Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Qualys Continuous Monitoring

Supportato in:

Google SecOps SIEM

Questo codice del parser Logstash estrae innanzitutto campi come IP di origine, utente, metodo e protocollo dell'applicazione dai messaggi di log non elaborati utilizzando i pattern Grok. Poi mappa campi specifici dai dati non elaborati dei log ai campi corrispondenti nel modello di dati unificato (UDM), esegue conversioni di tipo di dati e arricchisce i dati con etichette e metadati aggiuntivi prima di strutturare l'output nel formato UDM desiderato.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di disporre dell'accesso con privilegi a Google Cloud.
Assicurati di disporre dell'accesso privilegiato a Qualys.

Abilita le API richieste:

Accedi alla Google Cloud console.
Vai ad API e servizi > Libreria.
Cerca le seguenti API e abilitale:
- API Cloud Functions
- API Cloud Scheduler
- Cloud Pub/Sub (obbligatorio per Cloud Scheduler per richiamare le funzioni)

Crea un Google Cloud bucket di archiviazione

Accedi alla Google Cloud console.
Vai alla pagina Bucket Cloud Storage.

Vai a Bucket
Fai clic su Crea.
Configura il bucket:
- Nome: inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket (ad esempio qualys-asset-bucket).
- Scegli dove archiviare i tuoi dati: seleziona una località.
- Scegli una classe di archiviazione per i tuoi dati: seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica delle classi di archiviazione.
- Scegli come controllare l'accesso agli oggetti: seleziona No per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.
Nota: se la prevenzione dell'accesso pubblico è già applicata dal criterio dell'organizzazione del progetto, la casella di controllo Impedisci accesso pubblico è bloccata.
- Classe di archiviazione: scegli in base alle tue esigenze (ad esempio Standard).
Fai clic su Crea.

Creare un account di servizio Google Cloud

Accedi alla Google Cloud console.
Vai a IAM e amministrazione > Account di servizio.
Crea un nuovo account di servizio.
Assegna un nome descrittivo (ad esempio qualys-user).
Concedi all'account di servizio il ruolo Amministratore oggetti archiviazione nel bucket GCS creato nel passaggio precedente.
Concedi all'account di servizio il ruolo Invoker di Cloud Functions.
Crea una chiave SSH per l'account di servizio.
Scarica un file della chiave JSON per l'account di servizio. Tieni questo file al sicuro.

(Facoltativo) Crea un utente API dedicato in Qualys

Accedi alla console Qualys.
Vai a Utenti.
Fai clic su Nuovo > Utente.
Inserisci le Informazioni generali richieste per l'utente.
Seleziona la scheda Ruolo utente.
Assicurati che per il ruolo sia selezionata la casella di controllo Accesso API.
Fai clic su Salva.

Identifica l'URL API Qualys specifico

Opzione 1

Identifica i tuoi URL come indicato nell'identificazione della piattaforma.

Opzione 2

Accedi alla console Qualys.
Vai a Guida > Informazioni.
Scorri per visualizzare queste informazioni in Security Operations Center (SOC).
Copia l'URL dell'API Qualys.

Configura la Cloud Function

Vai a Cloud Functions nella Google Cloud console.
Fai clic su Crea funzione.

Configura la funzione:

Nome: inserisci un nome per la funzione (ad esempio fetch-qualys-cm-alerts).
Regione: seleziona una regione vicina al tuo bucket.
Runtime: Python 3.10 (o il runtime che preferisci).
Trigger: scegli l'attivatore HTTP, se necessario, o Cloud Pub/Sub per l'esecuzione pianificata.
Autenticazione: per la sicurezza, utilizza l'autenticazione.
Scrivi il codice con un editor in linea:

```python
from google.cloud import storage
import requests
import base64
import json

# Google Cloud Storage Configuration
BUCKET_NAME = "<bucket-name>"
FILE_NAME = "qualys_cm_alerts.json"

# Qualys API Credentials
QUALYS_USERNAME = "<qualys-username>"
QUALYS_PASSWORD = "<qualys-password>"
QUALYS_BASE_URL = "https://<qualys_base_url>"

def fetch_cm_alerts():
    """Fetch alerts from Qualys Continuous Monitoring."""
    auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/xml"
    }
    payload = """
    <ServiceRequest>
        <filters>
            <Criteria field="alert.date" operator="GREATER">2024-01-01</Criteria>
        </filters>
    </ServiceRequest>
    """
    response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/cm/alert", headers=headers, data=payload)
    response.raise_for_status()
    return response.json()

def upload_to_gcs(data):
    """Upload data to Google Cloud Storage."""
    client = storage.Client()
    bucket = client.get_bucket(BUCKET_NAME)
    blob = bucket.blob(FILE_NAME)
    blob.upload_from_string(json.dumps(data, indent=2), content_type="application/json")

def main(request):
    """Cloud Function entry point."""
    try:
        alerts = fetch_cm_alerts()
        upload_to_gcs(alerts)
        return "Qualys CM alerts uploaded to Cloud Storage successfully!"
    except Exception as e:
        return f"An error occurred: {e}", 500
```

Fai clic su Esegui il deployment dopo aver completato la configurazione.

Configura Cloud Scheduler

Vai a Cloud Scheduler nella Google Cloud console.
Fai clic su Crea job.
Configura il job:
- Nome: inserisci un nome per il job (ad esempio trigger-fetch-qualys-cm-alerts).
- Frequenza: utilizza la sintassi cron per specificare la pianificazione (ad esempio 0 * * * * per l'esecuzione ogni ora).
- Fuso orario: imposta il fuso orario che preferisci.
- Tipo di trigger: scegli HTTP.
- URL attivatore: inserisci l'URL della Cloud Function (che puoi trovare nei dettagli della funzione dopo il deployment).
- Metodo: scegli POST.
Nota: se l'autenticazione è abilitata per la funzione, seleziona Account di servizio e assicurati che l'account disponga del ruolo Invoker di Cloud Functions.
Crea il job.

Configura un feed in Google SecOps per importare i log di Qualys Continuous Monitoring

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuova.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di monitoraggio continuo Qualys).
Seleziona Google Cloud Storage come Tipo di origine.
Seleziona Monitoraggio continuo Qualys come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URI bucket di archiviazione: l' Google Cloud URI di origine del bucket di archiviazione.
- L'URI è un: seleziona File singolo.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
Nota: se selezioni l'opzione Delete transferred files o Delete transferred files and empty directories, assicurati di aver concesso le autorizzazioni appropriate all'account di servizio.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
Alert.alertInfo.appVersion	metadata.product_version	Mappata direttamente da `Alert.alertInfo.appVersion`
Alert.alertInfo.operatingSystem	principal.platform_version	Mappata direttamente da `Alert.alertInfo.operatingSystem`
Alert.alertInfo.port	additional.fields.value.string_value	Mappato direttamente da `Alert.alertInfo.port` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "Porta avviso"
Alert.alertInfo.protocol	network.ip_protocol	Mappata direttamente da `Alert.alertInfo.protocol`
Alert.alertInfo.sslIssuer	network.tls.client.certificate.issuer	Mappata direttamente da `Alert.alertInfo.sslIssuer`
Alert.alertInfo.sslName	additional.fields.value.string_value	Mappato direttamente da `Alert.alertInfo.sslName` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "Nome SSL"
Alert.alertInfo.sslOrg	additional.fields.value.string_value	Mappato direttamente da `Alert.alertInfo.sslOrg` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "SSL Org"
Alert.alertInfo.ticketId	additional.fields.value.string_value	Mappato direttamente da `Alert.alertInfo.ticketId` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "ID richiesta"
Alert.alertInfo.vpeConfidence	additional.fields.value.string_value	Mappato direttamente da `Alert.alertInfo.vpeConfidence` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "VPE Confidence"
Alert.alertInfo.vpeStatus	additional.fields.value.string_value	Mappato direttamente da `Alert.alertInfo.vpeStatus` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "VPE Confidence"
Alert.eventType	additional.fields.value.string_value	Mappato direttamente da `Alert.eventType` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "Tipo di evento"
Alert.hostname	principal.hostname	Mappata direttamente da `Alert.hostname`
Alert.id	security_result.threat_id	Mappata direttamente da `Alert.id`
Alert.ipAddress	principal.ip	Mappata direttamente da `Alert.ipAddress`
Alert.profile.id	additional.fields.value.string_value	Mappato direttamente da `Alert.profile.id` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "ID profilo"
Alert.profile.title	additional.fields.value.string_value	Mappato direttamente da `Alert.profile.title` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "Titolo profilo"
Alert.qid	vulnerability.name	Mappato come "QID: " da `Alert.qid`
Alert.source	additional.fields.value.string_value	Mappato direttamente da `Alert.source` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "Origine avviso"
Alert.triggerUuid	metadata.product_log_id	Mappata direttamente da `Alert.triggerUuid`
Alert.vulnCategory	additional.fields.value.string_value	Mappato direttamente da `Alert.vulnCategory` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "Vulnerability Category"
Alert.vulnSeverity	vulnerability.severity	Mappatura in base al valore di `Alert.vulnSeverity`: 1-3: BASSO, 4-6: MEDIO, 7-8: ALTO
Alert.vulnTitle	vulnerability.description	Mappata direttamente da `Alert.vulnTitle`
Alert.vulnType	additional.fields.value.string_value	Mappato direttamente da `Alert.vulnType` e aggiunto come coppia chiave-valore in `additional.fields` con la chiave "Tipo di vulnerabilità"
Host	principal.ip	Analizzata dalla riga di log "Host: "
	edr.client.ip_addresses	Copiati da `principal.ip`
	edr.client.hostname	Copiati da `principal.hostname`
	edr.raw_event_name	Imposta su "STATUS_UPDATE" se sono presenti `Alert.ipAddress`, `Alert.hostname` o `src_ip`, altrimenti imposta su "GENERIC_EVENT"
	metadata.event_timestamp	Estratte dai campi `Alert.eventDate` o `timestamp`. Viene data la priorità a `Alert.eventDate` se esiste, altrimenti viene utilizzato `timestamp`. Il timestamp viene convertito in UTC.
	metadata.event_type	Stessa logica di `edr.raw_event_name`
	metadata.log_type	Impostato su "QUALYS_CONTINUOUS_MONITORING"
	metadata.product_name	Impostato su "QUALYS_CONTINUOUS_MONITORING"
	metadata.vendor_name	Impostato su "QUALYS_CONTINUOUS_MONITORING"
	network.application_protocol	Analizzata dalla riga di log " /user HTTP"
	network.http.method	Analizzata dalla riga di log " /user HTTP"
timestamp	event.timestamp	Estratte dai campi `Alert.eventDate` o `timestamp`. Viene data la priorità a `Alert.eventDate` se esiste, altrimenti viene utilizzato `timestamp`. Il timestamp viene convertito in UTC.

Modifiche

2022-08-30

Parser appena creato.