": "2019-01-28T13:11:14Z",
"TYPE": "Scan",
"ID": "775111",
"SIZE": "22.17 KB"
}
]
實體擴充
不適用
深入分析
不適用
列出掃描
說明
過去 30 天內啟動的掃描作業清單。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"STATUS":
{
"STATE": "Finished"
},
"TARGET": "1.1.1.1",
"TITLE": "Test Scan",
"USER_LOGIN": "sempf3mh",
"LAUNCH_DATETIME": "2019-01-06T12:29:52Z",
"PROCESSED": "1",
"REF": "scan/1546777792.44756",
"PROCESSING_PRIORITY": "0 - No Priority",
"DURATION": "00:08:24",
"TYPE": "On-Demand"
}
]
實體擴充
不適用
深入分析
不適用
乒乓
說明
測試連線。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
列出端點偵測結果
說明
在 Qualys VMDR 中列出端點偵測結果。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 狀態篩選器 | CSV | 新、有效、重新開啟 | 否 | 指定在擷取期間應使用的狀態清單 (以半形逗號分隔)。 如果未提供任何內容,這項動作會擷取狀態為「New」、「Active」和「Re-Opened」的偵測結果。 可能的值:New、Active、Fixed、Re-Opened。 |
| 擷取遭忽略的偵測項目 | 核取方塊 | 已取消勾選 | 否 | 如果啟用這項設定,動作也會傳回遭忽略的偵測結果。 |
| 擷取已停用的偵測項目 | 核取方塊 | 已取消勾選 | 否 | 如果啟用這項功能,動作也會傳回已停用的偵測結果。 |
| 要擷取的最低嚴重程度 | DDL | 中 | 否 | 指定用於擷取偵測結果的最低嚴重程度。 |
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含實體上發現的安全性漏洞資訊。 |
| 要傳回的偵測結果數量上限 | 整數 | 50 | 否 | 指定每個實體要傳回的偵測項目數量。 上限:200 個 |
執行時間
系統不會對實體執行這項操作。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果找到至少一個端點的資料 (is_success=true):「Successfully listed detections related to the following endpoints in Qualys VMDR: {entity.identifier} 如果找不到端點或提供的 IP 無效 (is_success=true):「Action wasn't able to find the following endpoints in Qualys VMDR: {entity.identifier}.」(動作無法在 Qualys VMDR 中找到下列端點:{entity.identifier}。) If 找不到至少一個端點的資料 (is_success=true):「下列端點未發現任何安全漏洞:{entity.identifier}。」 如果找不到所有端點的資料 (is_success=true):「提供的端點未發現任何安全漏洞。」 如果找不到端點或提供的 IP 無效 (is_success=false):「Provided endpoints were not found in Qualys VMDR.」(在 Qualys VMDR 中找不到提供的端點)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "List Endpoint Detections''. 原因:{0}''.format(error.Stacktrace) 如果系統回報「狀態篩選器」無效:「Error executing action 'List Endpoint Detections'」(執行「列出端點偵測」動作時發生錯誤)。原因:參數「狀態篩選器」的值無效:{value}。可能的值:new、open、reopened、fixed。 |
一般 |
| 案件總覽 | 資料表資料欄:
|
實體 |
連接器
Qualys VM - Detections Connector
說明
從 Qualys VMDR 提取偵測結果。
在 Google SecOps 中設定 Qualys VM - Detections Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 事件類型 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 300 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | 不適用 | Qualis VM 執行個體的 API 根目錄。 | |
| 使用者名稱 | 字串 | 不適用 | 是 | Qualis VM 執行個體的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Qualis VM 執行個體的密碼。 |
| 要擷取的最低嚴重程度 | 整數 | 0 | 否 | 用於擷取偵測結果的最低嚴重程度。如果未提供任何內容,連接器會擷取所有偵測結果。最多 5 個。 |
| 狀態篩選器 | CSV | 新案件、處理中、重新開啟 | 否 | 連接器的狀態篩選器。如果未提供任何內容,連接器會擷取狀態為「New」、「Active」和「Reopened」的偵測結果。可能的值:NEW、ACTIVE、FIXED、REOPENED。 |
| 擷取遭忽略的偵測項目 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,連接器會擷取遭忽略的偵測結果。 |
| 擷取已停用的偵測項目 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,連接器會擷取已停用的偵測結果。 |
| 分組機制 | 字串 | 偵測 | 是 | 用於建立 Google SecOps 快訊的分組機制。可能的值:主機、偵測、無。 如果提供主機,連接器會建立 1 個 Google SecOps 快訊,其中包含與主機相關的所有偵測結果。 如果提供偵測結果,連接器會建立 1 個 Google SecOps 快訊,其中包含所有具有該偵測結果的主機相關資訊。 如果提供「無」或無效值,連接器會為每個主機的個別偵測結果建立新的 Google SecOps 快訊。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,請確認連線至 Qualys VMDR 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。