이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Qualys 스캔 로그 수집
bookmark_border 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

다음에서 지원:

Google SecOps SIEM

이 파서는 Qualys Scan JSON 로그에서 필드를 추출하고 타임스탬프를 정규화한 후 UDM에 매핑합니다. 일반 이벤트 및 사용자 로그인을 비롯한 다양한 Qualys 이벤트 유형을 처리하여 UDM 필드를 관련 보안 정보 및 메타데이터로 채웁니다.

시작하기 전에

Google Security Operations 인스턴스가 있는지 확인합니다.
Qualys VMDR 콘솔에 대한 권한이 있는지 확인합니다.

선택사항: Qualys에서 전용 API 사용자 만들기

Qualys 콘솔에 로그인합니다.
사용자로 이동합니다.
새로 만들기 > 사용자를 클릭합니다.
사용자에게 필요한 일반 정보를 입력합니다.
사용자 역할 탭을 선택합니다.
역할에 API 액세스 체크박스가 선택되어 있는지 확인합니다.
저장을 클릭합니다.

특정 Qualys API URL 식별

옵션 1

플랫폼 식별에 설명된 대로 URL을 식별합니다.

옵션 2

Qualys 콘솔에 로그인합니다.
도움말 > 정보로 이동합니다.
보안 운영 센터 (SOC)에서 이 정보를 확인하려면 스크롤하세요.
Qualys API URL을 복사합니다.

Qulays 검사 로그를 수집하도록 Google SecOps에서 피드 구성

SIEM 설정 > 피드로 이동합니다.
새로 추가를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다 (예: Qualys 검사 로그).
소스 유형으로 서드 파티 API를 선택합니다.
로그 유형으로 Qualys Scan을 선택합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- 사용자 이름: 전용 사용자의 사용자 이름을 입력합니다.
- 보안 비밀: 전용 사용자의 비밀번호를 입력합니다.
- API 전체 경로: 일반 Qualys API 서버 URL을 입력합니다 (예: qualysapi.qg2.apps.qualys.eu).
- API 유형: 처리할 스캔 유형을 선택합니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
다음을 클릭합니다.
확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`Category`	`security_result.category_details`	`Category` 필드에서 직접 매핑됩니다.
`ID`	`metadata.product_log_id`	`ID` 필드에서 직접 매핑됩니다. 문자열로 변환됩니다.
`LaunchDatetime`	`metadata.event_timestamp`	`ScanInput.ScanDatetime` 및 `UpdateDate`가 없는 경우 이벤트 타임스탬프로 사용됩니다. 'ISO8601' 형식으로 파싱됩니다.
`Ref`	`additional.fields[1].key` `additional.fields[1].value.string_value`	`ScanReference`가 없는 경우 키가 'ScanReference'인 `additional.fields`에 매핑됩니다.
`ScanDetails.Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	'ScanDetails Status' 키로 `security_result.detection_fields`에 매핑됩니다.
`ScanInput.Network.ID`	`additional.fields[0].key` `additional.fields[0].value.string_value`	'ScanInput Network ID' 키로 `additional.fields`에 매핑되었습니다.
`ScanInput.Network.Name`	`additional.fields[1].key` `additional.fields[1].value.string_value`	'ScanInput Network Name' 키로 `additional.fields`에 매핑됩니다.
`ScanInput.OptionProfile.ID`	`additional.fields[2].key` `additional.fields[2].value.string_value`	'ScanInput Option Profile ID' 키로 `additional.fields`에 매핑되었습니다.
`ScanInput.OptionProfile.Name`	`additional.fields[3].key` `additional.fields[3].value.string_value`	'ScanInput Option Profile Name' 키로 `additional.fields`에 매핑됩니다.
`ScanInput.ScanDatetime`	`metadata.event_timestamp`	있는 경우 이벤트 타임스탬프로 사용됩니다. 'ISO8601' 형식으로 파싱됩니다.
`ScanInput.Title`	`metadata.description`	`ScanInput.Title` 필드에서 직접 매핑됩니다.
`ScanInput.Username`	`principal.user.userid`	`ScanInput.Username` 필드에서 직접 매핑됩니다.
`ScanReference`	`additional.fields[4].key` `additional.fields[4].value.string_value`	'ScanReference' 키로 `additional.fields`에 매핑되었습니다.
`Statement`	`metadata.description`	`ScanInput.Title` 및 `Title`가 없는 경우 `Statement` 필드에서 직접 매핑됩니다.
`Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	'Status' 키로 `security_result.detection_fields`에 매핑되었습니다.
`SubCategory`	`security_result.description`	`SubCategory` 필드에서 직접 매핑됩니다.
`Technologies[].ID`	`security_result.detection_fields[0].value`	`Technologies[].ID` 필드에서 직접 매핑됩니다. 문자열로 변환됩니다. 반복되는 `security_result` 객체의 일부입니다.
`Technologies[].Name`	`security_result.detection_fields[1].value`	`Technologies[].Name` 필드에서 직접 매핑됩니다. 반복되는 `security_result` 객체의 일부입니다.
`Technologies[].Rationale`	`security_result.detection_fields[2].value`	`Technologies[].Rationale` 필드에서 직접 매핑됩니다. 반복되는 `security_result` 객체의 일부입니다.
`Title`	`metadata.description`	`ScanInput.Title` 및 `Statement`가 없는 경우 `Title` 필드에서 직접 매핑됩니다.
`Type`	`additional.fields[2].key` `additional.fields[2].value.string_value`	'유형' 키로 `additional.fields`에 매핑되었습니다.
`UpdateDate`	`metadata.event_timestamp`	`ScanInput.ScanDatetime`이 없는 경우 이벤트 타임스탬프로 사용됩니다. 'ISO8601' 형식으로 파싱됩니다.
`Userlogin`	`target.user.userid`	`Userlogin` 필드에서 직접 매핑됩니다. `Userlogin`가 있는 경우 'AUTHTYPE_UNSPECIFIED'로 설정합니다. 'GENERIC_EVENT'로 설정합니다. `Userlogin`가 있는 경우 'USER_LOGIN'으로 변경되었습니다. `metadata_event_type`이 'GENERIC_EVENT'이고 `ScanInput.Username`가 있는 경우 'USER_UNCATEGORIZED'로 변경되었습니다. 'QUALYS_SCAN'으로 설정합니다. 'QUALYS_SCAN'으로 설정합니다. 각 기술에 'ID'로 설정합니다. 반복되는 `security_result` 객체의 일부입니다. 각 기술의 '이름'으로 설정합니다. 반복되는 `security_result` 객체의 일부입니다. 각 기술에 '근거'로 설정합니다. 반복되는 `security_result` 객체의 일부입니다.

변경사항

2023-04-21

파서를 새로 만들었습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.