Qualys アセット コンテキスト ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、Qualys JSON ログからアセット コンテキスト情報を抽出し、UDM 形式に変換します。ID、IP、ホスト名、クラウド リソースの詳細、OS、タグなどのさまざまなフィールドを解析し、対応する UDM フィールドにマッピングして、アセットとリソースの間に関係を作成します。また、クラウド プロバイダとオペレーティング システムの特定のロジックを処理し、UDM で正確に表現できるようにします。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Google Cloudへの特権アクセス権があることを確認します。
- Qualys への特権アクセス権があることを確認します。
必要な API を有効にします。
- Google Cloud コンソールにログインします。
- [API とサービス] > [ライブラリ] に移動します。
- 次の API を検索して有効にします。
- Cloud Functions API
- Cloud Scheduler API
- Cloud Pub/Sub(Cloud Scheduler が関数を呼び出すために必要)
Google Cloud ストレージ バケットを作成する
- Google Cloud コンソールにログインします。
Cloud Storage バケットのページに移動します。
[作成] をクリックします。
バケットを構成します。
- 名前: バケット名の要件を満たす一意の名前を入力します(例: qualys-asset-bucket)。
- データの保存場所を選択する: ロケーションを選択します。
- データのストレージ クラスを選択する: バケットのデフォルトのストレージ クラスを選択するか、ストレージ クラスの自動管理に Autoclass を選択します。
- オブジェクトへのアクセスを制御する方法を選択する: [なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトのアクセス制御モデルを選択します。
- ストレージ クラス: ニーズに応じて選択します(Standard など)。
[作成] をクリックします。
Google Cloud サービス アカウントを作成する
- [IAM と管理] > [サービス アカウント] に移動します。
- 新しいサービス アカウントを作成します。
- わかりやすい名前を付けます(例: qualys-user)。
- 前の手順で作成した Cloud Storage バケットに対する ストレージ オブジェクト管理者ロールをサービス アカウントに付与します。
- サービス アカウントに Cloud Functions 起動元のロールを付与します。
- サービス アカウントのSSH キーを作成します。
- サービス アカウントの JSON キーファイルをダウンロードします。このファイルは安全に保管してください。
省略可: Qualys で専用の API ユーザーを作成する
- Qualys コンソールにログインします。
- [ユーザー] にアクセスします。
- [新規] > [ユーザー] をクリックします。
- ユーザーに必要な一般情報を入力します。
- [ユーザー役割] タブを選択します。
- ロールの [API アクセス] チェックボックスがオンになっていることを確認します。
- [保存] をクリックします。
特定の Qualys API URL を特定する
オプション 1
プラットフォームの特定で説明されているように、URL を特定します。
オプション 2
- Qualys コンソールにログインします。
- [ヘルプ] > [情報] に移動します。
- スクロールして、[セキュリティ オペレーション センター(SOC)] でこの情報を確認します。
- Qualys API の URL をコピーします。
Cloud Functions の関数を構成する
- Google Cloud コンソールで、[Cloud Functions] に移動します。
- [ファンクションを作成] をクリックします。
関数を構成します。
- 名前: 関数の名前を入力します(例: fetch-qualys-assets)。
- リージョン: バケットに近いリージョンを選択します。
- トリガー: 必要に応じて HTTP トリガーを選択します。スケジュール設定された実行の場合は Cloud Pub/Sub を選択します。
- 認証: 認証で保護します。
- インライン エディタでコードを記述します。
```python from google.cloud import storage import requests import base64 import json # Cloud Storage configuration BUCKET_NAME = "<bucket-name>" FILE_NAME = "qualys_assets.json" # Qualys API credentials QUALYS_USERNAME = "<qualys-username>" QUALYS_PASSWORD = "<qualys-password>" QUALYS_BASE_URL = "https://<qualys_base_url>" def fetch_qualys_assets(): auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode() headers = { "Authorization": f"Basic {auth}", "Content-Type": "application/xml" } payload = """ <ServiceRequest> <filters> <Criteria field="asset.name" operator="LIKE">%</Criteria> </filters> </ServiceRequest> """ response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/am/asset", headers=headers, data=payload) return response.json() def upload_to_gcs(data): client = storage.Client() bucket = client.get_bucket(BUCKET_NAME) blob = bucket.blob(FILE_NAME) blob.upload_from_string(json.dumps(data), content_type="application/json") def main(request): assets = fetch_qualys_assets() upload_to_gcs(assets) return "Data uploaded to Cloud Storage successfully!" ```構成が完了したら、[デプロイ] をクリックします。
Cloud Scheduler を構成する
- Google Cloud コンソールで、[Cloud Scheduler] に移動します。
- [ジョブを作成] をクリックします。
Job を構成します。
- 名前: ジョブの名前を入力します(例: trigger-fetch-qualys-assets)。
- 頻度: cron 構文を使用してスケジュールを指定します(例: 0 0 * * * は毎日午前 0 時)。
- タイムゾーン: 使用するタイムゾーンを設定します。
- トリガーのタイプ: [HTTP] を選択します。
- トリガー URL: Cloud Functions の関数の URL を入力します(デプロイ後に関数の詳細で確認できます)。
- メソッド: [POST] を選択します。
ジョブを作成します。
Qualys Asset Context のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前(例: Qualys Asset Context Logs)を入力します。
- [Source type] として [Google Cloud Storage] を選択します。
- [ログ タイプ] として [Qualys Asset Context] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- GCS URI: Cloud Storage URI。
- URI は: [単一ファイル] を選択します。
- ソース削除オプション: 必要に応じて削除オプションを選択します。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
ASSET_ID |
entity.entity.asset.asset_id |
ASSET_ID フィールドから直接マッピングされます。 |
CLOUD_PROVIDER |
entity.relations.entity.resource.resource_subtype |
CLOUD_PROVIDER フィールドから直接マッピングされます。 |
CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME |
entity.relations.entity.resource.attribute.labels.key |
CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME フィールドから直接マッピングされます。 |
CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE |
entity.relations.entity.resource.attribute.labels.value |
CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE フィールドから直接マッピングされます。 |
CLOUD_RESOURCE_ID |
entity.relations.entity.resource.id |
CLOUD_RESOURCE_ID フィールドから直接マッピングされます。 |
CLOUD_SERVICE |
entity.relations.entity.resource.resource_type |
CLOUD_SERVICE が「VM」の場合、値は「VIRTUAL_MACHINE」に設定されます。 |
DNS_DATA.HOSTNAME |
entity.entity.asset.hostname |
DNS_DATA.HOSTNAME フィールドから直接マッピングされます。 |
EC2_INSTANCE_ID |
entity.relations.entity.resource.product_object_id |
EC2_INSTANCE_ID フィールドから直接マッピングされます。 |
ID |
entity.entity.asset.product_object_id |
ID フィールドから直接マッピングされます。 |
IP |
entity.entity.asset.ip |
IP フィールドから直接マッピングされます。 |
METADATA.AZURE.ATTRIBUTE[].NAME |
entity.relations.entity.resource.attribute.labels.key |
METADATA.AZURE.ATTRIBUTE[].NAME フィールドから直接マッピングされます。 |
METADATA.AZURE.ATTRIBUTE[].VALUE |
entity.relations.entity.resource.attribute.labels.value |
METADATA.AZURE.ATTRIBUTE[].VALUE フィールドから直接マッピングされます。 |
OS |
entity.entity.asset.platform_software.platform |
OS に「windows」が含まれている場合(大文字と小文字は区別されません)、値は「WINDOWS」に設定されます。 |
TAGS.TAG[].NAME |
entity.relations.entity.resource.attribute.labels.key |
TAGS.TAG[].NAME フィールドから直接マッピングされます。 |
TAGS.TAG[].TAG_ID |
entity.relations.entity.resource.attribute.labels.value |
TAGS.TAG[].TAG_ID の値と連結された文字列「TAG_ID: 」。元のログの create_time フィールドからコピーされます。「ASSET」にハードコードされています。「QUALYS ASSET CONTEXT」にハードコードされています。「QUALYS ASSET CONTEXT」にハードコードされています。「RESOURCE」にハードコードされています。「MEMBER」にハードコードされています。未加工ログの create_time フィールドからコピーされます。 |
変更点
2023-08-01
- 「DNS_DATA.HOSTNAME」を「entity.entity.asset.hostname」にマッピングしました。
2023-07-18
- 新しく作成されたパーサー。