Qualys Vulnerability Management のログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーは、Key-Value（KV）形式または JSON 形式の Qualys Vulnerability Management ログを処理します。脆弱性の詳細、ホスト情報、スキャンメタデータを抽出し、UDM にマッピングします。このパーサーは、さまざまなログ構造も処理し、KV 解析を優先し、必要に応じて JSON にフォールバックします。また、DetectionList 配列を個々の脆弱性イベントに分割します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Qualys VMDR コンソールに特権アクセスできることを確認します。

省略可: Qualys で専用の API ユーザーを作成する

Qualys コンソールにログインします。
[ユーザー] にアクセスします。
[新規] > [ユーザー] をクリックします。
ユーザーに必要な一般情報を入力します。
[ユーザーロール] タブを選択します。
ロールの [API アクセス] チェックボックスがオンになっていることを確認します。
[保存] をクリックします。

特定の Qualys API URL を特定する

オプション 1

プラットフォームの特定で説明されているように、URL を特定します。

オプション 2

Qualys コンソールにログインします。
[ヘルプ] > [情報] に移動します。
スクロールして、[セキュリティオペレーションセンター（SOC）] でこの情報を確認します。
Qualys API の URL をコピーします。

Qulays VM ログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Qualys VM Logs）。
[ソースタイプ] として [サードパーティ API] を選択します。
ログタイプとして [Qualys VM] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ユーザー名: ユーザー名を入力します。
- シークレット: パスワードを入力します。
- API のフルパス: Qualys API サーバー URL（https://<qualys_base_url>/api/2.0/fo/asset/host/?action=list など）を指定します。ここで、<qualys_base_url> は、アカウントが配置されている Qualys API サーバーへのベース URL です。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`DETECTION.FIRST_FOUND_DATETIME`	`extensions.vulns.vulnerabilities.first_found`	`DETECTION.FIRST_FOUND_DATETIME` フィールドから解析され、文字列値をタイムスタンプに変換します。
`DETECTION.LAST_FOUND_DATETIME`	`extensions.vulns.vulnerabilities.last_found`	`DETECTION.LAST_FOUND_DATETIME` フィールドから解析され、文字列値をタイムスタンプに変換します。
`DETECTION.QID`	`extensions.vulns.vulnerabilities.name`	「QID:」と `DETECTION.QID` の値を連結します。
`DETECTION.RESULTS`	`extensions.vulns.vulnerabilities.description`	description フィールドに直接マッピングされます。また、grok を使用して `network.ip_protocol` と `principal.port` を抽出するためにも使用されます。
`DETECTION.SEVERITY`	`extensions.vulns.vulnerabilities.severity`	`DETECTION.SEVERITY` からマッピングされます。値 0、1、2 は「LOW」、3、4 は「MEDIUM」、5、6、7 は「HIGH」になります。
`DETECTION.STATUS`	`extensions.vulns.vulnerabilities.about.labels`	キー「Detection status」のラベルとして追加されます。
`DETECTION.TYPE`	`extensions.vulns.vulnerabilities.about.labels`	キー「Detection type」のラベルとして追加されます。
`DNS`	`principal.hostname`	`principal.hostname` に直接マッピングされます。
`DNSData.DOMAIN`	`principal.domain.name`	`principal.domain.name` に直接マッピングされます。
`HOST.ASSET_ID`	`principal.asset_id`	「QUALYS:」と `HOST.ASSET_ID` の値を連結します。
`HOST.DNS`	`principal.hostname`	`DNS` が空の場合は、`principal.hostname` に直接マッピングされます。
`HOST.DNS_DATA.DOMAIN`	`principal.domain.name`	`DNSData.DOMAIN` が空の場合は、`principal.domain.name` に直接マッピングされます。
`HOST.ID`	`metadata.product_log_id`	`metadata.product_log_id` に直接マッピングされます。
`HOST.IP`	`principal.ip`	`IP` が空の場合は、`principal.ip` に直接マッピングされます。
`HOST.LAST_SCAN_DATETIME`	`extensions.vulns.vulnerabilities.scan_start_time`	`HOST.LAST_SCAN_DATETIME` フィールドから解析され、文字列値をタイムスタンプに変換します。
`HOST.LAST_VM_SCANNED_DATE`	`extensions.vulns.vulnerabilities.scan_end_time`	`HOST.LAST_VM_SCANNED_DATE` フィールドから解析され、文字列値をタイムスタンプに変換します。
`HOST.NETBIOS`	`additional.fields`	キー「HOST NETBIOS」のラベルとして追加されます。
`HOST.OS`	`principal.platform_version`	`OS` が空の場合は、`principal.platform_version` に直接マッピングされます。
`HOST.QG_HOSTID`	`additional.fields`	キー「HOST QG_HOSTID」のラベルとして追加されます。
`HOST.TRACKING_METHOD`	`additional.fields`	キー「HOST TRACKING_METHOD」のラベルとして追加されます。
`HOST_ID`	`principal.asset_id`	「QUALYS:」と `HOST_ID` の値を連結します。
`ID`	`metadata.product_log_id`	`metadata.product_log_id` に直接マッピングされます。
`IP`	`principal.ip`	`principal.ip` に直接マッピングされます。
`LastScanDateTime`	`extensions.vulns.vulnerabilities.scan_start_time`	`LastScanDateTime` フィールドから解析され、文字列値をタイムスタンプに変換します。
`LastVMAuthScanDuration`	`additional.fields`	キー「LastVMAuthScanDuration」のラベルとして追加されます。
`LastVMScanDate`	`extensions.vulns.vulnerabilities.scan_end_time`	`LastVMScanDate` フィールドから解析され、文字列値をタイムスタンプに変換します。
`LastVMScanDuration`	`additional.fields`	キー「LastVMScanDuration」のラベルとして追加されます。
`LAST_FOUND_DATETIME`	`extensions.vulns.vulnerabilities.last_found`	`LAST_FOUND_DATETIME` フィールドから解析され、文字列値をタイムスタンプに変換します。
`LAST_SCAN_DATETIME`	`extensions.vulns.vulnerabilities.scan_start_time`	`LAST_SCAN_DATETIME` フィールドから解析され、文字列値をタイムスタンプに変換します。
`LAST_VM_SCANNED_DATE`	`extensions.vulns.vulnerabilities.scan_end_time`	`LAST_VM_SCANNED_DATE` フィールドから解析され、文字列値をタイムスタンプに変換します。
`NETBIOS`	`additional.fields`	キー「NETBIOS」のラベルとして追加されます。
`NetworkID`	`additional.fields`	キー「NetworkID」のラベルとして追加されます。
`NETWORK_ID`	`additional.fields`	キー「NetworkID」のラベルとして追加されます。
`OS`	`principal.platform_version`	`principal.platform_version` に直接マッピングされます。
`Os`	`principal.platform_version`	`OS` が空の場合は、`principal.platform_version` に直接マッピングされます。
`QID`	`extensions.vulns.vulnerabilities.name`	「QID:」と `QID` の値を連結します。
`QgHostID`	`principal.asset_id`	`principal.asset_id` を「Host ID:%{QgHostID}」に設定します。
`SEVERITY`	`extensions.vulns.vulnerabilities.severity`	`SEVERITY` からマッピングされます。値 0、1、2 は「LOW」、3、4 は「MEDIUM」、5、6、7 は「HIGH」になります。
`TRACKING_METHOD`	`additional.fields`	キー「TRACKING_METHOD」のラベルとして追加されます。
`TrackingMethod`	`additional.fields`	キー「TRACKING_METHOD」のラベルとして追加されます。
該当なし	`metadata.vendor_name`	「Qualys」にハードコードされています。
該当なし	`metadata.product_name`	「Vulnerability Management」にハードコードされています。
該当なし	`metadata.event_type`	`_vulns` が空でない場合は「SCAN_VULN_HOST」に設定します。`prin_host` または `IP` のいずれかが空でない場合は「STATUS_UPDATE」に設定します。それ以外の場合は「GENERIC_EVENT」に設定します。
該当なし	`metadata.log_type`	未加工ログの `log_type` フィールドから取得されます。
該当なし	`principal.platform`	`OS`、`Os`、`HOST.OS` から決定されます。これらのいずれかに「Linux」が含まれている場合、プラットフォームは「LINUX」に設定されます。いずれかに「Windows」が含まれている場合、プラットフォームは「WINDOWS」に設定されます。いずれかに「mac」または「IOS」が含まれている場合、プラットフォームは「MAC」に設定されます。
`detection.DType`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	`DetectionList` フィールドから解析されたイベントの脆弱性配列内に、キー「Detection Type」を持つラベルとして追加されます。
`detection.FirstFoundTime`	`extensions.vulns.vulnerabilities.first_found`	`detection.FirstFoundTime` フィールドから解析され、`DetectionList` フィールドから解析されたイベントの脆弱性配列内の文字列値をタイムスタンプに変換します。
`detection.LastFoundTime`	`extensions.vulns.vulnerabilities.last_found`	`detection.LastFoundTime` フィールドから解析され、`DetectionList` フィールドから解析されたイベントの脆弱性配列内の文字列値をタイムスタンプに変換します。
`detection.LastProcessedDatetime`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	`DetectionList` フィールドから解析されたイベントの脆弱性配列内に、キー「LastProcessedDatetime」を持つラベルとして追加されます。
`detection.LastTestDateTime`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	`DetectionList` フィールドから解析されたイベントの脆弱性配列内に、キー「LastTestDateTime」を持つラベルとして追加されます。
`detection.LastUpdateDateTime`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	`DetectionList` フィールドから解析されたイベントの脆弱性配列内に、キー「LastUpdateDateTime」を持つラベルとして追加されます。
`detection.Qid`	`extensions.vulns.vulnerabilities.name`	`DetectionList` フィールドから解析されたイベントの脆弱性配列内の `detection.Qid` の値に「QID:」を連結します。
`detection.Results`	`extensions.vulns.vulnerabilities.description`	`DetectionList` フィールドから解析されたイベントの vulnerabilities 配列内の description フィールドに直接マッピングされます。タブと改行はスペースに置き換えられます。
`detection.Severity`	`extensions.vulns.vulnerabilities.severity`	`detection.Severity` からマッピングされます。`DetectionList` フィールドから解析されたイベントの脆弱性配列内で、値 0、1、2 は「LOW」、3、4 は「MEDIUM」、5、6、7 は「HIGH」になります。
`detection.Status`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	`DetectionList` フィールドから解析されたイベントの脆弱性配列内に、キー「Detection status」を持つラベルとして追加されます。
`detection.TimesFound`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	`DetectionList` フィールドから解析されたイベントの脆弱性配列内に、キー「TimesFound」を持つラベルとして追加されます。
`timestamp`	`metadata.event_timestamp`、`timestamp`	未加工ログの `timestamp` フィールドは、イベントタイムスタンプと最上位のタイムスタンプの両方に使用されます。

変更

2023-10-27

複数の「QID」がある場合にイベントを分割する「for」ループを追加しました。

2023-04-25

「DetectionList.FirstFoundTime」を「extensions.vulns.vulnerabilities.first_found」にマッピングしました。
「DetectionList.LastFoundTime」を「extensions.vulns.vulnerabilities.last_found」にマッピングしました。
「DetectionList.TimesFound」を「extensions.vulns.vulnerabilities.about.resource.attribute.labels」にマッピングしました。
「DetectionList.LastTestDateTime」を「extensions.vulns.vulnerabilities.about.resource.attribute.labels」にマッピングしました。
「DetectionList.LastUpdateDateTime」を「extensions.vulns.vulnerabilities.about.resource.attribute.labels」にマッピングしました。
「DetectionList.LastProcessedDatetime」を「extensions.vulns.vulnerabilities.about.resource.attribute.labels」にマッピングしました。

2023-01-23

「DetectionList」配列の詳細を「extensions.vulns.vulnerabilities」にマッピングしました。
「DetectionList.Qid」を「extensions.vulns.vulnerabilities.name」にマッピングしました。
「DetectionList.Severity」を「extensions.vulns.vulnerabilities.severity」にマッピングしました。
「DetectionList.Results」を「extensions.vulns.vulnerabilities.description」にマッピングしました。
「DetectionList.Status」、「DetectionList.DType」を「extensions.vulns.vulnerabilities.about.resource.attribute.labels」にマッピングしました。

2022-09-29

「ID」を「metadata.product_log_id」にマッピングしました。
「Netbios」、「TrackingMethod」、「NetworkID」を「additional.fields」にマッピングしました。
「QgHostID」を「principal.asset_id」にマッピングしました。
「Os」を「principal.platform_version」にマッピングしました。
「vulns」の条件付きチェックを追加しました。

2022-07-20

次のフィールドのマッピングを追加しました。
「DETECTION.FIRST_FOUND_DATETIME」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.first_found」にマッピングしました。
「DETECTION.LAST_FOUND_DATETIME」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.last_found」にマッピングしました。
「HOST.LAST_VM_SCANNED_DATE」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.scan_end_time」にマッピングしました。
「HOST.LAST_SCAN_DATETIME」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.scan_start_time」にマッピングしました。
「DETECTION.QID」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.name」にマッピングしました。
「DETECTION.SEVERITY」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.severity」にマッピングしました。
「DETECTION.TYPE」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.about.labels」にマッピングしました。
「DETECTION.STATUS」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.labels」にマッピングしました。
「DETECTION.RESULTS」を「event.idm.read_only_udm.extensions.vulns.vulnerabilities.description」にマッピングしました。
「HOST.DNS_DATA.DOMAIN」を「event.idm.read_only_udm.principal.domain.name」にマッピングしました。
「HOST.ASSET_ID」を「event.idm.read_only_udm.principal.asset_id」にマッピングしました。
「HOST.IP」を「event.idm.read_only_udm.principal.ip」にマッピングしました。
「HOST.OS」を「event.idm.read_only_udm.principal.platform_version」にマッピングしました。
「HOST.DNS」を「event.idm.read_only_udm.principal.hostname」にマッピングしました。
「HOST.QG_HOSTID」を「event.idm.read_only_udm.additional.fields」にマッピングしました。
「HOST.NETBIOS」を「event.idm.read_only_udm.additional.fields」にマッピングしました。
「HOST.TRACKING_METHOD」を「event.idm.read_only_udm.additional.fields」にマッピングしました。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps の専門家から回答を得る。