Mengumpulkan log pemindaian Qualys
Dokumen ini menjelaskan cara mengumpulkan log pemindaian Qualys dengan menyiapkan feed Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer QUALYS_SCAN.
Membuat akun untuk impor data pemindaian Qualys
- Login ke portal Qualys.
- Di bagian Alat pada halaman Akun pengelola Qualys pelanggan, klik Akun pengguna.
- Pilih Baru > Pengguna.
Masukkan detail kontak atau titik referensi pelanggan. Pastikan kolom berikut dipetakan untuk akun pengguna.
- Di daftar Peran Pengguna, pilih Pembaca.
- Di kolom Allow access to, centang kotak GUI dan kotak API.
- Di bagian Grup Aset, tetapkan semua grup aset yang tersedia kepada pengguna.
Pilih Advanced configuration.
Di bagian Notifications options, pilih None untuk kerentanan, dan pilih No notifications untuk pemindaian, pemetaan, dan pelaporan.
Setelah Anda membuat pengguna baru, aktifkan pengguna tersebut dan pastikan nama pengguna dan sandinya berfungsi.
Mengonfigurasi feed di Google Security Operations untuk menyerap log pemindaian Qualys
- Buka Setelan SIEM > Feed.
- Klik Add New.
- Masukkan nama unik untuk Nama kolom.
- Pilih Third party API sebagai Source type.
- Pilih Qualys Scan sebagai Log type.
- Klik Berikutnya.
- Konfigurasikan parameter input wajib berikut:
- Nama pengguna: tentukan nama pengguna yang Anda peroleh sebelumnya.
- Secret: tentukan sandi yang Anda peroleh sebelumnya.
- Jalur lengkap API: tentukan jalur lengkap API, seperti
qualysapi.qualys.com. - Jenis API: tentukan jenis API.
- Klik Berikutnya, lalu klik Kirim.
Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis. Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini mengekstrak data peristiwa keamanan dari log JSON Qualys Scan, dan mengubahnya menjadi Unified Data Model (UDM). Fungsi ini menangani berbagai format log Qualys Scan, dengan memprioritaskan ScanInput.ScanDatetime, UpdateDate, dan LaunchDatetime untuk ekstraksi stempel waktu dan memetakan kolom yang relevan ke properti UDM, termasuk informasi pengguna, deskripsi, hasil keamanan, dan metadata tambahan. Parser juga melakukan iterasi melalui data Technologies, mengekstrak, dan memetakan kolom yang relevan dalam setiap entri teknologi.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| Kategori | metadata.product_log_id |
Dikonversi ke string. |
| Kategori | security_result.category_details |
Dipetakan secara langsung. |
| ID | metadata.product_log_id |
Dipetakan secara langsung. |
| LaunchDatetime | metadata.event_timestamp |
Diurai menjadi stempel waktu menggunakan format "ISO8601". |
| Ref | additional.fields[key="ScanReference"].value.string_value |
Dipetakan langsung sebagai nilai string dalam kolom tambahan. |
| ScanDetails.Status | security_result.detection_fields[key="ScanDetails Status"].value |
Dipetakan secara langsung. |
| ScanInput.Network.ID | additional.fields[key="ScanInput Network ID"].value.string_value |
Dipetakan langsung sebagai nilai string dalam kolom tambahan. |
| ScanInput.Network.Name | additional.fields[key="ScanInput Network Name"].value.string_value |
Dipetakan langsung sebagai nilai string dalam kolom tambahan. |
| ScanInput.OptionProfile.ID | additional.fields[key="ScanInput Option Profile ID"].value.string_value |
Dipetakan langsung sebagai nilai string dalam kolom tambahan. |
| ScanInput.OptionProfile.Name | additional.fields[key="ScanInput Option Profile Name"].value.string_value |
Dipetakan langsung sebagai nilai string dalam kolom tambahan. |
| ScanInput.ScanDatetime | metadata.event_timestamp |
Diurai menjadi stempel waktu menggunakan format "ISO8601". |
| ScanInput.Title | metadata.description |
Dipetakan secara langsung. |
| ScanInput.Username | principal.user.userid |
Dipetakan secara langsung. |
| ScanReference | additional.fields[key="ScanReference"].value.string_value |
Dipetakan langsung sebagai nilai string dalam kolom tambahan. |
| Pernyataan | metadata.description |
Dipetakan secara langsung. |
| Status | security_result.detection_fields[key="Status"].value |
Dipetakan secara langsung. |
| SubCategory | security_result.description |
Dipetakan secara langsung. |
| Technologies.ID | security_result.detection_fields[key="ID"].value |
Dikonversi menjadi string dan dipetakan untuk setiap teknologi. |
| Technologies.Name | security_result.detection_fields[key="Name"].value |
Dipetakan untuk setiap teknologi. |
| Technologies.Rationale | security_result.detection_fields[key="Rationale"].value |
Dipetakan untuk setiap teknologi. |
| Judul | metadata.description |
Dipetakan secara langsung. |
| Jenis | additional.fields[key="Type"].value.string_value |
Dipetakan langsung sebagai nilai string dalam kolom tambahan. |
| UpdateDate | metadata.event_timestamp |
Diurai menjadi stempel waktu menggunakan format "ISO8601". |
| Userlogin | target.user.userid |
Dipetakan secara langsung. Tetapkan ke "AUTHTYPE_UNSPECIFIED" jika Userlogin ada. Tetapkan ke "USER_LOGIN" jika Userlogin ada, "USER_UNCATEGORIZED" jika ScanInput.Username ada dan metadata_event_type adalah "GENERIC_EVENT", atau nilai metadata_event_type jika tidak. Di-hardcode ke "QUALYS_SCAN". Di-hardcode ke "QUALYS_SCAN". |
Perubahan
2023-04-21
- Parser yang baru dibuat.