Qualys 자산 컨텍스트 로그 수집

다음에서 지원:

이 파서는 Qualys JSON 로그에서 애셋 컨텍스트 정보를 추출하여 UDM 형식으로 변환합니다. ID, IP, 호스트 이름, 클라우드 리소스 세부정보, OS, 태그와 같은 다양한 필드를 파싱하여 해당 UDM 필드에 매핑하고 애셋과 리소스 간의 관계를 만듭니다. 또한 파서는 클라우드 제공업체 및 운영체제의 특정 로직을 처리하여 UDM에 정확하게 표시합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Google Cloud에 대한 권한이 있는지 확인합니다.
  • Qualys에 대한 권한이 있는지 확인합니다.

필수 API 사용 설정:

  1. Google Cloud 콘솔에 로그인합니다.
  2. API 및 서비스 > 라이브러리로 이동합니다.
  3. 다음 API를 검색하여 사용 설정합니다.
    • Cloud Functions API
    • Cloud Scheduler API
    • Cloud Pub/Sub (Cloud Scheduler가 함수를 호출하는 데 필요)

Google Cloud 스토리지 버킷 만들기

  1. Google Cloud 콘솔에 로그인합니다.

  2. Cloud Storage 버킷 페이지로 이동합니다.

    버킷으로 이동

  3. 만들기를 클릭합니다.

  4. 버킷을 구성합니다.

    • 이름: 버킷 이름 요구사항을 충족하는 고유한 이름을 입력합니다 (예: qualys-asset-bucket).
    • 데이터 저장 위치 선택: 위치를 선택합니다.
    • 데이터의 스토리지 클래스 선택: 버킷의 기본 스토리지 클래스를 선택하거나 자동 스토리지 클래스 관리를 위해 자동 클래스를 선택합니다.
    • 객체 액세스를 제어하는 방식 선택: 아니요를 선택하여 공개 액세스 방지를 적용하고 버킷의 객체에 대한 액세스 제어 모델을 선택합니다.
    • 스토리지 클래스: 필요에 따라 선택합니다 (예: 표준).

  5. 만들기를 클릭합니다.

Google Cloud 서비스 계정 만들기

  1. IAM 및 관리자 > 서비스 계정으로 이동합니다.
  2. 새 서비스 계정 만들기
  3. 설명이 포함된 이름을 지정합니다 (예: qualys-user).
  4. 이전 단계에서 만든 Cloud Storage 버킷에 대한 스토리지 객체 관리자 역할을 서비스 계정에 부여합니다.
  5. 서비스 계정에 Cloud Functions 호출자 역할을 부여합니다.
  6. 서비스 계정의 SSH 키를 만듭니다.
  7. 서비스 계정의 JSON 키 파일을 다운로드합니다. 이 파일을 안전하게 보관하세요.

선택사항: Qualys에서 전용 API 사용자 만들기

  1. Qualys 콘솔에 로그인합니다.
  2. 사용자로 이동합니다.
  3. 새로 만들기 > 사용자를 클릭합니다.
  4. 사용자에게 필요한 일반 정보를 입력합니다.
  5. 사용자 역할 탭을 선택합니다.
  6. 역할에 API 액세스 체크박스가 선택되어 있는지 확인합니다.
  7. 저장을 클릭합니다.

특정 Qualys API URL 식별

옵션 1

플랫폼 식별에 설명된 대로 URL을 식별합니다.

옵션 2

  1. Qualys 콘솔에 로그인합니다.
  2. 도움말 > 정보로 이동합니다.
  3. 보안 운영 센터 (SOC)에서 이 정보를 확인하려면 스크롤하세요.
  4. Qualys API URL을 복사합니다.

Cloud 함수 구성

  1. Google Cloud 콘솔에서 Cloud Functions로 이동합니다.
  2. 함수 만들기를 클릭합니다.

  3. 함수를 구성합니다.

    • 이름: 함수의 이름을 입력합니다 (예: fetch-qualys-assets).
    • 리전: 버킷과 가까운 리전을 선택합니다.
    • 트리거: 필요한 경우 HTTP 트리거를 선택하거나 예약된 실행의 경우 Cloud Pub/Sub를 선택합니다.
    • 인증: 인증으로 보안을 강화합니다.
    • 인라인 편집기로 코드를 작성합니다.
    ```python
from google.cloud import storage
import requests
import base64
import json

# Cloud Storage configuration
BUCKET_NAME = "<bucket-name>"
FILE_NAME = "qualys_assets.json"

# Qualys API credentials
QUALYS_USERNAME = "<qualys-username>"
QUALYS_PASSWORD = "<qualys-password>"
QUALYS_BASE_URL = "https://<qualys_base_url>"

def fetch_qualys_assets():
    auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/xml"
    }
    payload = """
    <ServiceRequest>
        <filters>
            <Criteria field="asset.name" operator="LIKE">%</Criteria>
        </filters>
    </ServiceRequest>
    """
    response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/am/asset", headers=headers, data=payload)
    return response.json()

def upload_to_gcs(data):
    client = storage.Client()
    bucket = client.get_bucket(BUCKET_NAME)
    blob = bucket.blob(FILE_NAME)
    blob.upload_from_string(json.dumps(data), content_type="application/json")

def main(request):
    assets = fetch_qualys_assets()
    upload_to_gcs(assets)
    return "Data uploaded to Cloud Storage successfully!"

```

  4. 구성을 완료한 후 배포를 클릭합니다.

Cloud Scheduler 구성

  1. Google Cloud 콘솔에서 Cloud Scheduler로 이동합니다.
  2. 작업 만들기를 클릭합니다.

  3. 작업을 구성합니다.

    • 이름: 작업 이름을 입력합니다 (예: trigger-fetch-qualys-assets).
    • 빈도: cron 문법을 사용하여 일정을 지정합니다 (예: 매일 자정에 실행되는 경우 0 0 * * *).
    • 시간대: 원하는 시간대를 설정합니다.
    • 트리거 유형: HTTP를 선택합니다.
    • 트리거 URL: Cloud 함수의 URL을 입력합니다 (배포 후 함수 세부정보에서 확인 가능).
    • 메서드: 게시를 선택합니다.

  4. 작업을 만듭니다.

Qualys Asset Context 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다 (예: Qualys Asset Context Logs).
  4. 소스 유형으로 Google Cloud Storage를 선택합니다.
  5. 로그 유형으로 Qualys Asset Context를 선택합니다.
  6. 다음을 클릭합니다.

  7. 다음 입력 매개변수의 값을 지정합니다.

    • GCS URI: Cloud Storage URI입니다.
    • URI: 단일 파일을 선택합니다.
    • 소스 삭제 옵션: 원하는 삭제 옵션을 선택합니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.

  8. 다음을 클릭합니다.

  9. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
ASSET_ID entity.entity.asset.asset_id ASSET_ID 필드에서 직접 매핑됩니다.
CLOUD_PROVIDER entity.relations.entity.resource.resource_subtype CLOUD_PROVIDER 필드에서 직접 매핑됩니다.
CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME entity.relations.entity.resource.attribute.labels.key CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME 필드에서 직접 매핑됩니다.
CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE entity.relations.entity.resource.attribute.labels.value CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE 필드에서 직접 매핑됩니다.
CLOUD_RESOURCE_ID entity.relations.entity.resource.id CLOUD_RESOURCE_ID 필드에서 직접 매핑됩니다.
CLOUD_SERVICE entity.relations.entity.resource.resource_type CLOUD_SERVICE이 'VM'인 경우 값이 'VIRTUAL_MACHINE'으로 설정됩니다.
DNS_DATA.HOSTNAME entity.entity.asset.hostname DNS_DATA.HOSTNAME 필드에서 직접 매핑됩니다.
EC2_INSTANCE_ID entity.relations.entity.resource.product_object_id EC2_INSTANCE_ID 필드에서 직접 매핑됩니다.
ID entity.entity.asset.product_object_id ID 필드에서 직접 매핑됩니다.
IP entity.entity.asset.ip IP 필드에서 직접 매핑됩니다.
METADATA.AZURE.ATTRIBUTE[].NAME entity.relations.entity.resource.attribute.labels.key METADATA.AZURE.ATTRIBUTE[].NAME 필드에서 직접 매핑됩니다.
METADATA.AZURE.ATTRIBUTE[].VALUE entity.relations.entity.resource.attribute.labels.value METADATA.AZURE.ATTRIBUTE[].VALUE 필드에서 직접 매핑됩니다.
OS entity.entity.asset.platform_software.platform OS에 'windows'가 포함된 경우(대소문자 구분 안 함) 값이 'WINDOWS'로 설정됩니다.
TAGS.TAG[].NAME entity.relations.entity.resource.attribute.labels.key TAGS.TAG[].NAME 필드에서 직접 매핑됩니다.
TAGS.TAG[].TAG_ID entity.relations.entity.resource.attribute.labels.value TAGS.TAG[].TAG_ID 값과 'TAG_ID: ' 문자열을 연결했습니다. 원시 로그의 create_time 필드에서 복사됩니다. 'ASSET'으로 하드코딩됩니다. 'QUALYS ASSET CONTEXT'로 하드코딩됩니다. 'QUALYS ASSET CONTEXT'로 하드코딩됩니다. 'RESOURCE'로 하드코딩됩니다. '회원'으로 하드코딩되었습니다. 원시 로그의 create_time 필드에서 복사됩니다.

변경사항

2023-08-01

  • 'DNS_DATA.HOSTNAME'이 'entity.entity.asset.hostname'에 매핑되었습니다.

2023-07-18

  • 파서를 새로 만들었습니다.