Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de la supervisión continua de Qualys

Compatible con:

Google SecOps SIEM

Este código del analizador de Logstash primero extrae campos como la IP de origen, el usuario, el método y el protocolo de la aplicación de los mensajes de registro sin procesar con patrones de grok. Luego, asigna campos específicos de los datos de registro sin procesar a sus campos correspondientes en el modelo de datos unificados (UDM), realiza conversiones de tipos de datos y enriquece los datos con etiquetas y metadatos adicionales antes de estructurar el resultado en el formato de UDM deseado.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de tener acceso con privilegios a Google Cloud.
Asegúrate de tener acceso con privilegios a Qualys.

Habilita las APIs obligatorias:

Accede a la Google Cloud consola.
Ve a APIs y servicios > Biblioteca.
Busca las siguientes APIs y habilítalas:
- API de Cloud Functions
- API de Cloud Scheduler
- Cloud Pub/Sub (obligatorio para que Cloud Scheduler invoque funciones)

Crea un Google Cloud bucket de almacenamiento

Accede a la Google Cloud consola.
Ve a la página Buckets de Cloud Storage.

Ir a Buckets
Haz clic en Crear.
Configura el bucket:
- Nombre: Ingresa un nombre único que cumpla con los requisitos de nombre de bucket (por ejemplo, qualys-asset-bucket).
- Elige dónde almacenar tus datos: Selecciona una ubicación.
- Elige una clase de almacenamiento para tus datos: Selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento.
- Elige cómo controlar el acceso a los objetos: Selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.
Nota: Si la política de la organización de tu proyecto ya aplica la prevención del acceso público, la casilla de verificación Impedir el acceso público está bloqueada.
- Clase de almacenamiento: Elige según tus necesidades (por ejemplo, Estándar).
Haz clic en Crear.

Crea una cuenta de servicio de Google Cloud

Accede a la Google Cloud consola.
Ve a IAM y administración > Cuentas de servicio.
Cree una cuenta de servicio nueva
Asóciale un nombre descriptivo (por ejemplo, qualys-user).
Otorga a la cuenta de servicio el rol de Administrador de objetos de almacenamiento en el bucket de GCS que creaste en el paso anterior.
Otorga a la cuenta de servicio el rol de Invocador de Cloud Functions.
Crea una clave SSH para la cuenta de servicio.
Descarga un archivo de claves JSON para la cuenta de servicio. Protege este archivo.

Opcional: Crea un usuario de API dedicado en Qualys

Accede a la consola de Qualys.
Ve a Usuarios.
Haz clic en Nuevo > Usuario.
Ingresa la información general requerida para el usuario.
Selecciona la pestaña Rol del usuario.
Asegúrate de que el rol tenga seleccionada la casilla de verificación Acceso a la API.
Haz clic en Guardar.

Identifica tu URL específica de la API de Qualys

Opción 1

Identifica tus URLs como se menciona en la identificación de la plataforma.

Opción 2

Accede a la consola de Qualys.
Ve a Ayuda > Acerca de.
Desplázate para ver esta información en el Centro de operaciones de seguridad (SOC).
Copia la URL de la API de Qualys.

Configura la Cloud Function

Ve a Cloud Functions en la Google Cloud consola.
Haz clic en Crear función.

Configura la función:

Nombre: Ingresa un nombre para tu función (por ejemplo, fetch-qualys-cm-alerts).
Región: Selecciona una región cercana a tu bucket.
Entorno de ejecución: Python 3.10 (o el entorno de ejecución que prefieras)
Activador: Elige el activador de HTTP si es necesario o Cloud Pub/Sub para la ejecución programada.
Autenticación: Usa autenticación para proteger la información.
Escribe el código con un editor intercalado:

```python
from google.cloud import storage
import requests
import base64
import json

# Google Cloud Storage Configuration
BUCKET_NAME = "<bucket-name>"
FILE_NAME = "qualys_cm_alerts.json"

# Qualys API Credentials
QUALYS_USERNAME = "<qualys-username>"
QUALYS_PASSWORD = "<qualys-password>"
QUALYS_BASE_URL = "https://<qualys_base_url>"

def fetch_cm_alerts():
    """Fetch alerts from Qualys Continuous Monitoring."""
    auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/xml"
    }
    payload = """
    <ServiceRequest>
        <filters>
            <Criteria field="alert.date" operator="GREATER">2024-01-01</Criteria>
        </filters>
    </ServiceRequest>
    """
    response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/cm/alert", headers=headers, data=payload)
    response.raise_for_status()
    return response.json()

def upload_to_gcs(data):
    """Upload data to Google Cloud Storage."""
    client = storage.Client()
    bucket = client.get_bucket(BUCKET_NAME)
    blob = bucket.blob(FILE_NAME)
    blob.upload_from_string(json.dumps(data, indent=2), content_type="application/json")

def main(request):
    """Cloud Function entry point."""
    try:
        alerts = fetch_cm_alerts()
        upload_to_gcs(alerts)
        return "Qualys CM alerts uploaded to Cloud Storage successfully!"
    except Exception as e:
        return f"An error occurred: {e}", 500
```

Haz clic en Implementar después de completar la configuración.

Configura Cloud Scheduler

Ve a Cloud Scheduler en la Google Cloud consola.
Haz clic en Crear trabajo.
Configura el trabajo:
- Nombre: Ingresa un nombre para la tarea (por ejemplo, trigger-fetch-qualys-cm-alerts).
- Frecuencia: Usa la sintaxis cron para especificar el programa (por ejemplo, 0 * * * * para ejecutarse cada hora).
- Zona horaria: Establece tu zona horaria preferida.
- Tipo de activador: Elige HTTP.
- URL del activador: Ingresa la URL de Cloud Function (se encuentra en los detalles de la función después de la implementación).
- Método: Elige POST.
Nota: Si la autenticación está habilitada para la función, selecciona Cuenta de servicio y asegúrate de que la cuenta tenga el rol Invocador de Cloud Functions.
Crea el trabajo.

Configura un feed en Google SecOps para transferir los registros de supervisión continua de Qualys

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de supervisión continua de Qualys).
Selecciona Google Cloud Storage como el Tipo de fuente.
Selecciona Supervisión continua de Qualys como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: Es el Google Cloud URI de origen del bucket de almacenamiento.
- URI es un: selecciona Archivo único.
- Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.
Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de otorgar los permisos adecuados a la cuenta de servicio.
- Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
Alert.alertInfo.appVersion	metadata.product_version	Se asignan directamente desde `Alert.alertInfo.appVersion`
Alert.alertInfo.operatingSystem	principal.platform_version	Se asignan directamente desde `Alert.alertInfo.operatingSystem`
Alert.alertInfo.port	additional.fields.value.string_value	Se asigna directamente desde `Alert.alertInfo.port` y se agrega como un par clave-valor en `additional.fields` con la clave "Puerto de alerta".
Alert.alertInfo.protocol	network.ip_protocol	Se asignan directamente desde `Alert.alertInfo.protocol`
Alert.alertInfo.sslIssuer	network.tls.client.certificate.issuer	Se asignan directamente desde `Alert.alertInfo.sslIssuer`
Alert.alertInfo.sslName	additional.fields.value.string_value	Se asigna directamente desde `Alert.alertInfo.sslName` y se agrega como un par clave-valor en `additional.fields` con la clave "SSL Name".
Alert.alertInfo.sslOrg	additional.fields.value.string_value	Se asigna directamente desde `Alert.alertInfo.sslOrg` y se agrega como un par clave-valor en `additional.fields` con la clave "SSL Org".
Alert.alertInfo.ticketId	additional.fields.value.string_value	Se asigna directamente desde `Alert.alertInfo.ticketId` y se agrega como un par clave-valor en `additional.fields` con la clave "Ticket Id".
Alert.alertInfo.vpeConfidence	additional.fields.value.string_value	Se asigna directamente desde `Alert.alertInfo.vpeConfidence` y se agrega como un par clave-valor en `additional.fields` con la clave "VPE Confidence".
Alert.alertInfo.vpeStatus	additional.fields.value.string_value	Se asigna directamente desde `Alert.alertInfo.vpeStatus` y se agrega como un par clave-valor en `additional.fields` con la clave "VPE Confidence".
Alert.eventType	additional.fields.value.string_value	Se asigna directamente desde `Alert.eventType` y se agrega como un par clave-valor en `additional.fields` con la clave "Event Type".
Alert.hostname	principal.hostname	Se asignan directamente desde `Alert.hostname`
Alert.id	security_result.threat_id	Se asignan directamente desde `Alert.id`
Alert.ipAddress	principal.ip	Se asignan directamente desde `Alert.ipAddress`
Alert.profile.id	additional.fields.value.string_value	Se asigna directamente desde `Alert.profile.id` y se agrega como un par clave-valor en `additional.fields` con la clave "Profile Id".
Alert.profile.title	additional.fields.value.string_value	Se asigna directamente desde `Alert.profile.title` y se agrega como un par clave-valor en `additional.fields` con la clave "Profile Title".
Alert.qid	vulnerability.name	Se asignó como "QID: " de `Alert.qid`
Alert.source	additional.fields.value.string_value	Se asigna directamente desde `Alert.source` y se agrega como un par clave-valor en `additional.fields` con la clave "Alert Source".
Alert.triggerUuid	metadata.product_log_id	Se asignan directamente desde `Alert.triggerUuid`
Alert.vulnCategory	additional.fields.value.string_value	Se asigna directamente desde `Alert.vulnCategory` y se agrega como un par clave-valor en `additional.fields` con la clave "Vulnerability Category".
Alert.vulnSeverity	vulnerability.severity	Se asigna en función del valor de `Alert.vulnSeverity`: 1-3: BAJO, 4-6: MEDIO, 7-8: ALTO
Alert.vulnTitle	vulnerability.description	Se asignan directamente desde `Alert.vulnTitle`
Alert.vulnType	additional.fields.value.string_value	Se asignan directamente desde `Alert.vulnType` y se agregan como un par clave-valor en `additional.fields` con la clave "Vulnerability Type".
Host	principal.ip	Se analiza a partir de la línea de registro "Host: "
	edr.client.ip_addresses	Se copió desde `principal.ip`
	edr.client.hostname	Se copió desde `principal.hostname`
	edr.raw_event_name	Se establece en "STATUS_UPDATE" si están presentes `Alert.ipAddress`, `Alert.hostname` o `src_ip`; de lo contrario, se establece en "GENERIC_EVENT".
	metadata.event_timestamp	Se extrae de los campos `Alert.eventDate` o `timestamp`. Se prioriza `Alert.eventDate` si existe, de lo contrario, se usa `timestamp`. La marca de tiempo se convierte a UTC.
	metadata.event_type	Es la misma lógica que `edr.raw_event_name`.
	metadata.log_type	Se establece en "QUALYS_CONTINUOUS_MONITORING".
	metadata.product_name	Se establece en "QUALYS_CONTINUOUS_MONITORING".
	metadata.vendor_name	Se establece en "QUALYS_CONTINUOUS_MONITORING".
	network.application_protocol	Se analizó a partir de la línea de registro " /user HTTP"
	network.http.method	Se analizó a partir de la línea de registro " /user HTTP".
timestamp	event.timestamp	Se extrae de los campos `Alert.eventDate` o `timestamp`. Se prioriza `Alert.eventDate` si existe, de lo contrario, se usa `timestamp`. La marca de tiempo se convierte a UTC.

Cambios

2022-08-30

Sin embargo, el analizador se creó recientemente.