Qualys-Scanprotokolle erfassen
In diesem Dokument wird beschrieben, wie Sie Qualys-Scan-Logs erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel QUALYS_SCAN.
Konto für den Import von Qualys-Scandaten erstellen
- Melden Sie sich im Qualys-Portal an.
- Klicken Sie auf der Seite Kunden-Qualys-Managerkonto im Bereich Tools auf Nutzerkonten.
- Wählen Sie Neu > Nutzer aus.
Geben Sie die Kontaktdaten oder den Kundenreferenzpunkt ein. Die folgenden Felder müssen für das Nutzerkonto zugeordnet sein.
- Wählen Sie in der Liste Nutzerrolle die Option Leser aus.
- Klicken Sie im Feld Zugriff auf die Kästchen GUI und API an.
- Weisen Sie dem Nutzer im Bereich Asset-Gruppen alle verfügbaren Asset-Gruppen zu.
Wählen Sie Erweiterte Konfiguration aus.
Wählen Sie im Abschnitt Benachrichtigungsoptionen für Sicherheitslücken die Option Keine und für Scan, Zuordnung und Bericht die Option Keine Benachrichtigungen aus.
Nachdem Sie einen neuen Nutzer erstellt haben, aktivieren Sie ihn und prüfen Sie, ob der Nutzername und das Passwort funktionieren.
Feed in Google Security Operations für die Aufnahme von Qualys-Scanprotokollen konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
- Geben Sie einen eindeutigen Namen für das Feld ein.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Qualys-Scan als Logtyp aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Username: Geben Sie den zuvor abgerufenen Nutzernamen an.
- Secret: Geben Sie das Passwort ein, das Sie zuvor erhalten haben.
- Vollständiger API-Pfad: Geben Sie den vollständigen API-Pfad an, z. B.
qualysapi.qualys.com. - API-Typ: Geben Sie den API-Typ an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser extrahiert Sicherheitsereignisdaten aus Qualys-Scan-JSON-Protokollen und wandelt sie in das Unified Data Model (UDM) um. Es unterstützt verschiedene Qualys-Scanprotokollformate, wobei ScanInput.ScanDatetime, UpdateDate und LaunchDatetime für die Zeitstempelextraktion priorisiert werden. Relevante Felder werden UDM-Properties zugeordnet, einschließlich Nutzerinformationen, Beschreibungen, Sicherheitsergebnissen und zusätzlichen Metadaten. Der Parser durchsucht auch Technologies-Daten und extrahiert und ordnet relevante Felder in jedem Technologieeintrag zu.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Kategorie | metadata.product_log_id |
In String umgewandelt. |
| Kategorie | security_result.category_details |
Direkt zugeordnet. |
| ID | metadata.product_log_id |
Direkt zugeordnet. |
| LaunchDatetime | metadata.event_timestamp |
Im Format „ISO8601“ in einen Zeitstempel geparst. |
| Ref | additional.fields[key="ScanReference"].value.string_value |
Wird direkt als Stringwert in zusätzlichen Feldern zugeordnet. |
| ScanDetails.Status | security_result.detection_fields[key="ScanDetails Status"].value |
Direkt zugeordnet. |
| ScanInput.Network.ID | additional.fields[key="ScanInput Network ID"].value.string_value |
Wird direkt als Stringwert in zusätzlichen Feldern zugeordnet. |
| ScanInput.Network.Name | additional.fields[key="ScanInput Network Name"].value.string_value |
Wird direkt als Stringwert in zusätzlichen Feldern zugeordnet. |
| ScanInput.OptionProfile.ID | additional.fields[key="ScanInput Option Profile ID"].value.string_value |
Wird direkt als Stringwert in zusätzlichen Feldern zugeordnet. |
| ScanInput.OptionProfile.Name | additional.fields[key="ScanInput Option Profile Name"].value.string_value |
Wird direkt als Stringwert in zusätzlichen Feldern zugeordnet. |
| ScanInput.ScanDatetime | metadata.event_timestamp |
Im Format „ISO8601“ in einen Zeitstempel geparst. |
| ScanInput.Title | metadata.description |
Direkt zugeordnet. |
| ScanInput.Username | principal.user.userid |
Direkt zugeordnet. |
| ScanReference | additional.fields[key="ScanReference"].value.string_value |
Wird direkt als Stringwert in zusätzlichen Feldern zugeordnet. |
| Aussage | metadata.description |
Direkt zugeordnet. |
| Status | security_result.detection_fields[key="Status"].value |
Direkt zugeordnet. |
| SubCategory | security_result.description |
Direkt zugeordnet. |
| Technologies.ID | security_result.detection_fields[key="ID"].value |
In einen String umgewandelt und für jede Technologie zugeordnet. |
| Technologies.Name | security_result.detection_fields[key="Name"].value |
Zugewiesen für jede Technologie. |
| Technologies.Rationale | security_result.detection_fields[key="Rationale"].value |
Zugewiesen für jede Technologie. |
| Titel | metadata.description |
Direkt zugeordnet. |
| Typ | additional.fields[key="Type"].value.string_value |
Wird direkt als Stringwert in zusätzlichen Feldern zugeordnet. |
| UpdateDate | metadata.event_timestamp |
Im Format „ISO8601“ in einen Zeitstempel geparst. |
| Userlogin | target.user.userid |
Direkt zugeordnet. Legen Sie „AUTHTYPE_UNSPECIFIED“ fest, wenn Userlogin vorhanden ist. Legen Sie „USER_LOGIN“ fest, wenn Userlogin vorhanden ist, „USER_UNCATEGORIZED“, wenn ScanInput.Username vorhanden ist und metadata_event_type „GENERIC_EVENT“ ist, oder andernfalls den Wert von metadata_event_type. Hartcodiert auf „QUALYS_SCAN“. Hartcodiert auf „QUALYS_SCAN“. |
Änderungen
2023-04-21
- Neu erstellter Parser.