收集 Qualys 扫描日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google 安全运营 Feed 来收集 Qualys 扫描日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 QUALYS_SCAN 注入标签的解析器。
创建用于导入 Qualys 扫描数据的账号
- 登录 Qualys 门户。
- 在客户体验经理账号页面的工具部分,点击用户账号。
- 依次选择新建 > 用户。
输入联系详情或客户参考点。确保为用户账号映射以下字段。
- 在用户角色列表中,选择 Reader。
- 在 Allow access to 字段中,选中 GUI 复选框和 API 复选框。
- 在素材资源组部分,向用户分配所有可用的素材资源组。
选择高级配置。
在通知选项部分,针对漏洞选择无,针对扫描、映射和报告选择无通知。
创建新用户后,请激活该用户,并确保用户名和密码有效。
在 Google Security Operations 中配置 Feed 以注入 Qualys 扫描日志
- 依次前往 SIEM 设置 > Feed。
- 点击 Add New(新增)。
- 为字段名称输入一个唯一名称。
- 选择第三方 API 作为来源类型。
- 选择 Qualys 扫描作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- 用户名:指定您之前获得的用户名。
- Secret:指定您之前获得的密码。
- API 完整路径:指定 API 完整路径,例如
qualysapi.qualys.com。 - API 类型:指定 API 类型。
- 点击下一步,然后点击提交。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed。如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会从 Qualys Scan JSON 日志中提取安全事件数据,并将其转换为统一数据模型 (UDM)。它可处理各种 Qualys 扫描日志格式,并优先提取 ScanInput.ScanDatetime、UpdateDate 和 LaunchDatetime 以提取时间戳,并将相关字段映射到 UDM 属性,包括用户信息、说明、安全结果和其他元数据。解析器还会迭代 Technologies 数据,提取并映射每个技术条目中的相关字段。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 类别 | metadata.product_log_id |
已转换为字符串。 |
| 类别 | security_result.category_details |
直接映射。 |
| ID | metadata.product_log_id |
直接映射。 |
| LaunchDatetime | metadata.event_timestamp |
使用“ISO8601”格式解析为时间戳。 |
| 参考 | additional.fields[key="ScanReference"].value.string_value |
直接映射为其他字段中的字符串值。 |
| ScanDetails.Status | security_result.detection_fields[key="ScanDetails Status"].value |
直接映射。 |
| ScanInput.Network.ID | additional.fields[key="ScanInput Network ID"].value.string_value |
直接映射为其他字段中的字符串值。 |
| ScanInput.Network.Name | additional.fields[key="ScanInput Network Name"].value.string_value |
直接映射为其他字段中的字符串值。 |
| ScanInput.OptionProfile.ID | additional.fields[key="ScanInput Option Profile ID"].value.string_value |
直接映射为其他字段中的字符串值。 |
| ScanInput.OptionProfile.Name | additional.fields[key="ScanInput Option Profile Name"].value.string_value |
直接映射为其他字段中的字符串值。 |
| ScanInput.ScanDatetime | metadata.event_timestamp |
使用“ISO8601”格式解析为时间戳。 |
| ScanInput.Title | metadata.description |
直接映射。 |
| ScanInput.Username | principal.user.userid |
直接映射。 |
| ScanReference | additional.fields[key="ScanReference"].value.string_value |
直接映射为其他字段中的字符串值。 |
| 语句 | metadata.description |
直接映射。 |
| 状态 | security_result.detection_fields[key="Status"].value |
直接映射。 |
| SubCategory | security_result.description |
直接映射。 |
| Technologies.ID | security_result.detection_fields[key="ID"].value |
已转换为字符串并按技术进行映射。 |
| Technologies.Name | security_result.detection_fields[key="Name"].value |
已为每项技术分配。 |
| Technologies.Rationale | security_result.detection_fields[key="Rationale"].value |
已为每项技术分配。 |
| 标题 | metadata.description |
直接映射。 |
| 类型 | additional.fields[key="Type"].value.string_value |
直接映射为其他字段中的字符串值。 |
| UpdateDate | metadata.event_timestamp |
使用“ISO8601”格式解析为时间戳。 |
| Userlogin | target.user.userid |
直接映射。如果存在 Userlogin,则设置为“AUTHTYPE_UNSPECIFIED”。如果存在 Userlogin,则设置为“USER_LOGIN”;如果存在 ScanInput.Username 且 metadata_event_type 为“GENERIC_EVENT”,则设置为“USER_UNCATEGORIZED”;否则,设置为 metadata_event_type 的值。已硬编码为“QUALYS_SCAN”。已硬编码为“QUALYS_SCAN”。 |
变化
2023-04-21
- 新创建的解析器。