Collecter les journaux d'analyse Qualys

Compatible avec:

Ce document explique comment collecter les journaux d'analyse Qualys en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion QUALYS_SCAN.

Créer un compte pour importer les données d'analyse Qualys

  1. Connectez-vous au portail Qualys.
  2. Dans la section Outils de la page Compte administrateur Customer Qualys, cliquez sur Comptes utilisateur.
  3. Sélectionnez Nouveau > Utilisateur.

  4. Saisissez les coordonnées ou le point de référence du client. Assurez-vous que les champs suivants sont mappés pour le compte utilisateur.

    • Dans la liste Rôle utilisateur, sélectionnez Lecteur.
    • Dans le champ Allow access to (Autoriser l'accès à), cochez les cases GUI (IUG) et API.
    • Dans la section Groupes d'assets, attribuez tous les groupes d'assets disponibles à l'utilisateur.

  5. Sélectionnez Configuration avancée.

  6. Dans la section Options de notification, sélectionnez Aucune pour les failles, et Aucune notification pour l'analyse, la carte et le rapport.

  7. Une fois l'utilisateur créé, activez-le et assurez-vous que le nom d'utilisateur et le mot de passe fonctionnent.

Configurer un flux dans Google Security Operations pour ingérer les journaux d'analyse Qualys

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Add New (Ajouter nouveau).
  3. Saisissez un nom unique dans le champ Nom du champ.
  4. Sélectionnez API tierce comme type de source.
  5. Sélectionnez Qualys Scan comme Type de journal.
  6. Cliquez sur Suivant.
  7. Configurez les paramètres d'entrée obligatoires suivants :
    • Nom d'utilisateur: spécifiez le nom d'utilisateur que vous avez obtenu précédemment.
    • Secret: spécifiez le mot de passe que vous avez obtenu précédemment.
    • Chemin d'accès complet de l'API: spécifiez le chemin d'accès complet de l'API, par exemple qualysapi.qualys.com.
    • Type d'API: spécifiez le type d'API.
  8. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez la section Configuration des flux par type. Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.

Référence de mappage de champ

Cet analyseur extrait les données des événements de sécurité à partir des journaux JSON de Qualys Scan, et les transforme en modèle de données unifié (UDM). Il gère différents formats de journaux Qualys Scan, en donnant la priorité à ScanInput.ScanDatetime, UpdateDate et LaunchDatetime pour l'extraction de l'horodatage, et met en correspondance les champs pertinents avec les propriétés UDM, y compris les informations utilisateur, les descriptions, les résultats de sécurité et les métadonnées supplémentaires. L'analyseur itère également sur les données Technologies, en extrayant et en mappant les champs pertinents dans chaque entrée de technologie.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
Catégorie metadata.product_log_id Converti en chaîne.
Catégorie security_result.category_details Mappage direct.
ID metadata.product_log_id Mappage direct.
LaunchDatetime metadata.event_timestamp Converti en code temporel au format "ISO8601".
Ref additional.fields[key="ScanReference"].value.string_value Mappé directement en tant que valeur de chaîne dans des champs supplémentaires.
ScanDetails.Status security_result.detection_fields[key="ScanDetails Status"].value Mappage direct.
ScanInput.Network.ID additional.fields[key="ScanInput Network ID"].value.string_value Mappé directement en tant que valeur de chaîne dans des champs supplémentaires.
ScanInput.Network.Name additional.fields[key="ScanInput Network Name"].value.string_value Mappé directement en tant que valeur de chaîne dans des champs supplémentaires.
ScanInput.OptionProfile.ID additional.fields[key="ScanInput Option Profile ID"].value.string_value Mappé directement en tant que valeur de chaîne dans des champs supplémentaires.
ScanInput.OptionProfile.Name additional.fields[key="ScanInput Option Profile Name"].value.string_value Mappé directement en tant que valeur de chaîne dans des champs supplémentaires.
ScanInput.ScanDatetime metadata.event_timestamp Converti en code temporel au format "ISO8601".
ScanInput.Title metadata.description Mappage direct.
ScanInput.Username principal.user.userid Mappage direct.
ScanReference additional.fields[key="ScanReference"].value.string_value Mappé directement en tant que valeur de chaîne dans des champs supplémentaires.
Propos metadata.description Mappage direct.
État security_result.detection_fields[key="Status"].value Mappage direct.
SubCategory security_result.description Mappage direct.
Technologies.ID security_result.detection_fields[key="ID"].value Converti en chaîne et mappé pour chaque technologie.
Technologies.Name security_result.detection_fields[key="Name"].value Mappées pour chaque technologie.
Technologies.Rationale security_result.detection_fields[key="Rationale"].value Mappées pour chaque technologie.
Titre metadata.description Mappage direct.
Type additional.fields[key="Type"].value.string_value Mappé directement en tant que valeur de chaîne dans des champs supplémentaires.
UpdateDate metadata.event_timestamp Converti en code temporel au format "ISO8601".
Userlogin target.user.userid Mappage direct. Définissez cette valeur sur "AUTHTYPE_UNSPECIFIED" lorsque Userlogin est présent. Définissez-le sur "USER_LOGIN" lorsque Userlogin est présent, sur "USER_UNCATEGORIZED" lorsque ScanInput.Username est présent et que metadata_event_type est "GENERIC_EVENT", ou sur la valeur de metadata_event_type dans le cas contraire. Code codé en dur sur "QUALYS_SCAN". Code codé en dur sur "QUALYS_SCAN".

Modifications

2023-04-21

  • Analyseur nouvellement créé.