收集 Qualys 扫描日志
支持的平台:
Google SecOps
SIEM
此解析器会从 Qualys Scan JSON 日志中提取字段、对时间戳进行标准化,并将其映射到 UDM。它可处理各种 Qualys 事件类型(包括常规事件和用户登录),并使用相关安全信息和元数据填充 UDM 字段。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您拥有对 Qualys VMDR 控制台的特权访问权限。
可选:在 Qualys 中创建专用 API 用户
- 登录 Qualys 控制台。
- 转到用户。
- 依次点击新建 > 用户。
- 输入用户所需的一般信息。
- 选择用户角色标签页。
- 确保该角色的 API 访问权限复选框处于选中状态。
- 点击保存。
确定您的具体 Qualys API 网址
选项 1
按照平台识别中所述的方法识别您的网址。
选项 2
- 登录 Qualys 控制台。
- 依次前往帮助 > 关于。
- 滚动到“安全运维中心 (SOC)”下方查看此信息。
- 复制 Qualys API 网址。
在 Google SecOps 中配置 Feed 以提取 Qulays 扫描日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在 Feed 名称字段中,输入 Feed 的名称(例如 Qualys 扫描日志)。
- 选择第三方 API 作为来源类型。
- 选择 Qualys 扫描作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- 用户名:输入专用用户的用户名。
- Secret:输入专用用户的密码。
- API 完整路径:提供纯 Qualys API 服务器网址(例如
qualysapi.qg2.apps.qualys.eu)。 - API 类型:选择要提取的扫描类型。
- 资源命名空间:资源命名空间。
- 提取标签:应用于此 Feed 中的事件的标签。
- 点击下一步。
- 在最终确定界面中查看 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
Category |
security_result.category_details |
直接从 Category 字段映射。 |
ID |
metadata.product_log_id |
直接从 ID 字段映射。已转换为字符串。 |
LaunchDatetime |
metadata.event_timestamp |
如果 ScanInput.ScanDatetime 和 UpdateDate 不存在,则用作事件时间戳。采用“ISO8601”格式解析。 |
Ref |
additional.fields[1].key additional.fields[1].value.string_value |
如果 ScanReference 不存在,则映射到键为“ScanReference”的 additional.fields。 |
ScanDetails.Status |
security_result.detection_fields[0].key security_result.detection_fields[0].value |
已映射到 security_result.detection_fields,键为“ScanDetails Status”。 |
ScanInput.Network.ID |
additional.fields[0].key additional.fields[0].value.string_value |
已映射到 additional.fields,键为“ScanInput Network ID”。 |
ScanInput.Network.Name |
additional.fields[1].key additional.fields[1].value.string_value |
已映射到 additional.fields,键为“ScanInput Network Name”。 |
ScanInput.OptionProfile.ID |
additional.fields[2].key additional.fields[2].value.string_value |
已映射到 additional.fields,键为“ScanInput Option Profile ID”。 |
ScanInput.OptionProfile.Name |
additional.fields[3].key additional.fields[3].value.string_value |
已映射到 additional.fields,键为“ScanInput Option Profile Name”。 |
ScanInput.ScanDatetime |
metadata.event_timestamp |
用作事件时间戳(如果存在)。采用“ISO8601”格式解析。 |
ScanInput.Title |
metadata.description |
直接从 ScanInput.Title 字段映射。 |
ScanInput.Username |
principal.user.userid |
直接从 ScanInput.Username 字段映射。 |
ScanReference |
additional.fields[4].key additional.fields[4].value.string_value |
已映射到 additional.fields,键为“ScanReference”。 |
Statement |
metadata.description |
如果 ScanInput.Title 和 Title 不存在,则直接从 Statement 字段映射。 |
Status |
security_result.detection_fields[0].key security_result.detection_fields[0].value |
已映射到键为“Status”的 security_result.detection_fields。 |
SubCategory |
security_result.description |
直接从 SubCategory 字段映射。 |
Technologies[].ID |
security_result.detection_fields[0].value |
直接从 Technologies[].ID 字段映射。已转换为字符串。重复的 security_result 对象的一部分。 |
Technologies[].Name |
security_result.detection_fields[1].value |
直接从 Technologies[].Name 字段映射。重复的 security_result 对象的一部分。 |
Technologies[].Rationale |
security_result.detection_fields[2].value |
直接从 Technologies[].Rationale 字段映射。重复的 security_result 对象的一部分。 |
Title |
metadata.description |
如果 ScanInput.Title 和 Statement 不存在,则直接从 Title 字段映射。 |
Type |
additional.fields[2].key additional.fields[2].value.string_value |
已映射到键为“Type”的 additional.fields。 |
UpdateDate |
metadata.event_timestamp |
如果 ScanInput.ScanDatetime 不存在,则用作事件时间戳。采用“ISO8601”格式解析。 |
Userlogin |
target.user.userid |
直接从 Userlogin 字段映射。如果存在 Userlogin,则设置为“AUTHTYPE_UNSPECIFIED”。设置为“GENERIC_EVENT”。如果存在 Userlogin,则更改为“USER_LOGIN”。如果 metadata_event_type 为“GENERIC_EVENT”且存在 ScanInput.Username,则更改为“USER_UNCATEGORIZED”。设置为“QUALYS_SCAN”。设置为“QUALYS_SCAN”。将每个技术的值设置为“ID”。重复的 security_result 对象的一部分。将每个技术的值设为“名称”。重复的 security_result 对象的一部分。将每个技术的值设置为“Rationale”。重复的 security_result 对象的一部分。 |
变化
2023-04-21
- 新创建的解析器。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。