Coletar registros de verificação do Qualys
Este documento descreve como coletar logs de verificação do Qualys configurando um feed de operações de segurança do Google.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador
com o rótulo de transferência QUALYS_SCAN.
Criar uma conta para a importação de dados de verificação do Qualys
- Faça login no portal da Qualys.
- Na seção Ferramentas da página Conta de administrador da Customer Qualys, clique em Contas de usuário.
- Selecione Novo > Usuário.
Insira os detalhes de contato ou o ponto de referência do cliente. Confira se os campos a seguir estão mapeados para a conta de usuário.
- Na lista Função do usuário, selecione Leitor.
- No campo Permitir acesso a, marque a caixa de seleção GUI e API.
- Na seção Grupos de recursos, atribua todos os grupos de recursos disponíveis ao usuário.
Selecione Configuração avançada.
Na seção Opções de notificação, selecione Nenhuma para vulnerabilidades e Sem notificações para verificação, mapa e relatório.
Depois de criar um novo usuário, ative-o e verifique se o nome de usuário e a senha funcionam.
Configurar um feed no Google Security Operations para processar registros de verificação do Qualys
- Acesse Configurações do SIEM > Feeds.
- Clique em Add New.
- Insira um nome exclusivo para o Nome do campo.
- Selecione API de terceiros como o Tipo de origem.
- Selecione Qualys Scan como o Tipo de registro.
- Clique em Próxima.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Nome de usuário: especifique o nome de usuário que você recebeu anteriormente.
- Secret: especifique a senha que você recebeu anteriormente.
- Caminho completo da API: especifique o caminho completo da API, como
qualysapi.qualys.com. - Tipo de API: especifique o tipo de API.
- Clique em Próxima e em Enviar.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feeds por tipo. Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.
Referência do mapeamento de campo
Esse analisador extrai dados ocorrência de segurança dos registros JSON do Qualys Scan e os transforma no modelo de dados unificado (UDM, na sigla em inglês). Ele processa vários formatos de registro do Qualys Scan, priorizando ScanInput.ScanDatetime, UpdateDate e LaunchDatetime para a extração de carimbos de data/hora e mapeia os campos relevantes para propriedades do UDM, incluindo informações do usuário, descrições, resultados de segurança e metadados adicionais. O analisador também itera pelos dados Technologies, extraindo e mapeando campos relevantes em cada entrada de tecnologia.
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| Categoria | metadata.product_log_id |
Convertido em string. |
| Categoria | security_result.category_details |
Mapeado diretamente. |
| ID | metadata.product_log_id |
Mapeado diretamente. |
| LaunchDatetime | metadata.event_timestamp |
Analisado para carimbo de data/hora usando o formato "ISO8601". |
| Ref | additional.fields[key="ScanReference"].value.string_value |
Mapeado diretamente como valor de string em campos adicionais. |
| ScanDetails.Status | security_result.detection_fields[key="ScanDetails Status"].value |
Mapeado diretamente. |
| ScanInput.Network.ID | additional.fields[key="ScanInput Network ID"].value.string_value |
Mapeado diretamente como valor de string em campos adicionais. |
| ScanInput.Network.Name | additional.fields[key="ScanInput Network Name"].value.string_value |
Mapeado diretamente como valor de string em campos adicionais. |
| ScanInput.OptionProfile.ID | additional.fields[key="ScanInput Option Profile ID"].value.string_value |
Mapeado diretamente como valor de string em campos adicionais. |
| ScanInput.OptionProfile.Name | additional.fields[key="ScanInput Option Profile Name"].value.string_value |
Mapeado diretamente como valor de string em campos adicionais. |
| ScanInput.ScanDatetime | metadata.event_timestamp |
Analisado para carimbo de data/hora usando o formato "ISO8601". |
| ScanInput.Title | metadata.description |
Mapeado diretamente. |
| ScanInput.Username | principal.user.userid |
Mapeado diretamente. |
| ScanReference | additional.fields[key="ScanReference"].value.string_value |
Mapeado diretamente como valor de string em campos adicionais. |
| Instrução | metadata.description |
Mapeado diretamente. |
| Status | security_result.detection_fields[key="Status"].value |
Mapeado diretamente. |
| SubCategory | security_result.description |
Mapeado diretamente. |
| Technologies.ID | security_result.detection_fields[key="ID"].value |
Conversão em string e mapeamento para cada tecnologia. |
| Technologies.Name | security_result.detection_fields[key="Name"].value |
Mapeado para cada tecnologia. |
| Technologies.Rationale | security_result.detection_fields[key="Rationale"].value |
Mapeado para cada tecnologia. |
| Título | metadata.description |
Mapeado diretamente. |
| Tipo | additional.fields[key="Type"].value.string_value |
Mapeado diretamente como valor de string em campos adicionais. |
| UpdateDate | metadata.event_timestamp |
Analisado para carimbo de data/hora usando o formato "ISO8601". |
| Userlogin | target.user.userid |
Mapeado diretamente. Defina como "AUTHTYPE_UNSPECIFIED" quando Userlogin estiver presente. Defina como "USER_LOGIN" quando Userlogin estiver presente, "USER_UNCATEGORIZED" quando ScanInput.Username estiver presente e metadata_event_type for "GENERIC_EVENT" ou o valor de metadata_event_type. Fixado em "QUALYS_SCAN". Fixado em "QUALYS_SCAN". |
Alterações
2023-04-21
- Parser recém-criado.