このページは Cloud Translation API によって翻訳されました。

Qualys Scan のログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーは、Qualys Scan JSON ログからフィールドを抽出し、タイムスタンプを正規化して UDM にマッピングします。汎用イベントやユーザーログインなど、さまざまな Qualys イベントタイプを処理し、関連するセキュリティ情報とメタデータを UDM フィールドに入力します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Qualys VMDR コンソールへの特権アクセス権があることを確認します。

省略可: Qualys で専用の API ユーザーを作成する

Qualys コンソールにログインします。
[ユーザー] にアクセスします。
[New] > [User] をクリックします。
ユーザーに必要な [General Information] を入力します。
[User Role] タブを選択します。
ロールの [API Access] チェックボックスがオンになっていることを確認します。
[Save] をクリックします。

特定の Qualys API URL を識別する

オプション 1

プラットフォームの特定の記事に記載されている方法で URL を特定します。

オプション 2

Qualys コンソールにログインします。
[Help] > [About] に移動します。
スクロールして、[Security Operations Center (SOC)] でこの情報を確認します。
Qualys API URL をコピーします。

Qulays スキャンログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Qualys Scan Logs）。
[ソースタイプ] として [サードパーティ API] を選択します。
ログタイプとして [Qualys Scan] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ユーザー名: 専用ユーザーのユーザー名を入力します。
- シークレット: 専用ユーザーのパスワードを入力します。
- API のフルパス: 単純な Qualys API サーバー URL（qualysapi.qg2.apps.qualys.eu など）を指定します。
- API タイプ: 取り込むスキャンタイプを選択します。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードからのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`Category`	`security_result.category_details`	`Category` フィールドから直接マッピングされます。
`ID`	`metadata.product_log_id`	`ID` フィールドから直接マッピングされます。文字列に変換されます。
`LaunchDatetime`	`metadata.event_timestamp`	`ScanInput.ScanDatetime` と `UpdateDate` が存在しない場合、イベントタイムスタンプとして使用されます。「ISO8601」形式で解析されます。
`Ref`	`additional.fields[1].key` `additional.fields[1].value.string_value`	`ScanReference` が存在しない場合、キー「ScanReference」を持つ `additional.fields` にマッピングされます。
`ScanDetails.Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	`security_result.detection_fields` のキー「ScanDetails Status」にマッピングされます。
`ScanInput.Network.ID`	`additional.fields[0].key` `additional.fields[0].value.string_value`	キー「ScanInput Network ID」で `additional.fields` にマッピングされます。
`ScanInput.Network.Name`	`additional.fields[1].key` `additional.fields[1].value.string_value`	`additional.fields` のキー「ScanInput Network Name」にマッピングされます。
`ScanInput.OptionProfile.ID`	`additional.fields[2].key` `additional.fields[2].value.string_value`	`additional.fields` のキー「ScanInput Option Profile ID」にマッピングされます。
`ScanInput.OptionProfile.Name`	`additional.fields[3].key` `additional.fields[3].value.string_value`	`additional.fields` にマッピングされ、キーは「ScanInput Option Profile Name」です。
`ScanInput.ScanDatetime`	`metadata.event_timestamp`	イベントタイムスタンプとして使用されます（存在する場合）。「ISO8601」形式で解析されます。
`ScanInput.Title`	`metadata.description`	`ScanInput.Title` フィールドから直接マッピングされます。
`ScanInput.Username`	`principal.user.userid`	`ScanInput.Username` フィールドから直接マッピングされます。
`ScanReference`	`additional.fields[4].key` `additional.fields[4].value.string_value`	`additional.fields` のキー「ScanReference」にマッピングされます。
`Statement`	`metadata.description`	`ScanInput.Title` と `Title` が存在しない場合は `Statement` フィールドから直接マッピングされます。
`Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	キー「Status」で `security_result.detection_fields` にマッピングされます。
`SubCategory`	`security_result.description`	`SubCategory` フィールドから直接マッピングされます。
`Technologies[].ID`	`security_result.detection_fields[0].value`	`Technologies[].ID` フィールドから直接マッピングされます。文字列に変換されます。繰り返しの `security_result` オブジェクトの一部。
`Technologies[].Name`	`security_result.detection_fields[1].value`	`Technologies[].Name` フィールドから直接マッピングされます。繰り返しの `security_result` オブジェクトの一部。
`Technologies[].Rationale`	`security_result.detection_fields[2].value`	`Technologies[].Rationale` フィールドから直接マッピングされます。繰り返しの `security_result` オブジェクトの一部。
`Title`	`metadata.description`	`ScanInput.Title` と `Statement` が存在しない場合は `Title` フィールドから直接マッピングされます。
`Type`	`additional.fields[2].key` `additional.fields[2].value.string_value`	キー「Type」で `additional.fields` にマッピングされます。
`UpdateDate`	`metadata.event_timestamp`	`ScanInput.ScanDatetime` が存在しない場合、イベントタイムスタンプとして使用されます。「ISO8601」形式で解析されます。
`Userlogin`	`target.user.userid`	`Userlogin` フィールドから直接マッピングされます。`Userlogin` が存在する場合は、「AUTHTYPE_UNSPECIFIED」に設定されます。「GENERIC_EVENT」に設定します。`Userlogin` が存在する場合は「USER_LOGIN」に変更されました。`metadata_event_type` が「GENERIC_EVENT」で、`ScanInput.Username` が存在する場合は「USER_UNCATEGORIZED」に変更しました。「QUALYS_SCAN」に設定します。「QUALYS_SCAN」に設定します。各テクノロジーで「ID」に設定します。繰り返しの `security_result` オブジェクトの一部。各テクノロジーで [名前] に設定します。繰り返しの `security_result` オブジェクトの一部。各テクノロジーで [Rationale] に設定します。繰り返しの `security_result` オブジェクトの一部。

変更点

2023-04-21

新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。