Qualys-Scanprotokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Felder aus Qualys-Scan-JSON-Logs, normalisiert Zeitstempel und ordnet sie dem UDM zu. Es werden verschiedene Qualys-Ereignistypen verarbeitet, einschließlich generischer Ereignisse und Nutzeranmeldungen, wobei UDM-Felder mit relevanten Sicherheitsinformationen und Metadaten ausgefüllt werden.

Hinweise

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie benötigen Berechtigungen für die Qualys VMDR-Konsole.

Optional: Einen speziellen API-Nutzer in Qualys erstellen

  1. Melden Sie sich in der Qualys-Konsole an.
  2. Gehen Sie zu Nutzer.
  3. Klicken Sie auf Neu > Nutzer.
  4. Geben Sie die für den Nutzer erforderlichen Allgemeinen Informationen ein.
  5. Klicken Sie auf den Tab Nutzerrolle.
  6. Das Kästchen API-Zugriff muss für die Rolle ausgewählt sein.
  7. Klicken Sie auf Speichern.

Spezifische Qualys API-URL angeben

Option 1

Geben Sie Ihre URLs wie in der Plattformidentifikation angegeben an.

Option 2

  1. Melden Sie sich in der Qualys-Konsole an.
  2. Gehen Sie zu Hilfe > Info.
  3. Scrollen Sie nach unten zu „Security Operations Center (SOC)“.
  4. Kopieren Sie die URL der Qualys API.

Feed in Google SecOps konfigurieren, um Qurays-Scanprotokolle aufzunehmen

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Qualys-Scanprotokolle.
  4. Wählen Sie Drittanbieter-API als Quelltyp aus.
  5. Wählen Sie als Logtyp Qualys-Scan aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Nutzername: Geben Sie den Nutzernamen für den speziellen Nutzer ein.
    • Secret: Geben Sie das Passwort für den entsprechenden Nutzer ein.
    • Vollständiger API-Pfad: Geben Sie die URL des Qualys API-Servers an (z. B. qualysapi.qg2.apps.qualys.eu).
    • API-Typ: Wählen Sie den Scantyp aus, den Sie aufnehmen möchten.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Category security_result.category_details Direkt aus dem Feld Category zugeordnet.
ID metadata.product_log_id Direkt aus dem Feld ID zugeordnet. In String umgewandelt.
LaunchDatetime metadata.event_timestamp Wird als Ereigniszeitstempel verwendet, wenn ScanInput.ScanDatetime und UpdateDate nicht vorhanden sind. Im Format „ISO8601“ geparst.
Ref additional.fields[1].key
additional.fields[1].value.string_value		 Wird additional.fields mit dem Schlüssel „ScanReference“ zugeordnet, wenn ScanReference nicht vorhanden ist.
ScanDetails.Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Zu security_result.detection_fields mit dem Schlüssel „ScanDetails Status“ zugeordnet.
ScanInput.Network.ID additional.fields[0].key
additional.fields[0].value.string_value		 Mit dem Schlüssel „ScanInput Network ID“ auf additional.fields zugeordnet.
ScanInput.Network.Name additional.fields[1].key
additional.fields[1].value.string_value		 Zugewiesen zu additional.fields mit dem Schlüssel „ScanInput Network Name“.
ScanInput.OptionProfile.ID additional.fields[2].key
additional.fields[2].value.string_value		 Wird mit dem Schlüssel „ScanInput Option Profile ID“ auf additional.fields zugeordnet.
ScanInput.OptionProfile.Name additional.fields[3].key
additional.fields[3].value.string_value		 Wird mit dem Schlüssel „ScanInput Option Profile Name“ (Name des Scan-Eingabeoptionsprofils) auf additional.fields zugeordnet.
ScanInput.ScanDatetime metadata.event_timestamp Wird als Ereigniszeitstempel verwendet, sofern vorhanden. Im Format „ISO8601“ geparst.
ScanInput.Title metadata.description Direkt aus dem Feld ScanInput.Title zugeordnet.
ScanInput.Username principal.user.userid Direkt aus dem Feld ScanInput.Username zugeordnet.
ScanReference additional.fields[4].key
additional.fields[4].value.string_value		 Mit dem Schlüssel „ScanReference“ auf additional.fields zugeordnet.
Statement metadata.description Wird direkt aus dem Feld Statement zugeordnet, wenn ScanInput.Title und Title nicht vorhanden sind.
Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Mit dem Schlüssel „Status“ auf security_result.detection_fields zugeordnet.
SubCategory security_result.description Direkt aus dem Feld SubCategory zugeordnet.
Technologies[].ID security_result.detection_fields[0].value Direkt aus dem Feld Technologies[].ID zugeordnet. In String umgewandelt. Teil eines wiederholten security_result-Objekts.
Technologies[].Name security_result.detection_fields[1].value Direkt aus dem Feld Technologies[].Name zugeordnet. Teil eines wiederholten security_result-Objekts.
Technologies[].Rationale security_result.detection_fields[2].value Direkt aus dem Feld Technologies[].Rationale zugeordnet. Teil eines wiederholten security_result-Objekts.
Title metadata.description Wird direkt aus dem Feld Title zugeordnet, wenn ScanInput.Title und Statement nicht vorhanden sind.
Type additional.fields[2].key
additional.fields[2].value.string_value		 Mit dem Schlüssel „Typ“ auf additional.fields zugeordnet.
UpdateDate metadata.event_timestamp Wird als Ereigniszeitstempel verwendet, wenn ScanInput.ScanDatetime nicht vorhanden ist. Im Format „ISO8601“ geparst.
Userlogin target.user.userid Direkt aus dem Feld Userlogin zugeordnet. Wenn Userlogin vorhanden ist, wird „AUTHTYPE_UNSPECIFIED“ festgelegt. Legen Sie „GENERIC_EVENT“ fest. Wird in „USER_LOGIN“ geändert, wenn Userlogin vorhanden ist. In „USER_UNCATEGORIZED“ geändert, wenn metadata_event_type „GENERIC_EVENT“ ist und ScanInput.Username vorhanden ist. Legen Sie diesen Wert auf „QUALYS_SCAN“ fest. Legen Sie diesen Wert auf „QUALYS_SCAN“ fest. Legen Sie für jede Technologie „ID“ fest. Teil eines wiederholten security_result-Objekts. Legen Sie für jede Technologie „Name“ fest. Teil eines wiederholten security_result-Objekts. Legen Sie für jede Technologie „Begründung“ fest. Teil eines wiederholten security_result-Objekts.

Änderungen

2023-04-21

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten