Traducido del inglés al español - www.onlinedoctranslator.

com

Detección y respuesta de gestión

de vulnerabilidades (VMDR)

Suplemento de tutorial de laboratorio

1
Tabla de contenido

SENSORES INTEGRALES ................................................ .................................................. ............................... 3

SPRODUCTO PARA CONSERVAR ACUMPLIMIENTO .................................................. .................................................. .................................................. ............ 3

DCARGA PROPIA CFUERTE ACABALLERO.................................................. .................................................. .................................................. .. 4
CONFIGURE ACABALLEROS PARA VMDR ................................................. .................................................. ........................................... 6
PAGASSIVE SENSOR.................................................. .................................................. .................................................. ..................... 9
CFUERTE CONECTOR.................................................. .................................................. .................................................. ............. 11
CCONTENEDOR SENSOR .................................................. .................................................. .................................................. ............ 12
CCONTENEDOR RUNTIME SSEGURIDAD.................................................. .................................................. ......................................... 13

INVENTARIO DE ACTIVOS DE TI GLOBAL .............................................. .................................................. ........................ 14

DYNAMIC RULE-BASED TAGS .................................................. .................................................. .............................................. 14

METROANAGED VS. UNMANAGED ASSETS.................................................. .................................................. ...................................15
UNIDENTIFICADO VS. UDESCONOCIDO .................................................. .................................................. .............................................dieciséis
CMDBSYNC .................................................. .................................................. .................................................. ......................... 17

GESTIÓN DE VULNERABILIDAD ................................................ .................................................. ................... 18

INFORME DE PRIORIZACIÓN DEL VMDR ............................................... .................................................. .................. 20

TABLEROS Y WIDGETS ................................................ .................................................. .............................. 24

TRABAJO DE DESPLIEGUE DE PARCHES ............................................... .................................................. ................................ 27

CREATE DEPLOYMENT Jtransmisión exterior.................................................. .................................................. .................................................. .28

CATÁLOGO DE PARCHES ................................................ .................................................. ................................................ 32

APÉNDICE A: APLICACIONES ADICIONALES DE VMDR ............................................ ....................................... 35

SSEGURIDAD CONFIGURACION AVALORACIÓN (SCA) ............................................... .................................................. ................ 35

CFUERTEVIEW&CFUERTE SSEGURIDAD AVALORACIÓN (CSA) ............................................... .................................................. ...... 36
CCONTENEDOR SSEGURIDAD (CS) ............................................... .................................................. .................................................. ..37
CERTVIEW (CERT) ............................................... .................................................. .................................................. ................ 39
CONTINUOMETROONITOREO (CM)............................................... .................................................. .......................................... 41
VMDR PORMETROOBILE DEVICES BETA ................................................. .................................................. ................................. 42

2
Sensores integrales
Qualys Sensors proporciona el enfoque más completo para recopilar todos sus datos de
inventario de activos y software.

Dispositivo de escáner
Cualquier usuario de Qualys con privilegios de escaneo tiene acceso al grupo de dispositivos de escaneo basados en
Internet de Qualys.

Los dispositivos de escáner virtual y basados en hardware de Qualys se pueden implementar en toda
su arquitectura comercial o empresarial.

Los dispositivos Qualys Virtual Scanner están disponibles para múltiples plataformas de virtualización:

Para obtener una descripción detallada de la implementación y el uso de Scanner Appliance, consulte el “Curso de
capacitación autodidacta sobre estrategias y mejores prácticas de escaneo” (qualys.com/learning).

3
Descarga Cloud Agent
Los agentes de Qualys Cloud se instalan localmente en los activos de host que protegen y envían todos los datos
recopilados a Qualys Cloud Platform para su análisis.

Los agentes de Qualys actualmente admiten varios sistemas operativos basados en Windows,
Mac, Linux y Unix.

Los agentes se pueden descargar de la aplicación Qualys Cloud Agent o de la página de

“Bienvenida” de VMDR.

Navegue a la siguiente URL para ver el tutorial "Descargar agente de nube":

Laboratorio 1 - http://ior.ad/7bZq

Pagina de bienvenida

La página de “Bienvenida” de VMDR le ofrece un lugar más para descargar e instalar agentes
de Qualys.

Aquí, encontrará los mismos archivos ejecutables de descarga y comandos de instalación, como los
encontraría dentro de la aplicación Qualys Cloud Agent.

4
Qualys Cloud Agent es compatible con varios sistemas operativos. Para obtener una lista completa de
los sistemas operativos compatibles, consulte la Guía de inicio del agente de Cloud:
https://www.qualys.com/docs/qualys-cloud-agent-getting-started-guide.pdf

Al implementar agentes desde la página de “Bienvenida” de VMDR, se utilizará la “Clave de activación de VMDR
predeterminada”.

Esta clave se genera automáticamente para las cuentas VMDR. Otras claves de activación que
haya creado se pueden ver y editar desde la aplicación "Cloud Agent".

Para obtener una descripción detallada de los pasos de instalación del agente, consulte el “Curso de capacitación a su propio ritmo para

agentes en la nube” (qualys.com/learning).

5
Configurar agentes para VMDR
Qualys Cloud Agent admite varias aplicaciones VMDR:
§ Inventario de activos (IA)

§ Gestión de vulnerabilidades (VM)

§ Evaluación de la configuración de seguridad (SCA) / Cumplimiento de políticas (PC)

§ Gestión de parches (PM)

Estos módulos de aplicaciones compatibles deben activarse para sus activos de host VMDR.
Navegue a la siguiente URL para ver el tutorial "Configurar agentes para VMDR":

Laboratorio 2 - http://ior.ad/7bZE

Pagina de bienvenida

La página de “Bienvenida” de VMDR proporciona otro lugar para configurar las claves de activación del agente
para VMDR.

Por lo general, esto reemplaza la opción de "Descargar el agente de la nube" para las cuentas que tienen
varias claves de activación.

6
Elija una clave y luego seleccione la opción "Actualizar" del botón "Acciones".

La clave se actualizará para incluir los módulos de aplicación VMDR requeridos (AI, PM, VM,
SCA).

Si bien VMDR incluye el módulo "Evaluación de la configuración de seguridad" (de forma predeterminada), las claves de
activación del agente se pueden actualizar para incluir el cumplimiento de políticas (PC) en lugar de SCA.

Estrategia de etiquetado de claves de activación

Las etiquetas de activos proporcionan una forma eficaz de asignar los activos de host de su agente a sus ajustes
de configuración, perfiles de evaluación y trabajos de parche adecuados.

A diferencia de las etiquetas dinámicas, las etiquetas estáticas "se adhieren" a sus sistemas de host. Una vez que se

asigna una etiqueta "estática" a un host de destino, permanecerá asignada a ese host, hasta que se elimine o reemplace

manualmente.

7
La naturaleza predecible o no dinámica de una etiqueta estática la hace especialmente útil para
rastrear los activos de host que se instalan desde la misma clave de activación.

Las mismas etiquetas de activos que se asignan a las claves de activación del agente se pueden utilizar para
asignar licencias de parcheo a hosts específicos y garantizar que los hosts del agente estén correctamente
asignados a su perfil de configuración, perfil de evaluación de parches y trabajos de parche adecuados.

Para obtener una descripción detallada de la configuración y el ajuste de los agentes, consulte el “Curso de capacitación a su propio

ritmo para agentes en la nube” (qualys.com/learning).

8
Sensor pasivo
El sensor pasivo Qualys opera en modo "promiscuo", capturando el tráfico de red y los
paquetes de un TAP de red o del puerto SPAN de un conmutador de red.

Simplemente implemente sensores pasivos en ubicaciones estratégicas de la red para comenzar a monitorear el
tráfico y las conversaciones de la red.

Están disponibles tanto dispositivos de sensores físicos (basados en hardware) como virtuales:

A la interfaz de gestión del dispositivo sensor se le asigna una dirección IP y debe

conectarse correctamente a Qualys Cloud Platform.

A la interfaz de rastreo no se le asigna una dirección IP y recibe tráfico de un TAP de red o del
puerto SPAN de un conmutador de red.

9
Una ventaja importante para capturar el tráfico de la red proviene de la
información adicional recopilada de las conversaciones de la red (conversaciones
entre hosts que se comunican).

Un sensor pasivo no solo recopila el tráfico de los activos de la empresa "administrados", sino que
también ve el tráfico de otros activos y servicios de host que intentan comunicarse con sus activos de
host "administrados" (incluidas las comunicaciones que provienen de activos desconocidos o "no
administrados") .

Para obtener más información y detalles sobre la implementación y el uso de sensores pasivos, consulte el “Curso
de capacitación autodidacta de gestión e inventario de activos de TI global” (qualys.com/learning).

10
Conector de nube
Cree conectores para sus cuentas de AWS, Google y Azure.

Enumere instancias de nube y recopile metadatos útiles como:

• Instancia o ID de máquina virtual

• Ubicación o región

• IP externas y privadas

• Software instalado y servicios activos y

• mucho más ...

Sugerencia de búsqueda: dentro de la aplicación Qualys Asset Inventory, use el token de consulta
"Inventory.source" para encontrar rápidamente instancias de AWS, Azure y Google:
• AWS - Inventory.source: INSTANCE_ID
• Azur - Inventory.source: VIRTUAL_MACHINE_ID
• Google - Inventory.source: GCP_INSTANCE_ID
Aproveche Qualys Cloud Security Assessment (CSA) para identificar y corregir
configuraciones incorrectas.

11
Sensor de contenedor
Qualys Container Sensor se instala en un host de Docker como una aplicación de contenedor,
junto con otros contenedores.

Una vez instalado, CS evaluará todas las imágenes y contenedores de Docker nuevos y existentes en busca
de vulnerabilidades (es decir, Qualys KnowledgeBase).

Tipos de sensores de contenedores:

• General: analiza los hosts de Docker.

• Registro: escanee imágenes en registros públicos o privados.

• Canalización de CI / CD: escanee imágenes dentro de la canalización de CI / CD (por ejemplo, Jenkins y Bamboo).

Para obtener más información y detalles sobre la implementación y el uso de Qualys Container Sensors, consulte el
“Curso de capacitación autodidacta sobre seguridad de contenedores” (qualys.com/learning).

12
Seguridad en tiempo de ejecución del contenedor

Qualys Container Runtime Security proporciona visibilidad y protección en tiempo de ejecución de contenedores
y le permite crear reglas o políticas para bloquear o prevenir activamente acciones o eventos no deseados
dentro de sus aplicaciones de contenedor.

Esto se logra mediante la instrumentación de imágenes con componentes de Container Security que
recopilan datos de comportamiento a nivel funcional sobre los procesos que se ejecutan dentro de un
contenedor.

Utilizamos un proceso de instrumentación nativo de la aplicación que proporciona una visibilidad completa
de la aplicación dentro del contenedor. La instrumentación es muy liviana y proporciona opciones de
recopilación de datos configurables con un impacto bajo o nulo en los contenedores de aplicaciones.

Luego, Container Security utiliza estos datos de comportamiento para monitorear la actividad del proceso, lo que le
permite aplicar políticas de seguridad y controles de seguridad personalizados, para bloquear eventos específicos o
intentos de actividades.

Container Runtime Security (CRS) se puede implementar para entornos de contenedores locales y
en la nube y es particularmente útil para proteger contenedores en un entorno CaaS donde la
infraestructura de host subyacente es administrada por un proveedor de servicios en la nube.

Actualmente, el instrumentador de Container Runtime Security admite los siguientes registros

de instrumentación:

• Registros públicos: Docker Hub

• Registros privados: v2-registro privado: JFrog Artifactory (seguro: auth + https)

13
Inventario global de activos de TI

La aplicación Qualys Asset Inventory (AI) recopila datos sin procesar de Qualys Sensors y luego
agrega su propia categorización, normalización y enriquecimiento.

Qualys proporciona categorías de Nivel 1 y 2 para activos de aplicaciones de hardware,

sistemas operativos y software.

Etiquetas dinámicas basadas en reglas

Qualys Asset Inventory proporciona varios motores de reglas para crear etiquetas de activos dinámicas.

El motor de reglas de "Inventario de activos" le permite crear etiquetas utilizando el lenguaje de consulta
Qualys y varios tokens de consulta, incluidos los tokens de categoría de hardware, SO y software.

Navegue a la siguiente URL para ver el tutorial "Etiquetas dinámicas basadas en reglas":

Laboratorio 3 - http://ior.ad/7dEg

14
Consultas de ejemplo

Para crear una etiqueta dinámica para sistemas de administración de bases de datos relacionales, use el motor de
reglas "Inventario de activos" con la siguiente consulta:

software: (categoría: Bases de datos / RDBMS)

El primer valor (bases de datos) está separado del segundo valor (RDBMS) por el símbolo de
barra (“/”).

Para crear la misma etiqueta exclusivamente para los activos del host "Servidor", utilice el motor de reglas "Inventario de
activos" con esta consulta modificada:

software: (categoría: bases de datos / RDBMS) y operatingSystem.category2: servidor

El operador booleano "Y" combina la consulta del ejemplo anterior con un token /
condición de consulta adicional. Los operadores booleanos Y, O y NO se pueden
aprovechar para crear consultas precisas y efectivas.

Activos administrados frente a activos no administrados

Con Qualys Passive Sensor, la aplicación Inventario de activos le ayudará a distinguir entre
activos de host gestionados y no gestionados.

Los activos administrados en su cuenta tendrán valores conocidos para (nombre de host, dirección IP, dirección
MAC, etc.). Los nombres de host, IP y direcciones MAC recién descubiertos se etiquetarán inicialmente como
nuevos o "No administrados".

15
No identificado vs. Desconocido
Los valores de SO y hardware de algunos activos pueden mostrarse como No identificado o
Desconocido. Esto es especialmente común dentro de la lista de "No administrado " activos.

No identificado

§ No se han descubierto / recopilado suficientes datos para que Qualys determine el

hardware o sistema operativo.

§ Para reducir la cantidad de activos no identificados en su cuenta, intente

realice análisis en modo "autenticado" y asegúrese de que los dispositivos de filtrado de red
permitan que pase el tráfico de análisis.

Desconocido

§ Existen datos adecuados para que Qualys categorice el activo, pero aún no se ha
catalogado.

§ Los laboratorios de Qualys procesan los activos para su análisis y categorización. Qualys
los investigadores revisan los datos y actualizan el catálogo a diario.

El Inventario global de activos de TI proporciona niveles de confianza (ALTO, MEDIO y BAJO) para las
detecciones de hardware y SO de activos no administrados.

Los nuevos datos recopilados pueden potencialmente fusionarse con los datos existentes solo cuando:

1. Tanto la dirección IP como la dirección MAC se han asociado correctamente, o

2. Tanto la dirección IP como el nombre de host se han asociado correctamente.

* * NOTA: Un solo activo puede tener potencialmente múltiples interfaces.

dieciséis
Sincronización de CMDB

Con la aplicación Qualys CMDB Sync, su ServiceNow CMDB puede servir como otra fuente de datos. Para
que funcione correctamente, la aplicación debe estar instalada en Qualys y ServiceNow. Una vez
instalados, los metadatos pueden moverse en ambas direcciones.

La sincronización de metadatos de activos se realiza solo para activos que ya se encuentran en Qualys y
ServiceNow (es decir, no para el descubrimiento de nuevos activos). ServiceNow CMDB puede beneficiarse de la
categorización, normalización y enriquecimiento de datos de Qualys.

Para obtener más información y detalles sobre la aplicación CMDB Sync, consulte la Guía del usuario de la
aplicación "Asset Inventory CMDB Sync": https://www.qualys.com/docs/qualys-asset-inventory-cmdb-sync.pdf

17
Gestión de vulnerabilidades
Los hallazgos de vulnerabilidad se pueden ver desde múltiples aplicaciones de Qualys, el Inventario Global de Activos
de TI también proporciona capacidades de respuesta.

Al ver los detalles de los activos desde la aplicación Inventario de activos, los hallazgos de
vulnerabilidad se muestran inicialmente gráficamente.

Los detalles específicos de la vulnerabilidad se pueden mostrar rápidamente con un clic del mouse.

Los niveles de gravedad de Qualys clasifican el impacto potencial o el resultado de una explotación exitosa
de la vulnerabilidad.

Los parches para vulnerabilidades específicas se pueden agregar a un trabajo de parche nuevo o existente,
directamente desde el Inventario de activos.

18
Qualys VMDR proporciona amplias herramientas y funciones para trabajar con vulnerabilidades,
incluidos widgets y paneles dinámicos, herramientas de búsqueda y consulta y el "Informe de
priorización".

Una vez que se recopilan los datos de evaluación requeridos de los escáneres y agentes de Qualys, la
sección VULNERABILIDADES de Qualys VMDR muestra su lista completa de vulnerabilidades
descubiertas junto con potentes capacidades de búsqueda y consulta.

Los trabajos de parche se pueden crear rápida y convenientemente para una lista específica de
vulnerabilidades de alto riesgo, lo que le permite implementar parches, según las vulnerabilidades que
realmente corrigen.

Navegue a la siguiente URL para ver el tutorial "Evaluación de vulnerabilidades":

Laboratorio 4 - http://ior.ad/7dEB

Después de seleccionar una o más vulnerabilidades parcheables, haga clic en la opción "Ver parches faltantes"
para comenzar automáticamente la creación de trabajos (dentro de la aplicación Patch Management).

No todas las vulnerabilidades se pueden parchear. Utilice la siguiente consulta para localizar vulnerabilidades que se
pueden parchear mediante el módulo PM de Qualys:

vulnerabilities.vulnerability.qualysPatchable: TRUE
Recuerde, la tarea de implementar y desinstalar parches requiere Qualys Cloud Agent
y el módulo Patch Management.

19
Informe de priorización de VMDR
Utilice el informe de priorización de VMDR para priorizar automáticamente las vulnerabilidades más
riesgosas para sus activos más críticos, reduciendo potencialmente miles de vulnerabilidades
descubiertas, a las pocas que importan.

Al correlacionar la información sobre vulnerabilidades con la inteligencia de amenazas y el contexto de los

activos, el Informe de priorización lo ayudará a "concentrarse" en las vulnerabilidades de mayor riesgo y
corregirlas rápidamente.

El informe de priorización de VMDR:

• Lo guía para identificar y corregir rápidamente sus vulnerabilidades de mayor riesgo. Le ayuda a

• encontrar el parche específico para corregir una vulnerabilidad en particular.

• Le permite identificar y remediar rápidamente las vulnerabilidades que tienen más

probabilidades de ser explotadas.

• Permite a los analistas de seguridad elegir los indicadores de amenazas relevantes

para su organización específica y única.

• Proporciona un flujo de trabajo integrado que reduce el tiempo entre la detección de

vulnerabilidades y la implementación del parche.

Navegue a la siguiente URL para comenzar el tutorial de “Priorización de VMDR”:

Laboratorio 5 - http://ior.ad/7dEE

Después de seleccionar una o más etiquetas de activos para especificar sus activos objetivo, las opciones de
priorización se proporcionan en tres categorías:

La edad: Priorice las vulnerabilidades por edad. La edad de detección es el número de días desde que se descubrió
la vulnerabilidad por primera vez (por ejemplo, por un escáner o un agente en la nube). La opción "Vulnerabilidad"
distribuirá las vulnerabilidades por edad real o real.

20
Indicadores de amenazas en tiempo real (RTI): Priorice las vulnerabilidades por sus amenazas conocidas y
existentes.

Combine varios indicadores de amenazas, utilizando los operadores "Coincidir con cualquiera" o "Coincidir
con todos". Las RTI se dividen en dos grupos: impacto potencial y amenazas activas.

21
Superficie de ataque: Elimine las vulnerabilidades del informe que no estén asociadas con un kernel en
ejecución, un servicio en ejecución activa y otros indicadores de superficie de ataque.

* * NOTA: Más de 300 vulnerabilidades en Qualys KnowledgeBase pueden mitigarse eficazmente

mediante la configuración. Para verlos, abra KnowledeBase y busque "No explotable debido a la
configuración".

Ejemplo: Habilite la autenticación de nivel de red (NLA) para evitar que atacantes no autenticados
aprovechen la vulnerabilidad "Seven Monkeys / BlueKeep" de Windows RDP (QID 91563). Con NLA
activado, un atacante primero tendría que autenticarse en los Servicios de escritorio remoto utilizando
una cuenta válida en el sistema de destino antes de que el atacante pudiera aprovechar la vulnerabilidad.

Una vez que haya seleccionado sus opciones de prioridad, haga clic en el botón "Priorizar ahora".

Los activos, vulnerabilidades y parches mostrados reflejarán las opciones de prioridad que
especifique.

22
A medida que continúa realizando ajustes en las opciones de prioridad, las vulnerabilidades y los
parches mostrados se ajustan automáticamente. Los parches se pueden implementar
individualmente o todos a la vez.

23
Cuadros de mando y widgets
Supervise continuamente los activos y las vulnerabilidades con cualquier número de paneles
y widgets "listos para usar", o cree sus propios paneles y widgets personalizados.

Navegue a la siguiente URL para comenzar el tutorial "Paneles y widgets":

Laboratorio 6 - http://ior.ad/7ena

Tipos de widgets

Los widgets están diseñados para mostrar los resultados de las consultas de forma gráfica. Hay cuatro opciones
gráficas diferentes:

Los widgets se actualizan automáticamente para reflejar los cambios en los datos y hallazgos de sus activos.

24
El widget de "recuento" se puede configurar para cambiar de color, a medida que los cambios en los activos y
los hallazgos de vulnerabilidad alcanzan umbrales específicos o condiciones especiales.

Una consulta de "referencia" en el widget de recuento es útil para comparar el conjunto de resultados de la
consulta "inicial" con algún tipo de control o punto de referencia. La diferencia entre los conjuntos de resultados
de ambas consultas se representa como un porcentaje.

En el ejemplo anterior, las vulnerabilidades de gravedad ALTA (Sev. 3, 4, 5) son actualmente alrededor del
94% de TODAS las vulnerabilidades (Sev. 1, 2, 3, 4, 5). El widget de "recuento" está configurado para
cambiar de su color base a rojo, cuando este porcentaje es superior al 50 por ciento.

25
Exportar al tablero
Exporte los resultados de cualquier informe de priorización de VMDR y monitorícelos como un widget.

Los resultados se actualizarán continuamente dentro del widget del panel.

26
Trabajo de implementación de parches

Si bien una evaluación de parches es útil para proporcionar una lista de parches "instalados" y
"faltantes", los "Trabajos de implementación" realizan las tareas de instalar parches en los activos de
host.

Navegue a la siguiente URL para ver el tutorial "Trabajo de implementación de PM":

Laboratorio 7 - http://ior.ad/7dVY

Antes de crear cualquier trabajo, deberá agregar hosts de agentes "parcheables" a la pestaña
"Licencias" (dentro de la sección CONFIGURACIÓN de la aplicación Patch Management).

Utilice Asset Tags para incluir activos de host para el consumo de licencias. El indicador de "Consumo
total" se actualiza con la cantidad de hosts de agentes etiquetados con las etiquetas incluidas.

27
Crear trabajo de implementación

Puede crear un "Trabajo de implementación" para los activos del host del agente a los que les faltan
parches. Actualmente, puede agregar un máximo de 2000 parches a un solo trabajo.

Si bien es común crear un trabajo desde la sección TRABAJOS, de la aplicación PM, los trabajos también se
pueden crear dentro de las secciones PARCHES y ACTIVOS.

Puede agregar activos a un trabajo por nombre de host o por etiqueta de activo. Si incluye más de una etiqueta de activo,
asegúrese de seleccionar un operador booleano apropiado (es decir, Cualquiera o Todo).

De forma predeterminada, el "Selector de parches" muestra los parches que están "Dentro del alcance" de los activos de

host a los que se dirige su trabajo.

Para una mayor eficacia de la aplicación de parches, considere la posibilidad de seleccionar parches que NO
hayan sido reemplazados ("isSuperseded: false") para eliminar parches antiguos y redundantes.

Los parches que muestran el símbolo requerirán reiniciar.

28
Si intenta agregar parches (a un trabajo existente) que ya están incluidos, recibirá
un mensaje de advertencia similar al siguiente:

No se agregarán parches duplicados a un trabajo.

Puede ejecutar trabajos a pedido o puede programar sus trabajos para que se ejecuten en una fecha y hora
futuras.

Programe trabajos para que se ejecuten una vez o se repitan de forma diaria, semanal o mensual.

Tiene la opción de configurar una "Ventana de revisión" (es decir, la opción "Establecer duración"), para ejecutar el trabajo de

implementación dentro de un período de tiempo específico.

Un trabajo mostrará el estado "Tiempo de espera agotado", si la instalación no se inicia dentro de la

ventana de parche especificada.

Seleccione la opción "Ninguno" para darle a un trabajo todo el tiempo que necesite.

29
Las opciones de comunicación de implementación y reinicio le permiten especificar el tipo de mensajes
"emergentes" que los usuarios finales recibirán antes, durante y después de la implementación del trabajo.

La configuración de "Aplazamiento" ofrece a los usuarios finales activos la opción de posponer el inicio de un
trabajo y posponer el reinicio del sistema (si es necesario).

Si ningún usuario ha iniciado sesión, el parche comenzará según lo programado y el reinicio comenzará
inmediatamente después de la implementación del parche.

La opción de "Habilitar descargas de parches oportunistas" potencialmente permite que los trabajos
programados ahorren tiempo al intentar descargar parches, antes de la ejecución del trabajo.

30
Se pueden agregar activos y parches a cualquier trabajo que esté "Deshabilitado".

Se pueden agregar activos y parches a un trabajo "recurrente", tanto antes como después de que esté
"habilitado".

Una vez que se completa la implementación del parche, se iniciará automáticamente otro análisis de
evaluación de parches y se actualizará la cantidad de parches faltantes e instalados para los hosts
afectados.

Utilice el menú "Acciones rápidas" para ver el progreso de cualquier trabajo.

31
Catálogo de parches
El catálogo de parches contiene decenas de miles de parches de aplicaciones y sistemas operativos.
Actualmente, puede agregar hasta 2000 parches a un solo trabajo.

Navegue a la siguiente URL para ver el tutorial "Catálogo de parches":

Laboratorio 8 - http://ior.ad/7eq0

De forma predeterminada, solo se muestran los parches más recientes (no reemplazados) y los que faltan. Esto se hace
para ayudarlo a concentrarse en los parches esenciales que requieren sus activos de host.

Para ver TODOS los parches en el catálogo, elimine (desmarque) las opciones de filtro "Falta" y "No
reemplazado" y luego haga clic en algún lugar fuera del menú desplegable "Filtros" (para actualizar
los parches mostrados).

32
 Busque rápidamente grupos específicos de parches en el Catálogo de parches, utilizando el panel
de búsqueda facetado de la izquierda.

Busque parches por:

• Familia de aplicaciones

• Vendedor

• Categoría

• Escribe

• Severidad del proveedor

• Requisitos de reinicio

Para consultas más sofisticadas, use Query Tokens y Qualys Query

Language (QQL) en el campo "Buscar", en la parte superior del Catálogo.

Cualquier consulta ingresada en el campo "Buscar" se verá afectada por las opciones de
filtrado actuales. Asegúrese de verificar las opciones de filtro, antes de
enviar consultas.

Escriba la siguiente consulta en el campo "Buscar" y presione la tecla "Entrar" o "Retorno":

downloadMethod: AcquireFromVendor
Los parches identificados con el ícono "en forma de llave", no pueden ser descargados por el Cloud Agent de
Qualys.

33
 isRollback: verdadero

Los parches "Revertir" del catálogo son candidatos para un trabajo de desinstalación. No todos los
parches se pueden desinstalar.

Los trabajos de parche también se pueden crear y actualizar desde la sección PATCHES de la
aplicación Patch Management.

Para obtener más información sobre la evaluación y la aplicación de parches, inscríbase en el curso “Capacitación a su propio

ritmo de administración de parches” (qualys.com/learning).

34
Apéndice A: Aplicaciones VMDR adicionales
Si bien este curso de capacitación “Descripción general de VMDR” se centra en cuatro aplicaciones de
Qualys (es decir, AI, VM, TP y PM), hay más aplicaciones de VMDR que abordan y mitigan las
vulnerabilidades y hacen cumplir las políticas de seguridad.

Evaluación de la configuración de seguridad (SCA)

Supervise y evalúe los controles técnicos de seguridad y las configuraciones incorrectas relacionadas con la seguridad.
Los escáneres y agentes de Qualys recopilan los puntos de datos necesarios para realizar evaluaciones de cumplimiento
del host.

Qualys SCA proporciona más de 400 políticas de referencia CIS para cientos de sistemas operativos y tecnologías
de aplicaciones. Todos los análisis de cumplimiento se realizan mediante la opción "Analizar por política".

Qualys SCA contiene un subconjunto de herramientas y funciones que se encuentran en la aplicación Qualys
Policy Compliance. Para obtener más información y detalles, consulte el Curso de capacitación autodidacta de
cumplimiento de la política de Qualys (qualys.com/learning).

35
Evaluación de seguridad de CloudView y Cloud (CSA)
Supervise y evalúe continuamente sus recursos PaaS / IaaS en busca de configuraciones incorrectas e
implementaciones no estándar.

Con Qualys Cloud Connectors y la aplicación Qualys CloudView, puede enumerar

sus instancias en la nube y recopilar metadatos de sus cuentas de AWS, Google
Cloud y Microsoft Azure:

Con Qualys Cloud Security Assessment (CSA) puede aprovechar las políticas "listas para usar" para evaluar
los controles técnicos e identificar errores de configuración relacionados con la seguridad para sus
cuentas de AWS, Azure y Google.

36
Seguridad de contenedores (CS)

La aplicación Qualys Container Security utiliza la misma base de conocimientos que Qualys VM y VMDR
para evaluar y detectar vulnerabilidades en las imágenes y los contenedores de Docker.

Qualys Container Sensor se descarga como una imagen de Docker y se instala en un host de Docker como
una aplicación de contenedor, junto con otras aplicaciones de contenedor.

Actualmente, existen 3 tipos diferentes de sensores de contenedor:

1. Un sensor general escaneará imágenes y contenedores en un solo host acoplable.

2. Un sensor de registro escaneará imágenes en registros Docker públicos y privados.

3. Un sensor de canalización de CI / CD (también denominado sensor de "compilación"), escanea imágenes

dentro de sus proyectos de canalización de CI / CD de DevOps, lo que le permite identificar y corregir
imágenes vulnerables durante el proceso de compilación. Actualmente se admiten integraciones con
Jenkins y Bamboo.

37
Otra característica de la aplicación Qualys Container Security es Container Runtime Security, que
proporciona visibilidad en tiempo de ejecución y protección en las aplicaciones de contenedores.

Esto se logra mediante la instrumentación de imágenes con componentes de Qualys Container Security,
para recopilar datos funcionales y de comportamiento sobre los procesos en ejecución del contenedor; lo
que le permite crear reglas y políticas que bloquean o evitan activamente acciones o eventos no deseados.

Por ejemplo, podría crear una política que prohíba el acceso a archivos confidenciales del sistema,
como los archivos shadow o passwd en un host Linux.

El proceso de instrumentación coloca algunos binarios en la imagen en la capa de seguridad. Este

proceso de instrumentación nativo de la aplicación proporciona una visibilidad completa de la aplicación
dentro del contenedor. La instrumentación es muy liviana y proporciona opciones de recopilación de
datos configurables con un impacto mínimo o nulo en el rendimiento de la aplicación.

38
CertView (CERT)
Qualys CertView proporciona visibilidad de los certificados y sus configuraciones, en toda
su red y arquitectura empresarial (local y basada en la nube).

CertView aprovecha los dispositivos de escáner de Qualys para recopilar todos los datos de certificación,
vulnerabilidad y configuración necesarios para el inventario y el análisis, lo que lo ayuda a identificar y
evitar que los certificados vencidos y vencidos interrumpan las funciones comerciales.

Qualys CertView también ofrece la posibilidad de inscribir o renovar certificados para evitar posibles
interrupciones del servicio.

La evaluación de certificados genera calificaciones de instancias de certificados que permiten a los administradores evaluar

rápidamente las configuraciones de SSL / TLS del servidor.

La evaluación de certificados identifica los certificados fuera de la política con firmas débiles o longitudes de
clave y le muestra cuántos certificados fueron emitidos por las autoridades de certificación (CA)

39
que han sido examinados y aprobados (según su política) y cuántos certificados están
autofirmados o fueron emitidos por CA que no han sido autorizadas para emitir certificados en
su entorno.

Para obtener más información y detalles, consulte la serie de videos Qualys Certificate View (
https://www.qualys.com/training/library/certview/).

40
Monitoreo continuo (CM)
Reciba alertas cuando se detecten nuevas amenazas y cambios inesperados en sus hosts, que
incluyen:

§ Nuevos hosts detectados dentro de su suscripción de Qualys.

§ Vulnerabilidades de alta gravedad y vulnerabilidades con exploits conocidos detectados.

§ Nuevos puertos y servicios detectados.

§ Se detectaron aplicaciones de software nuevas o inesperadas

§ Certificados SSL expirados o vulnerables

§ Tickets de remediación que están abiertos o cerrados

CM trabaja en conjunto con VM / VMDR:

§ Implemente dispositivos de escaneo de Qualys y / o active el módulo VM para implementar

Agentes Qualys.

§ Programe análisis de vulnerabilidades frecuentes o continuos.

Qualys CM evalúa las reglas frente a sus análisis de vulnerabilidades más recientes. Las alertas se generan tan
pronto como se procesan los resultados del análisis. Las reglas de los certificados se evalúan a diario y no se
basan en exploraciones.

Para obtener más información y detalles, consulte la serie de videos de monitoreo continuo
de Qualys (https://www.qualys.com/training/library/continuous-monitoring/).

41
VMDR para dispositivos móviles BETA
Qualys Secure Enterprise Mobility (SEM) proporciona visibilidad de sus dispositivos móviles mediante la
recopilación de su inventario y datos de configuración.

El inventario de dispositivos móviles de su empresa se agrega a la aplicación Qualys Global IT Asset

Inventory, lo que le brinda una mayor perspectiva de los dispositivos móviles administrados frente a
los no administrados (especialmente cuando se combinan con Qualys Passive Sensor).

Las evaluaciones de cumplimiento y vulnerabilidad de Qualys ayudan a mantener sus dispositivos móviles reforzados y

seguros. Las pruebas de evaluación de vulnerabilidades se proporcionan tanto para el sistema operativo como para las

aplicaciones.

Los ejemplos de evaluación de cumplimiento incluyen: código de acceso no presente, estado de

cifrado, acceso root no autorizado (rooteado), etc.

Con Qualys SEM, puede realizar operaciones activas del dispositivo, como bloquear una pantalla o
localizar un dispositivo perdido.

42