Qualys 云 Platform及其集成的应用程序可通过按需提供关键的安全情报,并自动对IT系统和Web应用程序进行全面的审核,合规性和保护,从而简化安全操作并降低合规成本。 Qualys扫描仪设备是Qualys 云 Platform的一个选件。使用Qualys扫描仪设备,您可以轻松评估内部网络设备,系统和Web应用程序。 这篇文章总结了我使用Qualys Scanner Appliance的Qualys Guard服务的一些经验。

卸载Cloud Agent /回收相关许可证

资产视图

1.1仪表板

一些自定义的小部件:

  • 身份验证失败的资产: 漏洞qid:105015或漏洞qid:105053或漏洞qid:105296或漏洞qid:105297
  • 找不到90天资产: 不是tag.name:“在90天内发现”,而ActivateForModules:“ VM”
    • 标记规则:

<xml版本=“ 1.0”编码=“ UTF-8”?>
<TAG_CRITERIA>
 <LAST_SCAN_DATE>
  <SEARCH_TYPE>WITHIN</SEARCH_TYPE>
  <DAYS>90</DAYS>
 </LAST_SCAN_DATE>
</TAG_CRITERIA>

  • 操作系统未识别资产: 非操作系统:“ windows”,非操作系统:“ HP”,非操作系统:“ Ricoh”,非操作系统:“ 的Linux”,非操作系统:“ VMware”,非操作系统:“施乐”,非操作系统:“思科”,非操作系统:“电源”

YouTube视频:使用Qualys Free Community Edition扫描家庭网络

1.2标签

资产搜索-动态规则
搜索过去90天内找到/扫描的所有资产:

<xml版本=“ 1.0”编码=“ UTF-8”?>
<TAG_CRITERIA>
 <LAST_SCAN_DATE>
  <SEARCH_TYPE>WITHIN</SEARCH_TYPE>
  <DAYS>90</DAYS>
 </LAST_SCAN_DATE>
</TAG_CRITERIA>

启用无代理跟踪

为了减少/抑制由于dhcp而造成的重复资产,有效的方法之一是启用无代理跟踪。

为了支持无代理跟踪功能,在启用无代理跟踪的经过身份验证的扫描过程中,QualysGuard会在Windows和/或Unix主机上写入唯一的主机ID。 Manager的主要联系人接受此功能后,可以在Windows和/或Unix身份验证记录中启用无代理跟踪。如需其他帮助,请访问 网上帮助 .

2.1。虚拟机> Scans > Setup > Agentless Tracking > Accept

2.2。虚拟机> Scans > Authentication >编辑[您的验证记录]> Login Credentials >“启用无代理跟踪”

2.3。虚拟机> Users > Setup > 云 Agent Setup >“显示主机的统一视图”

注意:用于成功检查跟踪的QID 45179
QID 45180 –失败

将IP跟踪的主机资产更改为DNS跟踪

Qualys提供了多种机制来跟踪环境中的资产。 IP,DNS,NetBIOS,代理和EC2。在Qualys中,IP跟踪是默认机制。 DNS和NetBIOS跟踪对于DHCP网络最有用。

注意:

要将所有ip跟踪方法机器更改为dns主机名跟踪,我将需要搜索DNS名称不为空且跟踪方法为IP的所有资产,然后将它们放入新的组中以执行所需的操作,或编辑所有他们更改跟踪方法。
DNS跟踪问题:
如果您的某些主机的DNS服务器无法解析DNS主机名,则不会对其进行扫描。这是无法解析的DNS主机名的屏幕截图。
解:
您将需要手动将它们从DNS跟踪更改为IP跟踪。

清除超过90天的资产

4.1手动清除
这样做的目的是找到过去90天内未扫描的所有资产,然后清除所有资产。

4.2自动清除
从您的扫描->在“选项配置文件”中,启用“关闭死主机上的漏洞”选项。

删除旧的/过时的资产

  • 创建一个名为“ ToBeDeleted”的资产组
  • 在您的订阅中添加所有可用IP,然后保存AG
  • 现在转到资产搜索
  • 在AG“ ToBeDeleted”上运行资产搜索。只需选择AG并点击搜索即可。这将返回已至少扫描一次的预订中所有IP的列表。 (如果至少扫描了一次,则它不是死主机)。您可以修改此搜索以使其符合“ Dead host”的含义
  • 在此资产搜索结果中,选择所有IP,然后从操作菜单中选择“启动扫描”(不运行扫描,只需点击启动)选项
  • 在“启动漏洞扫描”窗口中,复制目标IP范围
  • 现在返回到“资产组”选项卡,然后选择以编辑您创建的称为“ ToBeDeleted”的资产组
  • 在[编辑AG]视窗中,前往[IP]标签,然后按一下[手动]。
  • 在手动输入IP窗口中,粘贴您复制的范围,然后单击“删除”
  • 现在再次保存您的资产组
  • 现在在“ ToBeDeleted”中删除IP列表或对IP列表执行任何操作

维护及时有效的质量报告的最佳实践

Qualys社区:

1)清除在合理的几天内未扫描的任何资产。 根据您的扫描计划,这可能是30、60或90天。
2)确定这是否是DHCP,并为网络范围适当地设置跟踪方法。 注意:要转换为DNS或NetBIOS跟踪,所有资产必须已经具有DNS或NetBIOS名称。 因此,可能需要进行一些清理和重新扫描才能实现此目的。
3)配置和测试身份验证记录,确保在身份验证记录中启用了无代理跟踪。
4)检查您计划的扫描作业,并在选项配置文件,身份验证记录等中进行必要的调整
5)扫描你的范围
6)定期进行清除过程始终是一个好习惯。 这可以通过多种方式实现,但是对于良好的虚拟机实践而言,至关重要的是,漏洞数据必须准确,及时且可操作。  

YouTube视频:

通过 约翰扬

发表评论