Qualys 스캔 로그 수집
이 문서에서는 Google Security Operations 피드를 설정하여 Qualys 검사 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 QUALYS_SCAN 수집 라벨이 있는 파서에 적용됩니다.
Qualys 스캔 데이터 가져오기를 위한 계정 만들기
- Qualys 포털에 로그인합니다.
- 고객 Qualys 관리자 계정 페이지의 도구 섹션에서 사용자 계정을 클릭합니다.
- 새로 만들기 > 사용자를 선택합니다.
연락처 세부정보 또는 고객 참조점을 입력합니다. 사용자 계정에 다음 필드가 매핑되어 있는지 확인합니다.
- 사용자 역할 목록에서 Reader를 선택합니다.
- 액세스 허용 입력란에서 GUI 체크박스와 API 체크박스를 선택합니다.
- 애셋 그룹 섹션에서 사용 가능한 모든 애셋 그룹을 사용자에게 할당합니다.
고급 구성을 선택합니다.
알림 옵션 섹션에서 취약점에 대해 없음을 선택하고 검사, 지도, 보고서에 대해 알림 없음을 선택합니다.
새 사용자를 만든 후 사용자를 활성화하고 사용자 이름과 비밀번호가 작동하는지 확인합니다.
Qualys 검사 로그를 수집하도록 Google Security Operations에서 피드 구성
- SIEM 설정 > 피드로 이동합니다.
- 새 항목 추가를 클릭합니다.
- 필드 이름의 고유한 이름을 입력합니다.
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Qualys Scan을 선택합니다.
- 다음을 클릭합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 사용자 이름: 이전에 가져온 사용자 이름을 지정합니다.
- 비밀: 이전에 가져온 비밀번호를 지정합니다.
- API 전체 경로:
qualysapi.qualys.com와 같은 API 전체 경로를 지정합니다. - API 유형: API 유형을 지정합니다.
- 다음을 클릭한 후 제출을 클릭합니다.
Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참조하세요. 피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 Qualys Scan JSON 로그에서 보안 이벤트 데이터를 추출하여 통합 데이터 모델 (UDM)로 변환합니다. 다양한 Qualys 스캔 로그 형식을 처리하며 타임스탬프 추출을 위해 ScanInput.ScanDatetime, UpdateDate, LaunchDatetime에 우선순위를 두고 사용자 정보, 설명, 보안 결과, 추가 메타데이터를 비롯한 관련 필드를 UDM 속성에 매핑합니다. 또한 파서는 Technologies 데이터를 반복하여 각 기술 항목 내의 관련 필드를 추출하고 매핑합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| 카테고리 | metadata.product_log_id |
문자열로 변환됩니다. |
| 카테고리 | security_result.category_details |
직접 매핑됩니다. |
| ID | metadata.product_log_id |
직접 매핑됩니다. |
| LaunchDatetime | metadata.event_timestamp |
'ISO8601' 형식을 사용하여 타임스탬프로 파싱됩니다. |
| 참조 | additional.fields[key="ScanReference"].value.string_value |
추가 필드 내에서 문자열 값으로 직접 매핑됩니다. |
| ScanDetails.Status | security_result.detection_fields[key="ScanDetails Status"].value |
직접 매핑됩니다. |
| ScanInput.Network.ID | additional.fields[key="ScanInput Network ID"].value.string_value |
추가 필드 내에서 문자열 값으로 직접 매핑됩니다. |
| ScanInput.Network.Name | additional.fields[key="ScanInput Network Name"].value.string_value |
추가 필드 내에서 문자열 값으로 직접 매핑됩니다. |
| ScanInput.OptionProfile.ID | additional.fields[key="ScanInput Option Profile ID"].value.string_value |
추가 필드 내에서 문자열 값으로 직접 매핑됩니다. |
| ScanInput.OptionProfile.Name | additional.fields[key="ScanInput Option Profile Name"].value.string_value |
추가 필드 내에서 문자열 값으로 직접 매핑됩니다. |
| ScanInput.ScanDatetime | metadata.event_timestamp |
'ISO8601' 형식을 사용하여 타임스탬프로 파싱됩니다. |
| ScanInput.Title | metadata.description |
직접 매핑됩니다. |
| ScanInput.Username | principal.user.userid |
직접 매핑됩니다. |
| ScanReference | additional.fields[key="ScanReference"].value.string_value |
추가 필드 내에서 문자열 값으로 직접 매핑됩니다. |
| 문 | metadata.description |
직접 매핑됩니다. |
| 상태 | security_result.detection_fields[key="Status"].value |
직접 매핑됩니다. |
| SubCategory | security_result.description |
직접 매핑됩니다. |
| Technologies.ID | security_result.detection_fields[key="ID"].value |
문자열로 변환되고 각 기술에 매핑됩니다. |
| Technologies.Name | security_result.detection_fields[key="Name"].value |
각 기술에 매핑됩니다. |
| Technologies.Rationale | security_result.detection_fields[key="Rationale"].value |
각 기술에 매핑됩니다. |
| 제목 | metadata.description |
직접 매핑됩니다. |
| 유형 | additional.fields[key="Type"].value.string_value |
추가 필드 내에서 문자열 값으로 직접 매핑됩니다. |
| UpdateDate | metadata.event_timestamp |
'ISO8601' 형식을 사용하여 타임스탬프로 파싱됩니다. |
| Userlogin | target.user.userid |
직접 매핑됩니다. Userlogin가 있는 경우 'AUTHTYPE_UNSPECIFIED'로 설정합니다. Userlogin가 있는 경우 'USER_LOGIN'으로, ScanInput.Username가 있고 metadata_event_type이 'GENERIC_EVENT'인 경우 'USER_UNCATEGORIZED'로, 그 밖의 경우에는 metadata_event_type의 값으로 설정합니다. 'QUALYS_SCAN'으로 하드코딩되었습니다. 'QUALYS_SCAN'으로 하드코딩되었습니다. |
변경사항
2023-04-21
- 파서를 새로 만들었습니다.