Qualys Virtual Scanner-Protokolle erfassen

Dieser Parser wandelt Roh-JSON-formatierte Qualys Virtual Scanner-Protokolle in ein strukturiertes Format um, das dem UDM von Google Security Operations entspricht. Es werden relevante Felder wie Asset-Informationen, Scandetails und erkannte Sicherheitslücken extrahiert und den entsprechenden UDM-Feldern zugeordnet, um eine einheitliche Darstellung und Analyse zu ermöglichen.

Hinweis

• Sie benötigen eine Google Security Operations-Instanz.
• Sie benötigen Lese- und Schreibzugriff auf Google Cloud.
• Sie benötigen erhöhte Zugriffsrechte für Qualys.

Aktivieren Sie die erforderlichen APIs:

1. Melden Sie sich in der Google Cloud Konsole an.
2. Gehen Sie zu APIs und Dienste > Bibliothek.
3. Suchen Sie die folgenden APIs und aktivieren Sie sie:
   • Cloud Functions API
   • Cloud Scheduler API
   • Cloud Pub/Sub (erforderlich, damit Cloud Scheduler Funktionen aufrufen kann)

Google Cloud Storage-Bucket erstellen

1. Melden Sie sich in der Google Cloud Konsole an.

2. Rufen Sie die Seite Cloud Storage-Buckets auf.

   Buckets aufrufen

3. Klicken Sie auf Erstellen.

4. Konfigurieren Sie den Bucket:

   • Name: Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. qualys-vscanner-bucket).
   • Speicherort für Daten auswählen: Wählen Sie einen Speicherort aus.
   • Wählen Sie eine Speicherklasse für Ihre Daten aus: Wählen Sie entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Speicherklassenverwaltung aus.
   • Zugriff auf Objekte steuern: Wählen Sie nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
   • Speicherklasse: Wählen Sie je nach Bedarf eine Option aus, z. B. Standard.

5. Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

1. Rufen Sie IAM und Verwaltung > Dienstkonten auf.
2. Erstellen Sie ein neues Dienstkonto.
3. Geben Sie ihm einen aussagekräftigen Namen, z. B. qualys-user.
4. Weisen Sie dem Dienstkonto die Rolle Storage-Objekt-Administrator für den im vorherigen Schritt erstellten Cloud Storage-Bucket zu.
5. Weisen Sie dem Dienstkonto die Rolle Cloud Functions-Aufrufer zu.
6. Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
7. Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Optional: Einen speziellen API-Nutzer in Qualys erstellen

1. Melden Sie sich in der Qualys-Konsole an.
2. Gehen Sie zu Nutzer.
3. Klicken Sie auf Neu > Nutzer.
4. Geben Sie die für den Nutzer erforderlichen Allgemeinen Informationen ein.
5. Wählen Sie den Tab Nutzerrolle aus.
6. Das Kästchen API-Zugriff muss für die Rolle ausgewählt sein.
7. Klicken Sie auf Speichern.

Spezifische Qualys API-URL angeben

Option 1

Geben Sie Ihre URLs wie in der Plattformidentifikation angegeben an.

Option 2

1. Melden Sie sich in der Qualys-Konsole an.
2. Gehen Sie zu Hilfe > Info.
3. Scrollen Sie nach unten zu „Security Operations Center (SOC)“.
4. Kopieren Sie die URL der Qualys API.

Cloud Function konfigurieren

1. Rufen Sie in der Google Cloud Console Cloud Functions auf.
2. Klicken Sie auf Funktion erstellen.

3. Funktion konfigurieren:

   • Name: Geben Sie einen Namen für die Funktion ein, z. B. fetch-qualys-vscanner.
   • Region: Wählen Sie eine Region in der Nähe Ihres Buckets aus.
   • Trigger: Wählen Sie bei Bedarf einen HTTP-Trigger oder Cloud Pub/Sub für die geplante Ausführung aus.
   • Authentifizierung: Sicher mit Authentifizierung.
   • Code mit einem Inline-Editor schreiben:

   ```python
   from google.cloud import storage
   import requests
   import base64
   import json
   
   # Google Cloud Storage Configuration
   BUCKET_NAME = "<bucket-name>"
   FILE_NAME = "qualys_virtual_scanners.json"
   
   # Qualys API Credentials
   QUALYS_USERNAME = "qualys-username"
   QUALYS_PASSWORD = "<qualys-password>"
   QUALYS_BASE_URL = "https://<qualys_base_url>"  # for example, https://qualysapi.qualys.com
   
   def fetch_virtual_scanners():
       """Fetch Virtual Scanner details from Qualys."""
       auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
       headers = {
           "Authorization": f"Basic {auth}",
           "Content-Type": "application/xml"
       }
       url = f"{QUALYS_BASE_URL}/api/2.0/fo/scanner/"
       payload = {
           "action": "list",
           "scanner_type": "virtual"
       }
       response = requests.post(url, headers=headers, data=payload)
       response.raise_for_status()
       return response.text  # Qualys API returns XML data
   
   def upload_to_gcs(data):
       """Upload data to Google Cloud Storage."""
       client = storage.Client()
       bucket = client.get_bucket(BUCKET_NAME)
       blob = bucket.blob(FILE_NAME)
       blob.upload_from_string(data, content_type="application/xml")
   
   def main(request):
       """Cloud Function entry point."""
       try:
           scanners = fetch_virtual_scanners()
           upload_to_gcs(scanners)
           return "Qualys Virtual Scanners data uploaded to Cloud Storage successfully!"
       except Exception as e:
           return f"An error occurred: {e}", 500
   ```
   

4. Klicken Sie nach Abschluss der Konfiguration auf Bereitstellen.

Cloud Scheduler konfigurieren

1. Rufen Sie in der Google Cloud Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Konfigurieren Sie den Job:

   • Name: Geben Sie einen Namen für den Job ein, z. B. trigger-fetch-qualys-vscanner.
   • Häufigkeit: Verwenden Sie die cron-Syntax, um den Zeitplan anzugeben (z. B. 0 0 * * * für täglich um Mitternacht).
   • Zeitzone: Legen Sie Ihre bevorzugte Zeitzone fest.
   • Triggertyp: Wählen Sie HTTP aus.
   • Trigger-URL: Geben Sie die URL der Cloud Function ein, die Sie nach der Bereitstellung in den Funktionsdetails finden.
   • Methode: Wählen Sie POST aus.

4. Erstellen Sie den Job.

Feed in Google SecOps konfigurieren, um Qualys Virtual Scanner-Logs aufzunehmen

1. Gehen Sie zu SIEM-Einstellungen > Feeds.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. „Qualys Virtual Scanner Logs“.
4. Wählen Sie Google Cloud Storage als Quelltyp aus.
5. Wählen Sie als Logtyp Qualys Virtual Scanner aus.
6. Klicken Sie auf Weiter.

7. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Storage Bucket-URI: Google Cloud  URI der Speicher-Bucket-Quelle.
   • URI ist: Wählen Sie Einzelne Datei aus.
   • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

8. Klicken Sie auf Weiter.

9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Änderungen

2023-08-21

• Der Wert „detection.UNIQUE_VULN_ID“ aus dem ursprünglichen Log wurde dem Feld „threat.detection_fields“ im UDM zugeordnet.

2023-07-31

• Neu erstellter Parser.