Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de análisis de Qualys

Compatible con:

Google SecOps SIEM

Este analizador extrae campos de los registros JSON de Qualys Scan, normaliza las marcas de tiempo y las asigna a la UDM. Controla varios tipos de eventos de Qualys, incluidos los eventos genéricos y los accesos de los usuarios, y propaga los campos de la AUA con información y metadatos de seguridad relevantes.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de tener acceso con privilegios a la consola de Qualys VMDR.

Opcional: Crea un usuario de API dedicado en Qualys

Accede a la consola de Qualys.
Ve a Usuarios.
Haz clic en Nuevo > Usuario.
Ingresa la información general requerida para el usuario.
Selecciona la pestaña Rol del usuario.
Asegúrate de que el rol tenga seleccionada la casilla de verificación Acceso a la API.
Haz clic en Guardar.

Identifica tu URL específica de la API de Qualys

Opción 1

Identifica tus URLs como se menciona en la identificación de la plataforma.

Opción 2

Accede a la consola de Qualys.
Ve a Ayuda > Acerca de.
Desplázate para ver esta información en el Centro de operaciones de seguridad (SOC).
Copia la URL de la API de Qualys.

Configura un feed en Google SecOps para transferir registros de Qulays Scan

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de análisis de Qualys).
Selecciona API de terceros como el Tipo de origen.
Selecciona Qualys Scan como el tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Nombre de usuario: Ingresa el nombre de usuario del usuario dedicado.
- Secreto: Ingresa la contraseña del usuario exclusivo.
- Ruta de acceso completa de la API: Proporciona la URL del servidor de la API de Qualys sin formato (por ejemplo, qualysapi.qg2.apps.qualys.eu).
- Tipo de API: Selecciona el tipo de análisis que deseas transferir.
- Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
Haz clic en Siguiente.
Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Category`	`security_result.category_details`	Se asigna directamente desde el campo `Category`.
`ID`	`metadata.product_log_id`	Se asigna directamente desde el campo `ID`. Se convirtió en una cadena.
`LaunchDatetime`	`metadata.event_timestamp`	Se usa como marca de tiempo del evento si no están presentes `ScanInput.ScanDatetime` y `UpdateDate`. Se analiza en formato "ISO8601".
`Ref`	`additional.fields[1].key` `additional.fields[1].value.string_value`	Se asigna a `additional.fields` con la clave "ScanReference" si no está presente `ScanReference`.
`ScanDetails.Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	Se asigna a `security_result.detection_fields` con la clave "ScanDetails Status".
`ScanInput.Network.ID`	`additional.fields[0].key` `additional.fields[0].value.string_value`	Se asoció a `additional.fields` con la clave "ScanInput Network ID".
`ScanInput.Network.Name`	`additional.fields[1].key` `additional.fields[1].value.string_value`	Se asigna a `additional.fields` con la clave "ScanInput Network Name".
`ScanInput.OptionProfile.ID`	`additional.fields[2].key` `additional.fields[2].value.string_value`	Se asigna a `additional.fields` con la clave "ID de perfil de opción de ScanInput".
`ScanInput.OptionProfile.Name`	`additional.fields[3].key` `additional.fields[3].value.string_value`	Se asigna a `additional.fields` con la clave "ScanInput Option Profile Name".
`ScanInput.ScanDatetime`	`metadata.event_timestamp`	Se usa como marca de tiempo del evento, si está presente. Se analiza en formato "ISO8601".
`ScanInput.Title`	`metadata.description`	Se asigna directamente desde el campo `ScanInput.Title`.
`ScanInput.Username`	`principal.user.userid`	Se asigna directamente desde el campo `ScanInput.Username`.
`ScanReference`	`additional.fields[4].key` `additional.fields[4].value.string_value`	Se asoció a `additional.fields` con la clave "ScanReference".
`Statement`	`metadata.description`	Se asigna directamente desde el campo `Statement` si `ScanInput.Title` y `Title` no están presentes.
`Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	Se asignó a `security_result.detection_fields` con la clave "Estado".
`SubCategory`	`security_result.description`	Se asigna directamente desde el campo `SubCategory`.
`Technologies[].ID`	`security_result.detection_fields[0].value`	Se asigna directamente desde el campo `Technologies[].ID`. Se convirtió en una cadena. Es parte de un objeto `security_result` repetido.
`Technologies[].Name`	`security_result.detection_fields[1].value`	Se asigna directamente desde el campo `Technologies[].Name`. Es parte de un objeto `security_result` repetido.
`Technologies[].Rationale`	`security_result.detection_fields[2].value`	Se asigna directamente desde el campo `Technologies[].Rationale`. Es parte de un objeto `security_result` repetido.
`Title`	`metadata.description`	Se asigna directamente desde el campo `Title` si `ScanInput.Title` y `Statement` no están presentes.
`Type`	`additional.fields[2].key` `additional.fields[2].value.string_value`	Se asoció a `additional.fields` con la clave "Type".
`UpdateDate`	`metadata.event_timestamp`	Se usa como marca de tiempo del evento si no está presente `ScanInput.ScanDatetime`. Se analiza en formato "ISO8601".
`Userlogin`	`target.user.userid`	Se asigna directamente desde el campo `Userlogin`. Se establece en "AUTHTYPE_UNSPECIFIED" si `Userlogin` está presente. Establece el valor en "GENERIC_EVENT". Se cambió a "USER_LOGIN" si `Userlogin` está presente. Se cambió a "USER_UNCATEGORIZED" si `metadata_event_type` es "GENERIC_EVENT" y `ScanInput.Username` está presente. Establece el valor en "QUALYS_SCAN". Establece el valor en "QUALYS_SCAN". Establece el valor en "ID" para cada tecnología. Es parte de un objeto `security_result` repetido. Establece el valor en "Nombre" para cada tecnología. Es parte de un objeto `security_result` repetido. Establece la opción "Justificación" para cada tecnología. Es parte de un objeto `security_result` repetido.

Cambios

2023-04-21

Sin embargo, el analizador se creó recientemente.