Coletar registros do monitoramento contínuo do Qualys

Esse código de analisador do Logstash extrai campos como IP de origem, usuário, método e protocolo do aplicativo de mensagens de registro bruto usando padrões grok. Em seguida, ele mapeia campos específicos dos dados brutos para os campos correspondentes no modelo de dados unificado (UDM, na sigla em inglês), realiza conversões de tipo de dados e enriquece os dados com rótulos e metadados adicionais antes de estruturar a saída no formato UDM desejado.

Antes de começar

• Verifique se você tem uma instância do Google Security Operations.
• Verifique se você tem acesso privilegiado a Google Cloud.
• Verifique se você tem acesso privilegiado aos Qualys.

Ative as APIs obrigatórias:

1. Faça login no console do Google Cloud .
2. Acesse APIs e serviços > Biblioteca.
3. Pesquise e ative as seguintes APIs:
   • API Cloud Functions
   • API Cloud Scheduler
   • Cloud Pub/Sub (obrigatório para que o Cloud Scheduler invoque funções)

Criar um bucket do Google Cloud Storage

1. Faça login no console do Google Cloud .

2. Acesse a página Buckets do Cloud Storage.

   Acessar buckets

3. Clique em Criar.

4. Configure o bucket:

   • Nome: insira um nome exclusivo que atenda aos requisitos de nome de bucket (por exemplo, qualys-asset-bucket).
   • Escolha onde armazenar seus dados: selecione um local.
   • Escolha uma classe de armazenamento para seus dados: selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento.
   • Escolha como controlar o acesso a objetos: selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.
   • Classe de armazenamento: escolha com base nas suas necessidades, por exemplo, Padrão.

5. Clique em Criar.

Criar uma conta de serviço do Google Cloud

1. Faça login no console do Google Cloud .
2. Acesse IAM e administrador > Contas de serviço.
3. Crie uma nova conta de serviço.
4. Dê um nome descritivo (por exemplo, qualys-user).
5. Conceda à conta de serviço o papel de Administrador de objetos do Storage no bucket do GCS criado na etapa anterior.
6. Conceda à conta de serviço o papel de Invocador do Cloud Functions.
7. Crie uma chave SSH para a conta de serviço.
8. Faça o download de um arquivo de chave JSON para a conta de serviço. Mantenha esse arquivo em segurança.

Opcional: crie um usuário de API dedicado no Qualys

1. Faça login no console da Qualys.
2. Acesse Usuários.
3. Clique em Novo > Usuário.
4. Insira as Informações gerais necessárias para o usuário.
5. Selecione a guia Função do usuário.
6. Verifique se a caixa de seleção Acesso à API está marcada.
7. Clique em Salvar.

Identifique o URL específico da API Qualys

Opção 1

Identifique seus URLs conforme mencionado na identificação da plataforma.

Opção 2

1. Faça login no console da Qualys.
2. Acesse Ajuda > Sobre.
3. Role a tela para conferir essas informações na Central de operações de segurança (SOC).
4. Copie o URL da API Qualys.

Configurar a Função do Cloud

1. Acesse o Cloud Functions no console Google Cloud .
2. Clique em Criar função.

3. Configure a função:

   • Nome: insira um nome para a função (por exemplo, fetch-qualys-cm-alerts).
   • Região: selecione uma região próxima ao seu bucket.
   • Ambiente de execução: Python 3.10 (ou o ambiente de execução de sua preferência).
   • Gatilho: escolha o gatilho HTTP, se necessário, ou o Cloud Pub/Sub para execução programada.
   • Autenticação: ofereça segurança com autenticação.
   • Escrever o código com um editor inline:

   ```python
   from google.cloud import storage
   import requests
   import base64
   import json
   
   # Google Cloud Storage Configuration
   BUCKET_NAME = "<bucket-name>"
   FILE_NAME = "qualys_cm_alerts.json"
   
   # Qualys API Credentials
   QUALYS_USERNAME = "<qualys-username>"
   QUALYS_PASSWORD = "<qualys-password>"
   QUALYS_BASE_URL = "https://<qualys_base_url>"
   
   def fetch_cm_alerts():
       """Fetch alerts from Qualys Continuous Monitoring."""
       auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
       headers = {
           "Authorization": f"Basic {auth}",
           "Content-Type": "application/xml"
       }
       payload = """
       <ServiceRequest>
           <filters>
               <Criteria field="alert.date" operator="GREATER">2024-01-01</Criteria>
           </filters>
       </ServiceRequest>
       """
       response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/cm/alert", headers=headers, data=payload)
       response.raise_for_status()
       return response.json()
   
   def upload_to_gcs(data):
       """Upload data to Google Cloud Storage."""
       client = storage.Client()
       bucket = client.get_bucket(BUCKET_NAME)
       blob = bucket.blob(FILE_NAME)
       blob.upload_from_string(json.dumps(data, indent=2), content_type="application/json")
   
   def main(request):
       """Cloud Function entry point."""
       try:
           alerts = fetch_cm_alerts()
           upload_to_gcs(alerts)
           return "Qualys CM alerts uploaded to Cloud Storage successfully!"
       except Exception as e:
           return f"An error occurred: {e}", 500
   ```
   

4. Clique em Implantar depois de concluir a configuração.

Configurar o Cloud Scheduler

1. Acesse o Cloud Scheduler no Google Cloud console.
2. Clique em Criar job.

3. Configure o job:

   • Nome: insira um nome para o job. Por exemplo, trigger-fetch-qualys-cm-alerts.
   • Frequência: use a sintaxe cron para especificar a programação (por exemplo, 0 * * * * para execução a cada hora).
   • Fuso horário: defina seu fuso horário preferido.
   • Tipo de acionador: escolha HTTP.
   • URL do gatilho: insira o URL da função do Cloud (encontrado nos detalhes da função após a implantação).
   • Método: escolha POST.

4. Crie o job.

Configurar um feed no Google SecOps para processar os registros de monitoramento contínuo do Qualys

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, Qualys Continuous Monitoring Logs).
4. Selecione Google Cloud Storage como o Tipo de origem.
5. Selecione Qualys Continuous Monitoring como o Tipo de registro.
6. Clique em Próxima.

7. Especifique valores para os seguintes parâmetros de entrada:

   • URI do bucket do Firebase Storage: o URI de origem do bucket do Google Cloud Armazenamento do Firebase.
   • URI é um: selecione Arquivo único.
   • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
   • Namespace de recursos: o namespace de recursos.
   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

8. Clique em Próxima.

9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Alterações

2022-08-30

• Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.