Compte-rendu 9 Mars à Paris : la FAQ des utilisateurs

Document created by Leif Kremkow Employee on Mar 9, 2017Last modified by Leif Kremkow Employee on May 10, 2017
Version 5Show Document
  • View in full screen mode

Ce matin nous avons accueilli quelques clients autour d'un café-croissant. Nous avons eu le plaisir de répondre à de nombreuses questions autour de la plate-forme Qualys. Voici en quelques lignes le résumé de  nos échanges.

 

Q : Je suis en surconsommation - comment faire pour réduire la voilure ?

R : Si vous avez lancé plus de scans que prévu et avez obtenu plus de résultats de scan que votre contrat ne le prévoyait, pas de panique, vous pouvez supprimer les résultats de scans qui sont de trop par rapport à votre ce que votre contrat autorise.
Voir également la question suivante pour une explication des méthodes de calculs pour le module Vulnerability Management.

 

Il existent deux méthodes de suppression : Purge et Remove.
screenshot of Assets, Remove

screenshot of Asset Search, PurgeRemove IPs : cette fonction supprimera entièrement les IP sélectionnées du compte. Les données associées ou obtenues lors des scans précédents des IP concernées seront également supprimées. Les IP seront supprimées des Asset Groups dans lesquels ils pourraient figurer. Les recherches par Tag qui auraient inclu les IP concernées ne les afficheront plus. Les prochains scan ne les incluront pas.
Attention cette action est irreversible : la suppression est définitive !

 

Purge : seuls les résultats de scans seront supprimés - les IPs restent cependant dans les Asset Groups est conservent leur Tags. Ainsi lors d'un prochain scan ils sont susceptibles d'être de nouveau inclus.

 

Si une partie du réseau a été incluse dans le périmètre de Qualys et des scans contre des équipements hors projets ont été inclus alors la méthode "Remove" est à privilégier.

 

La méthode Purge est adaptée lorsque beaucoup de machines ont été incluses dans les scans alors que les cibles n'étaient que temporaires (banc de tests, mission de consultants, etc.) et qu'elles sont donc à supprimer. Cette méthode est aussi adaptée si vous souhaitez continuer à balayer les plages d'adresses concernées au cas où de nouvelles cibles réapparaîtraient.

 

 

Q: Quelle est la difference entre Unique Hosts et IPs in Subscription ?

R : Dans Qualys il existe deux compteurs pour suivre votre consommation. Par défaut, nous ouvrons les comptes avec un quota d'adresses IP qui correspond au nombre d'adresses IP contractualisées. Ce chiffre est visible dans Account Info "IPs Purchased". Afin de pouvoir lancer des scans contre des cibles, vous devez renseigner ces cibles dans Qualys, rubrique "Assets". L'indicateur "IPs in Subscription" est la somme du nombre d'adresses que vous avez renseignées dans votre compte.

screenshot of Account Info

Dans certaines situations Qualys peut désactiver le blocage automatique pour que le nombre d'adresses enregistrées ("IPs in Subscription") ne dépasse pas le nombre d'adresses souscrites ("IPs Purchased"). Dans ce cas nous suivons "Unique Hosts Scanned".

 

L'indicateur "Unique Hosts Scanned" prend en compte les cibles qui peuvent avoir des adresses différentes durant leur vie mais ne changent pas de nom. Typiquement, on retrouve cette situation dans des environnements avec DHCP. La cohérence entre scans est ainsi préservée, ce qui permet de produire des rapports d'évolution du périmètre dans le temps, même si les adresses, elles, changent.

 

Q: Mes équipes préfèrent recevoir des notifications de scan personnalisées, comment faire ?

R: Suite au scan, Qualys envoie une notification par e-mail  pour transmettre une synthèse de résultat. Plusieurs options de notifications sont possibles via "Scan Summary Notification" et "Scan Complete Notification".

screenshot of Edit User OptionsCes notifications sont globales et certains utilisateurs peuvent les recevoir alors que ces notifications ne les concerne pas. Afin de proposer une granularité maximale et de contrôler l'envoi des notifications, les événements de scan peuvent disposer d'une configuration personnalisée.

screenshot of Scheduled Scan Notification

 

Q: Quel usage de Tags dans VM, et quelle utilité des Asset Groups dans WAS ?

R: Les Tags sont une hiérarchie/arborescence de marqueurs qui est partagée entre les modules VM et WAS, voire également avec les autres modules Qualys. Mais attention,  les ressources qui portent des marqueurs (addresses IP, URL d'applications web, …) ne se comportent pas toujours de la même façon d'un module à l'autre.

 

Fonction/OutilAsset GroupsTags
définition du périmètre pour le lancement d'un scan VM
définition du périmètre pour le lancement d'un scan WAS
définition du périmètre pour la production de rapport sur résultats VM
définition du périmètre pour la production de rapport sur résultats WAS
control d'accès des utilisateurs vis à vis des IP dans VM
control d'accès des utilisateurs vis à vis des URL dans WAS

En résumé :

  • Dès aujourd'hui vous pouvez faire quasiment tout avec les Tags entre VM et WAS, à l'exception du contrôle d'accès dans VM. Ainsi, pour les clients qui travaillent exclusivement avec WAS, ils ne peuvent passer des Asset Groups.
  • Les clients qui travaillent exclusivement avec VM peuvent utiliser les Asset Groups seulement pour le contrôle d’accès et faire le levier des Tags pour avoir la souplesse du reporting que celui-ci apportent.
  • Pour les clients qui utilisent les deux (VM et WAS) il est conseillé d'harmoniser la démarche entre les deux fonctions (Asset Groups et Tags) pour maintenir une convention des noms, assurer l'utilité et le rôle de chaque objet, et éviter les doublons ou les fuites entre périmètres internes.

 

Q : Quelle est l'importance du propriétaire d'une Application Web dans WAS?

R: Dans le module VM les utilisateurs ont l'habitude que les Business Unit Managers aient la possibilité d'ajouter des cibles à leur périmètre. Toute nouvelle cible (IP) sera invariablement ajoutée aux Asset Groups qui définissent la Business Unit (voir "Configuration Recommendation for Business Units"). Dans le module WAS ce n'est pas le cas. Ainsi, il se peut que des sous-utilisateurs -qui ont la possibilité d'ajouter des applications web- les ajoutent en doublon. En effet, ils n'auront pas obligatoirement un Tag attribué, et ne verront pas les applications dans le compte.

Tag access control explained

On voit l'importance d'attribution du bon Tag sur un objet WAS car "Application C" et "Application F" peuvent très bien être la même cible, mais comme le tag "Beta" manque sur "Application C" ou "Application F", Bob et Alice ne partagent pas la même cible.

 

Q: Peut-on consolider plusieurs failles découvertes par Qualys dans un seul ticket lors de notre reporting ?

R: Qualys dispose d'un système de ticketing sous le nom Remediation dans Qualys VM. Un tel outil n'existe pas dans WAS tant bien que WAS est en mesure de conserver l'état d'une faille découverte tel que "Ignored" ou "Closed". Cependant, Qualys ouvre un incident/ticket pour chaque occurrence de faille. Par exemple, si une faille est découverte sur une service web Apache sur les ports 80, 443, 8080, et 8433, il y aura 4 remontées du même problème dans VM.

 

Nos clients sont souvent organisés par le changent qui découle d'une remontée de défaillance. Ainsi, pour l'exemple donné ci-dessus, la demande de changement interne n'est pas pour 4 changements, mais pour un changement du serveur Apache. D'une manière similaire, si le problème concerne un correctif Windows, ce changement n'est pas identifié selon le nombre de postes utilisateurs Windows chez nos clients, mais selon 1 patch Microsoft qui sera distribué par SCCM/WSUS.

 

Aujourd'hui Qualys ne propose pas une consolidation native dans l'interface. En revanche, nous nous appuyons sur des middleware qui interface le service Qualys avec les services de gestion de changement interne. Par exemple, un connecteur sur l'API de Qualys qui construit des tickets pour les injecteur dans le JIRA du client.

 

Q: Quels sont les formations que propose Qualys ?

R: Qualys propose aujourd'hui des formations gratuites et certifiantes. Nous faisons des sessions mensuelles sur Paris-La Défense et partout dans le monde. Nous avons aussi des sessions de eLearning. Plus d'informations (planning, sujets, inscriptions).

 

Ce déjeuner s'inscrit dans une série de rencontres entre utilisateurs, organisé par Qualys, afin de faciliter l'échange sur et autour du sujet "Qualys". Voir l'agenda de 2017 pour davantage d'informations.

Attachments

    Outcomes