Qualys VMDR — przewodnik praktyczny

15 września 2025 28 minut czytania Autor: Kamil

Średniozaawansowany Qualys VMDR QRS Cloud Agent API

Czym jest VMDR i kiedy ma sens

Qualys VMDR łączy inwentarz zasobów, wykrywanie podatności, priorytetyzację ryzyka i wsparcie procesu remediacji. To narzędzie, które ma sens wtedy, gdy organizacja chce przejść od okazjonalnego skanowania do regularnego i mierzalnego programu vulnerability management.

Największa wartość VMDR:

ciągły widok zasobów i podatności,
spójne tagowanie i segmentacja środowisk,
priorytetyzacja w oparciu o ryzyko, nie tylko sam CVSS,
łatwiejsze przełożenie wyników technicznych na działania operacyjne.

Architektura rozwiązania

Cloud Platform — warstwa centralna, raportowanie, analityka i API,
Cloud Agent — lekki agent na hostach,
Scanner Appliance — skanowanie sieciowe i zewnętrzne,
Passive Sensor — dodatkowa widoczność ruchu tam, gdzie ma to sens.

appliance:
  cpu: 2-4 vCPU
  ram: 4-8 GB
  disk: 80+ GB
  network: 1 Gbps
egress:
  - tcp/443 do platformy Qualys
  - udp/53 do DNS
            

Szybki start

1. Uruchom skaner

Deploy Virtual Scanner Appliance Skonfiguruj IP i aktywację Połącz z odpowiednim regionem Qualys

2. Zainstaluj Cloud Agenta

sudo dpkg -i qualys-cloud-agent.deb sudo /usr/local/qualys/cloud-agent/bin/qualys-cloud-agent.sh ActivationId=AK-XXXX CustomerId=CID-YYYY msiexec /i "QualysCloudAgent.msi" /qn ACTIVATIONID=AK-XXXX CUSTOMERID=CID-YYYY

3. Zrób pierwszy baseline

scan_profile:
  name: "Baseline-Internal-Weekly"
  targets: ["10.0.10.0/24", "10.0.20.0/24"]
  ports: "default"
  performance: "normal"
  auth: false
  schedule: "Sun 01:00 Europe/Warsaw"
            

Tagowanie i inwentarz

Jeśli tagowanie jest słabe, raporty i SLA też będą słabe. To jeden z najważniejszych elementów całego wdrożenia.

tags:
  - name: "ENV:Production"
    rule: 'asset.operatingSystem CONTAINS "Server"'
  - name: "CRIT:Business-Critical"
    rule: 'asset.attributes["criticality"] = "high"'
  - name: "OWNER:ERP-Team"
    rule: 'asset.owner = "erp@firma.pl"'
            

Dobra praktyka: taguj według środowiska, krytyczności, właściciela i rodzaju systemu. To wystarcza, by sensownie filtrować większość pracy operacyjnej.

Profile skanów

Nie każdy system wymaga takiego samego poziomu intensywności. Zwykle warto rozdzielić profile szybkie i głębokie.

profiles:
  - name: "Fast-Discovery"
    ports: "top-1000"
    timeout: 20
    schedule: "Daily 23:00"
  - name: "Deep-Auth-Weekly"
    ports: "all"
    auth: true
    detection: "aggressive"
    schedule: "Sun 02:00"
            

Uwaga operacyjna: agresywnych profili nie uruchamiaj bez uzgodnionego okna. Wrażliwe systemy potrafią źle reagować nawet na poprawne skanowanie.

Skanowanie uwierzytelnione

To zwykle ten moment, w którym wyniki stają się naprawdę użyteczne. Cred scans pozwalają zobaczyć więcej niż sam skan z perspektywy sieci.

Windows — WMI i SMB,
Linux — SSH i odpowiednio ograniczone sudo,
Aplikacje i bazy — konta read-only tam, gdzie to potrzebne.

Windows:
  - TCP 135, 139, 445
  - dynamic RPC
Linux:
  - TCP 22
Qualys Cloud:
  - TCP 443
            

CVSS, QRS i interpretacja wyników

CVSS jest potrzebny, ale sam w sobie nie wystarcza. VMDR dodaje do tego kontekst biznesowy i operacyjny przez QRS.

CVSS:
0.1-3.9  Low
4.0-6.9  Medium
7.0-8.9  High
9.0-10   Critical

QRS:
funkcja(CVSS, exploitability, aktywność zagrożeń, krytyczność zasobu, ekspozycja)
            

vulnerabilities.severity: [4,5] and
asset.tags.name: "ENV:Production" and
vulnerabilities.lastDetected: [now-7d .. now]
            

Remediacja i SLA

Jeśli podatności nie trafiają do konkretnego właściciela z jasno określonym terminem, to bardzo łatwo zostają „na dashboardzie”.

itsm_rule:
  when:
    severity: [4,5]
    tags:
      - "ENV:Production"
  then:
    create_ticket:
      system: "ServiceNow"
      sla:
        sev5: "48h"
        sev4: "5d"
            

Praktyczny model: krytyczne luki w produkcji trafiają automatycznie do ticketów, a zamknięcie zadania wymaga potwierdzenia przez retest albo dane z agenta.

Dashboardy i raporty

dashboard zarządczy z trendem ryzyka,
dashboard techniczny z hostami i konkretnymi lukami,
raport SLA i wyjątki,
raport pokrycia agentami i aktualności danych.

- Weekly Executive Summary
- Patch Exceptions Report
- High-Risk Assets
- SLA Breaches
            

API i integracje

Największe korzyści pojawiają się wtedy, gdy VMDR staje się częścią większego procesu, a nie osobnym silosem danych.

curl -u "USER:PASS" \
  -H "X-Requested-With: Qualys API" \
  -d "action=list&truncation_limit=1000" \
  "https://qualysapi.qualys.com/api/2.0/fo/asset/host/"
            

import os, requests
BASE = os.getenv("QUALYS_URL", "https://qualysapi.qualys.com")
auth = (os.getenv("QUALYS_USER"), os.getenv("QUALYS_PASS"))
hdrs = {"X-Requested-With": "Qualys API"}
            

Najlepsze praktyki

najpierw porządne tagowanie, potem automatyzacja,
łącz skany agentowe z sieciowymi,
priorytetyzuj według ryzyka i krytyczności biznesowej,
mierz MTTR, SLA breach rate i pokrycie środowiska,
nie traktuj dashboardu jako celu samego w sobie.

Typowe problemy

brak danych z agentów przez egress albo proxy,
cred scans blokowane przez firewall lub brak odpowiednich uprawnień,
przeciążony skaner przy zbyt szerokim zakresie,
zbyt dużo szumu przez złe profile i brak filtrowania wyników.

Bezpieczeństwo wdrożenia

Nie skanuj „na próbę”. Zakres, okna serwisowe, typy systemów i reguły reakcji na incydent powinny być ustalone jeszcze przed pierwszym skanem.

Co dalej

Najlepiej zacząć od prostego modelu: tagi, agent, profil tygodniowy, podstawowe SLA i jeden dashboard dla zarządzania. Dopiero potem rozwijać automatyzację i integracje.

Powiązane materiały: Podstawy testów penetracyjnych oraz Python dla pentesterów.