Qualys Continuous Monitoring 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 Logstash 파서 코드는 먼저 grok 패턴을 사용하여 원시 로그 메시지에서 소스 IP, 사용자, 메서드, 애플리케이션 프로토콜과 같은 필드를 추출합니다. 그런 다음 원시 로그 데이터의 특정 필드를 통합 데이터 모델 (UDM)의 해당 필드에 매핑하고, 데이터 유형 변환을 실행하고, 추가 라벨과 메타데이터로 데이터를 보강한 후 원하는 UDM 형식으로 출력을 구성합니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Google Cloud에 대한 권한이 있는지 확인합니다.
- Qualys에 대한 권한이 있는지 확인합니다.
필수 API 사용 설정:
- Google Cloud 콘솔에 로그인합니다.
- API 및 서비스 > 라이브러리로 이동합니다.
- 다음 API를 검색하여 사용 설정합니다.
- Cloud Functions API
- Cloud Scheduler API
- Cloud Pub/Sub (Cloud Scheduler가 함수를 호출하는 데 필요)
Google Cloud 스토리지 버킷 만들기
- Google Cloud 콘솔에 로그인합니다.
Cloud Storage 버킷 페이지로 이동합니다.
만들기를 클릭합니다.
버킷을 구성합니다.
- 이름: 버킷 이름 요구사항을 충족하는 고유한 이름을 입력합니다 (예: qualys-asset-bucket).
- 데이터 저장 위치 선택: 위치를 선택합니다.
- 데이터의 스토리지 클래스 선택: 버킷의 기본 스토리지 클래스를 선택하거나 자동 스토리지 클래스 관리를 위해 자동 클래스를 선택합니다.
- 객체 액세스를 제어하는 방식 선택: 아니요를 선택하여 공개 액세스 방지를 적용하고 버킷의 객체에 대한 액세스 제어 모델을 선택합니다.
- 스토리지 클래스: 필요에 따라 선택합니다 (예: 표준).
만들기를 클릭합니다.
Google Cloud 서비스 계정 만들기
- Google Cloud 콘솔에 로그인합니다.
- IAM 및 관리자 > 서비스 계정으로 이동합니다.
- 새 서비스 계정 만들기
- 설명이 포함된 이름을 지정합니다 (예: qualys-user).
- 이전 단계에서 만든 GCS 버킷에 대한 스토리지 객체 관리자 역할을 서비스 계정에 부여합니다.
- 서비스 계정에 Cloud Functions 호출자 역할을 부여합니다.
- 서비스 계정의 SSH 키를 만듭니다.
- 서비스 계정의 JSON 키 파일을 다운로드합니다. 이 파일을 안전하게 보관하세요.
선택사항: Qualys에서 전용 API 사용자 만들기
- Qualys 콘솔에 로그인합니다.
- 사용자로 이동합니다.
- 새로 만들기 > 사용자를 클릭합니다.
- 사용자에게 필요한 일반 정보를 입력합니다.
- 사용자 역할 탭을 선택합니다.
- 역할에 API 액세스 체크박스가 선택되어 있는지 확인합니다.
- 저장을 클릭합니다.
특정 Qualys API URL 식별
옵션 1
플랫폼 식별에 설명된 대로 URL을 식별합니다.
옵션 2
- Qualys 콘솔에 로그인합니다.
- 도움말 > 정보로 이동합니다.
- 보안 운영 센터 (SOC)에서 이 정보를 확인하려면 스크롤하세요.
- Qualys API URL을 복사합니다.
Cloud 함수 구성
- Google Cloud 콘솔에서 Cloud Functions로 이동합니다.
- 함수 만들기를 클릭합니다.
함수를 구성합니다.
- 이름: 함수의 이름을 입력합니다 (예: fetch-qualys-cm-alerts).
- 리전: 버킷과 가까운 리전을 선택합니다.
- 런타임: Python 3.10 (또는 선호하는 런타임)
- 트리거: 필요한 경우 HTTP 트리거를 선택하거나 예약된 실행의 경우 Cloud Pub/Sub를 선택합니다.
- 인증: 인증으로 보안을 강화합니다.
- 인라인 편집기로 코드를 작성합니다.
```python from google.cloud import storage import requests import base64 import json # Google Cloud Storage Configuration BUCKET_NAME = "<bucket-name>" FILE_NAME = "qualys_cm_alerts.json" # Qualys API Credentials QUALYS_USERNAME = "<qualys-username>" QUALYS_PASSWORD = "<qualys-password>" QUALYS_BASE_URL = "https://<qualys_base_url>" def fetch_cm_alerts(): """Fetch alerts from Qualys Continuous Monitoring.""" auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode() headers = { "Authorization": f"Basic {auth}", "Content-Type": "application/xml" } payload = """ <ServiceRequest> <filters> <Criteria field="alert.date" operator="GREATER">2024-01-01</Criteria> </filters> </ServiceRequest> """ response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/cm/alert", headers=headers, data=payload) response.raise_for_status() return response.json() def upload_to_gcs(data): """Upload data to Google Cloud Storage.""" client = storage.Client() bucket = client.get_bucket(BUCKET_NAME) blob = bucket.blob(FILE_NAME) blob.upload_from_string(json.dumps(data, indent=2), content_type="application/json") def main(request): """Cloud Function entry point.""" try: alerts = fetch_cm_alerts() upload_to_gcs(alerts) return "Qualys CM alerts uploaded to Cloud Storage successfully!" except Exception as e: return f"An error occurred: {e}", 500 ```구성을 완료한 후 배포를 클릭합니다.
Cloud Scheduler 구성
- Google Cloud 콘솔에서 Cloud Scheduler로 이동합니다.
- 작업 만들기를 클릭합니다.
작업을 구성합니다.
- 이름: 작업 이름을 입력합니다 (예: trigger-fetch-qualys-cm-alerts).
- 빈도: cron 문법을 사용하여 일정을 지정합니다 (예:
0 * * * *: 1시간마다 실행). - 시간대: 원하는 시간대를 설정합니다.
- 트리거 유형: HTTP를 선택합니다.
- 트리거 URL: Cloud 함수의 URL을 입력합니다 (배포 후 함수 세부정보에서 확인 가능).
- 메서드: 게시를 선택합니다.
작업을 만듭니다.
Qualys 연속 모니터링 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정 > 피드로 이동합니다.
- 새로 추가를 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다 (예: Qualys 연속 모니터링 로그).
- 소스 유형으로 Google Cloud Storage를 선택합니다.
- 로그 유형으로 Qualys 연속 모니터링을 선택합니다.
- 다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- 스토리지 버킷 URI: Google Cloud 스토리지 버킷 소스 URI입니다.
- URI: 단일 파일을 선택합니다.
- 소스 삭제 옵션: 원하는 삭제 옵션을 선택합니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| Alert.alertInfo.appVersion | metadata.product_version | Alert.alertInfo.appVersion에서 직접 매핑됨 |
| Alert.alertInfo.operatingSystem | principal.platform_version | Alert.alertInfo.operatingSystem에서 직접 매핑됨 |
| Alert.alertInfo.port | additional.fields.value.string_value | Alert.alertInfo.port에서 직접 매핑되고 additional.fields에 'Alert port' 키로 키-값 쌍으로 추가됨 |
| Alert.alertInfo.protocol | network.ip_protocol | Alert.alertInfo.protocol에서 직접 매핑됨 |
| Alert.alertInfo.sslIssuer | network.tls.client.certificate.issuer | Alert.alertInfo.sslIssuer에서 직접 매핑됨 |
| Alert.alertInfo.sslName | additional.fields.value.string_value | Alert.alertInfo.sslName에서 직접 매핑되고 additional.fields에 'SSL Name' 키로 키-값 쌍으로 추가됨 |
| Alert.alertInfo.sslOrg | additional.fields.value.string_value | Alert.alertInfo.sslOrg에서 직접 매핑되고 additional.fields에 'SSL Org' 키로 키-값 쌍으로 추가됨 |
| Alert.alertInfo.ticketId | additional.fields.value.string_value | Alert.alertInfo.ticketId에서 직접 매핑되고 additional.fields에 'Ticket Id' 키로 키-값 쌍으로 추가됨 |
| Alert.alertInfo.vpeConfidence | additional.fields.value.string_value | Alert.alertInfo.vpeConfidence에서 직접 매핑되고 additional.fields에 'VPE Confidence' 키로 키-값 쌍으로 추가됨 |
| Alert.alertInfo.vpeStatus | additional.fields.value.string_value | Alert.alertInfo.vpeStatus에서 직접 매핑되고 additional.fields에 'VPE Confidence' 키로 키-값 쌍으로 추가됨 |
| Alert.eventType | additional.fields.value.string_value | Alert.eventType에서 직접 매핑되고 additional.fields에 '이벤트 유형' 키로 키-값 쌍으로 추가됨 |
| Alert.hostname | principal.hostname | Alert.hostname에서 직접 매핑됨 |
| Alert.id | security_result.threat_id | Alert.id에서 직접 매핑됨 |
| Alert.ipAddress | principal.ip | Alert.ipAddress에서 직접 매핑됨 |
| Alert.profile.id | additional.fields.value.string_value | Alert.profile.id에서 직접 매핑되고 additional.fields에 '프로필 ID' 키로 키-값 쌍으로 추가됨 |
| Alert.profile.title | additional.fields.value.string_value | Alert.profile.title에서 직접 매핑되고 additional.fields에 '프로필 제목' 키로 키-값 쌍으로 추가됨 |
| Alert.qid | vulnerability.name | Alert.qid에서 'QID: |
| Alert.source | additional.fields.value.string_value | Alert.source에서 직접 매핑되고 additional.fields에 'Alert Source' 키로 키-값 쌍으로 추가됨 |
| Alert.triggerUuid | metadata.product_log_id | Alert.triggerUuid에서 직접 매핑됨 |
| Alert.vulnCategory | additional.fields.value.string_value | Alert.vulnCategory에서 직접 매핑되고 additional.fields에 '취약점 카테고리' 키로 키-값 쌍으로 추가됨 |
| Alert.vulnSeverity | vulnerability.severity | Alert.vulnSeverity 값을 기반으로 매핑됨: 1~3: 낮음, 4~6: 중간, 7~8: 높음 |
| Alert.vulnTitle | vulnerability.description | Alert.vulnTitle에서 직접 매핑됨 |
| Alert.vulnType | additional.fields.value.string_value | Alert.vulnType에서 직접 매핑되고 additional.fields에 '취약점 유형' 키로 키-값 쌍으로 추가됨 |
| 호스트 | principal.ip | 로그 줄 '호스트: |
| edr.client.ip_addresses | principal.ip에서 복사됨 |
|
| edr.client.hostname | principal.hostname에서 복사됨 |
|
| edr.raw_event_name | Alert.ipAddress, Alert.hostname 또는 src_ip가 있는 경우 'STATUS_UPDATE'로 설정하고, 그렇지 않은 경우 'GENERIC_EVENT'로 설정합니다. |
|
| metadata.event_timestamp | Alert.eventDate 또는 timestamp 필드에서 추출됩니다. Alert.eventDate가 있는 경우 우선순위가 지정되고, 그렇지 않으면 timestamp가 사용됩니다. 타임스탬프는 UTC로 변환됩니다. |
|
| metadata.event_type | edr.raw_event_name와 동일한 로직 |
|
| metadata.log_type | 'QUALYS_CONTINUOUS_MONITORING'으로 설정 | |
| metadata.product_name | 'QUALYS_CONTINUOUS_MONITORING'으로 설정 | |
| metadata.vendor_name | 'QUALYS_CONTINUOUS_MONITORING'으로 설정 | |
| network.application_protocol | 로그 줄 ' |
|
| network.http.method | 로그 줄 ' |
|
| 타임스탬프 | event.timestamp | Alert.eventDate 또는 timestamp 필드에서 추출됩니다. Alert.eventDate가 있는 경우 우선순위가 지정되고, 그렇지 않으면 timestamp가 사용됩니다. 타임스탬프는 UTC로 변환됩니다. |
변경사항
2022-08-30
- 파서를 새로 만들었습니다.