Coletar registros da verificação do Qualys

Compatível com:

Esse analisador extrai campos dos registros JSON do Qualys Scan, normaliza os carimbos de data/hora e os mapeia para o UDM. Ele processa vários tipos de evento do Qualys, incluindo eventos genéricos e logins de usuários, preenchendo os campos do UDM com informações de segurança e metadados relevantes.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Verifique se você tem acesso privilegiado ao console do Qualys VMDR.

Opcional: crie um usuário de API dedicado no Qualys

  1. Faça login no console da Qualys.
  2. Acesse Usuários.
  3. Clique em Novo > Usuário.
  4. Insira as Informações gerais necessárias para o usuário.
  5. Selecione a guia Função do usuário.
  6. Verifique se a caixa de seleção Acesso à API está marcada.
  7. Clique em Salvar.

Identifique o URL específico da API Qualys

Opção 1

Identifique seus URLs conforme mencionado na identificação da plataforma.

Opção 2

  1. Faça login no console da Qualys.
  2. Acesse Ajuda > Sobre.
  3. Role a tela para conferir essas informações na Central de operações de segurança (SOC).
  4. Copie o URL da API Qualys.

Configurar um feed no Google SecOps para processar os registros de verificação do Qulays

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Qualys Scan Logs).
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Qualys Scan como o tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Nome de usuário: insira o nome de usuário do usuário dedicado.
    • Secret: insira a senha do usuário dedicado.
    • Caminho completo da API: forneça o URL do servidor da API Qualys (por exemplo, qualysapi.qg2.apps.qualys.eu).
    • Tipo de API: selecione o tipo de verificação que você quer importar.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
Category security_result.category_details Mapeado diretamente do campo Category.
ID metadata.product_log_id Mapeado diretamente do campo ID. Convertido em string.
LaunchDatetime metadata.event_timestamp Usado como carimbo de data/hora do evento se ScanInput.ScanDatetime e UpdateDate não estiverem presentes. Analisado no formato "ISO8601".
Ref additional.fields[1].key
additional.fields[1].value.string_value		 Mapeado para additional.fields com a chave "ScanReference" se ScanReference não estiver presente.
ScanDetails.Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Mapeado para security_result.detection_fields com a chave "ScanDetails Status".
ScanInput.Network.ID additional.fields[0].key
additional.fields[0].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Network ID".
ScanInput.Network.Name additional.fields[1].key
additional.fields[1].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Network Name".
ScanInput.OptionProfile.ID additional.fields[2].key
additional.fields[2].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Option Profile ID".
ScanInput.OptionProfile.Name additional.fields[3].key
additional.fields[3].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Option Profile Name".
ScanInput.ScanDatetime metadata.event_timestamp Usado como carimbo de data/hora do evento, se presente. Analisado no formato "ISO8601".
ScanInput.Title metadata.description Mapeado diretamente do campo ScanInput.Title.
ScanInput.Username principal.user.userid Mapeado diretamente do campo ScanInput.Username.
ScanReference additional.fields[4].key
additional.fields[4].value.string_value		 Mapeado para additional.fields com a chave "ScanReference".
Statement metadata.description Mapeado diretamente do campo Statement se ScanInput.Title e Title não estiverem presentes.
Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Mapeado para security_result.detection_fields com a chave "Status".
SubCategory security_result.description Mapeado diretamente do campo SubCategory.
Technologies[].ID security_result.detection_fields[0].value Mapeado diretamente do campo Technologies[].ID. Convertido em string. Parte de um objeto security_result repetido.
Technologies[].Name security_result.detection_fields[1].value Mapeado diretamente do campo Technologies[].Name. Parte de um objeto security_result repetido.
Technologies[].Rationale security_result.detection_fields[2].value Mapeado diretamente do campo Technologies[].Rationale. Parte de um objeto security_result repetido.
Title metadata.description Mapeado diretamente do campo Title se ScanInput.Title e Statement não estiverem presentes.
Type additional.fields[2].key
additional.fields[2].value.string_value		 Mapeado para additional.fields com a chave "Type".
UpdateDate metadata.event_timestamp Usado como carimbo de data/hora do evento se ScanInput.ScanDatetime não estiver presente. Analisado no formato "ISO8601".
Userlogin target.user.userid Mapeado diretamente do campo Userlogin. Defina como "AUTHTYPE_UNSPECIFIED" se Userlogin estiver presente. Defina como "GENERIC_EVENT". Mudança para "USER_LOGIN" se Userlogin estiver presente. Mudança para "USER_UNCATEGORIZED" se metadata_event_type for "GENERIC_EVENT" e ScanInput.Username estiver presente. Defina como "QUALYS_SCAN". Defina como "QUALYS_SCAN". Defina como "ID" para cada tecnologia. Parte de um objeto security_result repetido. Defina como "Nome" para cada tecnologia. Parte de um objeto security_result repetido. Defina como "Justificativa" para cada tecnologia. Parte de um objeto security_result repetido.

Alterações

2023-04-21

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.