Qualys スキャンログを収集する
このドキュメントでは、Google Security Operations フィードを設定して Qualys スキャンログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル QUALYS_SCAN が付加されたパーサーに適用されます。
Qualys スキャンデータのインポート用にアカウントを作成する
- Qualys ポータルにログインします。
- [カスタマー Qualys マネージャー アカウント] ページの [ツール] セクションで、[ユーザー アカウント] をクリックします。
- [新規] > [ユーザー] を選択します。
連絡先情報またはお客様の参照ポイントを入力します。ユーザー アカウントに次のフィールドがマッピングされていることを確認します。
- [ユーザーロール] リストで [読み取り] を選択します。
- [アクセスを許可] フィールドで、[GUI] チェックボックスと [API] チェックボックスをオンにします。
- [アセット グループ] セクションで、使用可能なすべてのアセット グループをユーザーに割り当てます。
[詳細構成] を選択します。
[通知オプション] セクションで、脆弱性に対して [なし] を選択し、スキャン、マッピング、レポートに対して [通知なし] を選択します。
新しいユーザーを作成したら、そのユーザーを有効にして、ユーザー名とパスワードが機能することを確認します。
Qualys スキャンログを取り込むように Google Security Operations でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New] をクリックします。
- [フィールド名] に一意の名前を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログ タイプ] として [Qualys スキャン] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- ユーザー名: 前の手順で取得したユーザー名を指定します。
- シークレット: 前の手順で取得したパスワードを指定します。
- API の完全パス:
qualysapi.qualys.comなどの API の完全パスを指定します。 - API タイプ: API タイプを指定します。
- [次へ] をクリックし、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Qualys Scan JSON ログからセキュリティ イベント データを抽出し、統合データモデル(UDM)に変換します。さまざまな Qualys スキャンログ形式を処理し、タイムスタンプの抽出に ScanInput.ScanDatetime、UpdateDate、LaunchDatetime を優先し、関連するフィールドを UDM プロパティ(ユーザー情報、説明、セキュリティ結果、追加のメタデータなど)にマッピングします。また、パーサーは Technologies データを反復処理し、各技術エントリ内の関連フィールドを抽出してマッピングします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| カテゴリ | metadata.product_log_id |
文字列に変換されます。 |
| カテゴリ | security_result.category_details |
直接マッピング。 |
| ID | metadata.product_log_id |
直接マッピング。 |
| LaunchDatetime | metadata.event_timestamp |
「ISO8601」形式を使用してタイムスタンプに解析されます。 |
| Ref | additional.fields[key="ScanReference"].value.string_value |
追加フィールド内の文字列値として直接マッピングされます。 |
| ScanDetails.Status | security_result.detection_fields[key="ScanDetails Status"].value |
直接マッピング。 |
| ScanInput.Network.ID | additional.fields[key="ScanInput Network ID"].value.string_value |
追加フィールド内の文字列値として直接マッピングされます。 |
| ScanInput.Network.Name | additional.fields[key="ScanInput Network Name"].value.string_value |
追加フィールド内の文字列値として直接マッピングされます。 |
| ScanInput.OptionProfile.ID | additional.fields[key="ScanInput Option Profile ID"].value.string_value |
追加フィールド内の文字列値として直接マッピングされます。 |
| ScanInput.OptionProfile.Name | additional.fields[key="ScanInput Option Profile Name"].value.string_value |
追加フィールド内の文字列値として直接マッピングされます。 |
| ScanInput.ScanDatetime | metadata.event_timestamp |
「ISO8601」形式を使用してタイムスタンプに解析されます。 |
| ScanInput.Title | metadata.description |
直接マッピング。 |
| ScanInput.Username | principal.user.userid |
直接マッピング。 |
| ScanReference | additional.fields[key="ScanReference"].value.string_value |
追加フィールド内の文字列値として直接マッピングされます。 |
| ステートメント | metadata.description |
直接マッピング。 |
| ステータス | security_result.detection_fields[key="Status"].value |
直接マッピング。 |
| SubCategory | security_result.description |
直接マッピング。 |
| Technologies.ID | security_result.detection_fields[key="ID"].value |
文字列に変換され、テクノロジーごとにマッピングされます。 |
| Technologies.Name | security_result.detection_fields[key="Name"].value |
テクノロジーごとにマッピングされています。 |
| Technologies.Rationale | security_result.detection_fields[key="Rationale"].value |
テクノロジーごとにマッピングされています。 |
| タイトル | metadata.description |
直接マッピング。 |
| タイプ | additional.fields[key="Type"].value.string_value |
追加フィールド内の文字列値として直接マッピングされます。 |
| UpdateDate | metadata.event_timestamp |
「ISO8601」形式を使用してタイムスタンプに解析されます。 |
| Userlogin | target.user.userid |
直接マッピング。Userlogin が存在する場合は「AUTHTYPE_UNSPECIFIED」に設定します。Userlogin が存在する場合は「USER_LOGIN」、ScanInput.Username が存在し、metadata_event_type が「GENERIC_EVENT」の場合は「USER_UNCATEGORIZED」、それ以外の場合は metadata_event_type の値に設定します。「QUALYS_SCAN」にハードコードされています。「QUALYS_SCAN」にハードコードされています。 |
変更点
2023-04-21
- 新しく作成されたパーサー。