Raccogliere i log di analisi di Qualys
Questo documento descrive come raccogliere i log delle analisi Qualys configurando un feed di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione QUALYS_SCAN.
Crea un account per l'importazione dei dati della scansione Qualys
- Accedi al portale Qualys.
- Nella sezione Strumenti della pagina Account Qualys Manager del cliente, fai clic su Account utente.
- Seleziona Nuovo > Utente.
Inserisci i dati di contatto o il punto di riferimento del cliente. Assicurati che i seguenti campi siano mappati per l'account utente.
- Nell'elenco Ruolo utente, seleziona Lettore.
- Nel campo Consenti l'accesso a, seleziona la casella di controllo Interfaccia utente e la casella di controllo API.
- Nella sezione Gruppi di asset, assegna all'utente tutti i gruppi di asset disponibili.
Seleziona Configurazione avanzata.
Nella sezione Opzioni di notifica, seleziona Nessuna per le vulnerabilità e Nessuna notifica per le analisi, le mappe e i report.
Dopo aver creato un nuovo utente, attivalo e assicurati che il nome utente e la password funzionino.
Configura un feed in Google Security Operations per importare i log di scansione di Qualys
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Add New (Aggiungi nuovo).
- Inserisci un nome univoco per il nome del campo.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Scansione Qualys come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- Nome utente: specifica il nome utente che hai ottenuto in precedenza.
- Secret: specifica la password che hai ottenuto in precedenza.
- Percorso completo dell'API: specifica il percorso completo dell'API, ad esempio
qualysapi.qualys.com. - Tipo di API: specifica il tipo di API.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae i dati sugli eventi di sicurezza dai log JSON di Qualys Scan, trasformandoli nel modello di dati unificato (UDM). Gestisce vari formati di log di Qualys Scan, dando la priorità a ScanInput.ScanDatetime, UpdateDate e LaunchDatetime per l'estrazione del timestamp e mappa i campi pertinenti alle proprietà UDM, tra cui informazioni utente, descrizioni, risultati di sicurezza e metadati aggiuntivi. Il parser esegue anche l'iterazione dei dati Technologies, estraendo e mappando i campi pertinenti all'interno di ogni voce della tecnologia.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| Categoria | metadata.product_log_id |
Convertito in stringa. |
| Categoria | security_result.category_details |
Mappatura diretta. |
| ID | metadata.product_log_id |
Mappatura diretta. |
| LaunchDatetime | metadata.event_timestamp |
Analizzata in timestamp utilizzando il formato "ISO8601". |
| Rif | additional.fields[key="ScanReference"].value.string_value |
Mappato direttamente come valore di stringa all'interno di campi aggiuntivi. |
| ScanDetails.Status | security_result.detection_fields[key="ScanDetails Status"].value |
Mappatura diretta. |
| ScanInput.Network.ID | additional.fields[key="ScanInput Network ID"].value.string_value |
Mappato direttamente come valore di stringa all'interno di campi aggiuntivi. |
| ScanInput.Network.Name | additional.fields[key="ScanInput Network Name"].value.string_value |
Mappato direttamente come valore di stringa all'interno di campi aggiuntivi. |
| ScanInput.OptionProfile.ID | additional.fields[key="ScanInput Option Profile ID"].value.string_value |
Mappato direttamente come valore di stringa all'interno di campi aggiuntivi. |
| ScanInput.OptionProfile.Name | additional.fields[key="ScanInput Option Profile Name"].value.string_value |
Mappato direttamente come valore di stringa all'interno di campi aggiuntivi. |
| ScanInput.ScanDatetime | metadata.event_timestamp |
Analizzata in timestamp utilizzando il formato "ISO8601". |
| ScanInput.Title | metadata.description |
Mappatura diretta. |
| ScanInput.Username | principal.user.userid |
Mappatura diretta. |
| ScanReference | additional.fields[key="ScanReference"].value.string_value |
Mappato direttamente come valore di stringa all'interno di campi aggiuntivi. |
| Affermazione | metadata.description |
Mappatura diretta. |
| Stato | security_result.detection_fields[key="Status"].value |
Mappatura diretta. |
| SubCategory | security_result.description |
Mappatura diretta. |
| Technologies.ID | security_result.detection_fields[key="ID"].value |
Convertito in stringa e mappato per ogni tecnologia. |
| Technologies.Name | security_result.detection_fields[key="Name"].value |
Mappatura per ogni tecnologia. |
| Technologies.Rationale | security_result.detection_fields[key="Rationale"].value |
Mappatura per ogni tecnologia. |
| Titolo | metadata.description |
Mappatura diretta. |
| Tipo | additional.fields[key="Type"].value.string_value |
Mappato direttamente come valore di stringa all'interno di campi aggiuntivi. |
| UpdateDate | metadata.event_timestamp |
Analizzata in timestamp utilizzando il formato "ISO8601". |
| Userlogin | target.user.userid |
Mappatura diretta. Impostato su "AUTHTYPE_UNSPECIFIED" quando è presente Userlogin. Impostato su "USER_LOGIN" quando è presente Userlogin, su "USER_UNCATEGORIZED" quando è presente ScanInput.Username e metadata_event_type è "GENERIC_EVENT" oppure sul valore di metadata_event_type in caso contrario. Hardcoded su "QUALYS_SCAN". Hardcoded su "QUALYS_SCAN". |
Modifiche
2023-04-21
- Parser appena creato.