Qualys와 통합하려면 Qualys 사용자에게 관리자 역할 또는 전체 scope 있는 읽기 권한자 역할의 기본 자격 증명을 제공해야 합니다.
Qualys 구성
- Qualys 통합을 설정하려면 Qualys instance API_URL(예: "qualysapi.qg1.apps.qualys.co.uk")이 필요합니다. 여기에서 찾을 수 있습니다.
- 찾을 수 없는 경우:
- Qualys 계정에 로그인합니다.
- 도움말 → 정보로 이동합니다.
- SOC( 보안 운영 센터 )에 필요한 정보가 표시됩니다.
- 찾을 수 없는 경우:
- 커넥터에서 데이터를 성공적으로 검색하려면 자산 읽기 권한이 있는 사용자의 자격 증명이 필요합니다. 읽기 자산 역할을 사용하여 사용자를 만들려면 다음을 수행합니다.
- Qualys에 로그인합니다.
- 관리 영역으로 이동합니다.
- 역할 관리 섹션으로 이동합니다.
- 새 역할을 선택합니다.
- 역할 이름(예: "자산 읽기")을 제공합니다.
- 역할 권한의 경우 API 액세스를 검사.
- 모듈 드롭다운에서 자산 보기를 선택합니다.
- 사용 권한을 제한하려면 자산 보기 선택한 모듈 내에서 변경 옵션을 선택합니다.
- 적어도 자산 관리 권한에서 자산 읽기를 사용하도록 설정해야 합니다.
- 새로 만든 역할을 노출 관리 Qualys 커넥터에서 인증하려는 사용자에게 추가합니다.
- 관리에서 사용자관리로 이동합니다.
- 노출 관리 Qualys 커넥터를 사용하여 온보딩한 사용자를 선택하고 편집을 선택합니다.
- 역할 및 범위에서 이전 섹션에서 만든 읽기 자산 역할을 사용자 할당 역할에 추가합니다.
- scope 편집에서 모든 개체에 대한 사용자 보기 액세스 허용을 선택하여 이 사용자의 전체 scope 허용합니다.
- 사용자에게 자산 읽기 역할 할당을 저장합니다.
노출 관리에서 Qualys 연결 설정
노출 관리에서 Qualys와의 연결을 설정하려면 다음 단계를 수행합니다.
- 노출 관리 탐색에서 데이터 커넥터 를 열고 Qualys 타일에서 연결을 선택합니다.
- Qualys API URL 및 인증 자격 증명을 입력하고 연결을 선택합니다.
검색된 데이터
Qualys 커넥터는 컴퓨터 및 가상 머신을 비롯한 컴퓨팅 디바이스의 데이터와 해당 자산에 대한 Qualys의 취약성 결과를 검색합니다. 또한 일부 네트워킹 데이터를 검색하여 해당 디바이스를 식별합니다.
| 범주 | 속성 |
|---|---|
| 자산/디바이스 | - 게이트웨이 주소 - FQDN -IP 주소 - MAC 주소 - OS 정보 - Qualys 중요도 데이터 |
| 취약성 조사 결과 | Qualys는 수집하는 자산에 대한 CVE 결과를 검색합니다. |
Qualys 데이터 커넥터 문제 해결
Qualys 커넥터를 구성할 때 발생할 수 있는 몇 가지 일반적인 문제와 resolve 방법에 대한 제안 사항은 다음과 같습니다.
| 오류 유형 | 문제 해결 작업 |
|---|---|
| 오류 코드 401: 권한 부여 실패 | 권한 부여 실패는 자격 증명이 올바르지 않거나 Qualys 데이터에 액세스할 수 있는 권한이 충분하지 않을 수 있음을 나타냅니다. 자격 증명을 확인하고 자격 증명이 올바르고 유효한지 확인합니다. 또한 자격 증명에 필요한 권한이 검사. 적절한 역할 및 scope 할당하는 방법에 대한 자세한 내용은 Qualys 구성 섹션을 참조하세요. 다음을 실행하여 사용자 자격 증명의 유효성을 검사할 수 있습니다. curl -u "user:password" -H "X-Requested-With: Curl" -X "POST"-d "action=list" "https://qualysapi.qg1.apps.qualys.ca/qps/rest/2.0/search/am/hostasset" "" >output.txt |
| 오류 코드 409: 사용 권한이 부족할 수 있습니다. | Qualys 커넥터는 특정 권한이 필요한 knowledge_base API를 활용합니다.
자세한 내용은 이 Qualys API 문서의 KnowledgeBase 섹션에서 확인할 수 있습니다. 제공된 사용자에게 충분한 권한이 있는지 확인하려면 다음 명령을 실행하고 성공했는지 확인합니다. curl -u "user:password" -H "X-Requested-With: Curl" -X "POST"-d "action=list""https://qualysapi.qg1.apps.qualys.ca/api/2.0/fo/knowledge_base/vuln/>output.txt 실패하는 경우 Qualys 설명서를 참조하여 완화합니다. |
| 오류 코드 403: 액세스 금지 오류 | 이 오류는 제공된 자격 증명에 요청된 API를 실행하는 데 필요한 권한이 없음을 나타냅니다. 구성 섹션에 설명된 대로 적절한 권한으로 자격 증명을 업데이트하고 최소한 자산 읽기 권한이 있는지 확인합니다. |
| 오류 코드 404: 찾을 수 없음 오류 | 이 오류는 요청된 엔드포인트에 연결할 수 없음을 나타냅니다. Qualys API 엔드포인트가 올바른지 확인합니다. 자세한 내용은 구성 섹션 을 참조하세요. |
| 오류 코드 429 '요청이 너무 많음' | 시스템은 구성된 외부 공급자로부터 데이터를 주기적으로 끌어오며, 동시 요청 수에 제한이 있을 수 있습니다. 이 제한에 도달하지 않도록 커넥터에 대한 전용 사용자 또는 계정을 만드는 것이 좋습니다. |
| '임시 연결 끊김' 또는 '임시 오류' 오류 메시지 | 이 오류 메시지가 추가 정보 없이 표시되는 경우 커넥터 구성(API 엔드포인트 및 자격 증명)을 확인합니다. 유효하고 문제가 자체적으로 resolve 않는 경우 지원에 문의하세요. |
| 수집된 데이터에서 Qualys에서 보고한 내 자산 또는 취약성이 표시되지 않음 | Qualys 커넥터 에서 검색할 것으로 예상되는 데이터에 대한 설명은 검색된 데이터를 참조하세요. 여전히 누락된 데이터가 있는 경우 지원에 문의하세요. |
| 노출 관리 커넥터가 Qualys에 액세스할 수 있도록 Qualys 허용 IP를 구성해야 합니다. | 허용 목록에 추가할 IP 집합을 추가하는 방법을 읽어보세요. 허용 목록 IP 주소입니다. |
다음 단계
Qualys 데이터 커넥터를 구성한 후:
- 공격 표면 맵을 검토 하여 Qualys 데이터를 확인합니다.
- 보안 권장 사항 살펴보기
- 수정 진행 상황을 추적하기 위한 보안 이니셔티브 설정