素质 Cloud平台及其集成应用程序可以通过按需提供关键安全智能并自动化IT系统和Web应用程序的全面审计,遵守和保护来简化安全运营,降低合规成本。 Qualys扫描仪设备是Qualys云平台的选项。使用Qualys扫描仪设备,您可以轻松评估内部网络设备,系统和Web应用程序。这篇文章总结了来自Qualys扫描仪设备的Qualys Guard Service的一些经验。

卸载云代理/回收相关许可证

assetview.

1.1仪表板

一些自定义的小部件:

  • 身份验证失败的资产:漏洞.Vulnerability.qid:105015或漏洞.Vulnerability.qid:105053或漏洞.Vulnerability.qid:105296或漏洞.vulnerability.qid:105297
  • 未找到90天资产:在90天内没有标签“,并且激活圆形:”VM“
    • 标记规则:

<?XML版本=“1.0”编码=“UTF-8”?>
<TAG_CRITERIA>
 <LAST_SCAN_DATE>
  <SEARCH_TYPE>WITHIN</SEARCH_TYPE>
  <DAYS>90</DAYS>
 </LAST_SCAN_DATE>
</TAG_CRITERIA>

  • OS未标识资产:不操作系统:“Windows”而不是操作性系统:“HP”而不是操作系统:“RICOH”而不是操作性系统:“Linux”而不是操作性系统:“VMware”而不是操作系统:“Xerox”而不是操作系统: “思科”而不是操作系统:“电源”

YouTube视频:使用Qualys免费社区版扫描家庭网络

1.2标签

资产搜索 - 动态规则
在过去90天内搜索找到/扫描的所有资产:

<?XML版本=“1.0”编码=“UTF-8”?>
<TAG_CRITERIA>
 <LAST_SCAN_DATE>
  <SEARCH_TYPE>WITHIN</SEARCH_TYPE>
  <DAYS>90</DAYS>
 </LAST_SCAN_DATE>
</TAG_CRITERIA>

启用无代理跟踪

要减少/抑制由于DHCP而抑制重复的资产,有效的方法是启用无代理跟踪。

为了支持无代理的跟踪功能,QualySguard将在验证的扫描期间在具有无代理跟踪启用的经过身份验证的扫描期间在Windows和/或UNIX主机上编写唯一的主机ID。一旦Manager主触点接受此功能,可能在Windows和/或UNIX身份验证记录中启用无代理跟踪。有关其他帮助,请访问 网上帮助 .

2.1。 VM.> Scans > Setup > Agentless Tracking > Accept

2.2。 VM.> Scans > Authentication >编辑[您的身份验证记录]> Login Credentials >“启用无代理跟踪”

2.3。 VM.> Users > Setup > Cloud Agent Setup >“显示主机的统一视图”

注意:QID 45179成功检查跟踪
Qid 45180 - 失败

将IP跟踪的主机资产更改为DNS跟踪

素质提供多种机制,用于跟踪环境中的资产; IP,DNS,NetBIOS,代理和EC2。在Qualys中,IP跟踪是默认机制。 DNS和NetBIOS跟踪对DHCP网络最有用。

笔记:

要将所有IP跟踪方法计算机更改为DNS主机名跟踪,我需要搜索所有使用DNS名称的资产不是空的,跟踪方法是IP,然后将它们放入一个新组,以做任何您需要执行的操作,或者编辑所有他们要更改跟踪方法。
DNS跟踪问题:
如果您有一些主机无法由DNS服务器解析DNS主机名,则不会扫描它们。这是无法解析这些DNS主机名的屏幕截图。
解决方案:
您需要从DNS跟踪到IP跟踪手动更改它们。

净化资产超过90天

4.1手动吹扫
这个想法是找到过去90天内未扫描的所有资产,然后将它们清除。

4.2自动清除
从你的扫描 - >选项配置文件,启用选项可在死宿中关闭漏洞。

删除旧的/过时资产

  • 创建一个名为“topingebled”的资产组
  • 将所有可用IP添加到您的订阅中并保存AG
  • 现在转到资产搜索
  • 在ag“tobingeblead”上运行资产搜索。只需选择AG并点击搜索。这返回了在至少一次扫描的订阅中的所有IP的列表。 (如果它已被扫描 - 至少一次,则不是一个死宿者)。您可以修改此搜索以适应您的含义“死宿”
  • 在此资产搜索结果中,从“操作”菜单中选择“启动扫描”(请勿运行扫描,只需打开启动)选项“启动扫描”
  • 在“启动漏洞扫描”窗口中,复制目标IP范围
  • 现在返回资产组选项卡,然后选择编辑您创建的资产组,称为“tobingebleaed”
  • 在“编辑AG”窗口中,转到“IP”选项卡,单击“手动”单击。
  • 在手动条目IP窗口中,粘贴所复制的范围,然后单击“删除”
  • 现在再次保存资产组
  • 删除或执行任何您想要对IP列表中的任何事情删除“topingebleat”

最佳练习,以保持及时和有效的Qualys报告

素质社区:

1)清除在某些合理的天数未被扫描的任何资产。根据您的扫描计划,这可能是30,60或90天。
2)确定是否这是DHCP,并适当地设置网络范围的跟踪方法。注意:要转换为DNS或NetBIOS跟踪所有资产必须在它们上具有DNS或NetBIOS名称。因此,可能有一些清除和重新扫描所需的发生。
3)配置和测试身份验证记录,请确保在身份验证记录中启用无代理跟踪。
4)查看计划的扫描作业,并在选项配置文件,身份验证记录等中进行任何调整
5)扫描你的范围
6)具有定期吹扫过程总是一个很好的做法。这可以通过多种方式完成,但对于良好的VM实践,漏洞数据必须准确,及时和可操作。  

YouTube视频:

经过 jonny.

发表评论