Collecter les journaux du scanner virtuel Qualys
Compatible avec:
Google SecOps
SIEM
Cet analyseur transforme les journaux Qualys Virtual Scanner au format JSON brut en un format structuré conforme à l'UDM Google Security Operations. Il extrait les champs pertinents, tels que les informations sur les composants, les détails de l'analyse et les failles détectées, et les met en correspondance avec les champs UDM correspondants pour une représentation et une analyse cohérentes.
Avant de commencer
- Assurez-vous de disposer d'une instance Google Security Operations.
- Assurez-vous de disposer d'un accès privilégié à Google Cloud.
- Assurez-vous de disposer d'un accès privilégié à Qualys.
Activez les API requises:
- Connectez-vous à la console Google Cloud .
- Accédez à API et services > Bibliothèque.
- Recherchez les API suivantes et activez-les :
- API Cloud Functions
- API Cloud Scheduler
- Cloud Pub/Sub (obligatoire pour que Cloud Scheduler puisse appeler des fonctions)
Créer un Google Cloud bucket de stockage
- Connectez-vous à la console Google Cloud .
Accédez à la page Buckets Cloud Storage.
Cliquez sur Créer.
Configurez le bucket:
- Name (Nom) : saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, qualys-vscanner-bucket).
- Choisissez où stocker vos données: sélectionnez un emplacement.
- Choisissez une classe de stockage pour vos données: sélectionnez une classe de stockage par défaut pour le bucket ou classe automatique pour une gestion automatique des classes de stockage.
- Choisir comment contrôler l'accès aux objets: sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.
- Classe de stockage: choisissez en fonction de vos besoins (par exemple, Standard).
Cliquez sur Créer.
Créer un compte de service Google Cloud
- Accédez à IAM et administration > Comptes de service.
- Créez un compte de service.
- Attribuez-lui un nom descriptif (par exemple, qualys-user).
- Attribuez au compte de service le rôle Administrateur des objets de l'espace de stockage sur le bucket Cloud Storage que vous avez créé à l'étape précédente.
- Attribuez au compte de service le rôle Demandeur Cloud Functions.
- Créez une clé SSH pour le compte de service.
- Téléchargez un fichier de clé JSON pour le compte de service. Conservez ce fichier dans un endroit sécurisé.
Facultatif: Créer un utilisateur d'API dédié dans Qualys
- Connectez-vous à la console Qualys.
- Accédez à Utilisateurs.
- Cliquez sur Nouveau > Utilisateur.
- Saisissez les informations générales requises pour l'utilisateur.
- Sélectionnez l'onglet Rôle utilisateur.
- Assurez-vous que la case Accès aux API est cochée pour le rôle.
- Cliquez sur Enregistrer.
Identifier votre URL d'API Qualys spécifique
Option 1
Identifiez vos URL comme indiqué dans la section Identification de la plate-forme.
Option 2
- Connectez-vous à la console Qualys.
- Accédez à Aide > À propos.
- Faites défiler la page pour afficher ces informations sous "Centre des opérations de sécurité (SOC)".
- Copiez l'URL de l'API Qualys.
Configurer la fonction Cloud
- Accédez à Cloud Functions dans la console Google Cloud .
- Cliquez sur Créer une fonction.
Configurez la fonction:
- Nom: saisissez un nom pour votre fonction (par exemple, fetch-qualys-vscanner).
- Région: sélectionnez une région proche de votre bucket.
- Déclencheur: choisissez un déclencheur HTTP si nécessaire ou Cloud Pub/Sub pour l'exécution planifiée.
- Authentification: sécurisez votre application avec l'authentification.
- Écrivez le code à l'aide d'un éditeur intégré:
```python from google.cloud import storage import requests import base64 import json # Google Cloud Storage Configuration BUCKET_NAME = "<bucket-name>" FILE_NAME = "qualys_virtual_scanners.json" # Qualys API Credentials QUALYS_USERNAME = "qualys-username" QUALYS_PASSWORD = "<qualys-password>" QUALYS_BASE_URL = "https://<qualys_base_url>" # for example, https://qualysapi.qualys.com def fetch_virtual_scanners(): """Fetch Virtual Scanner details from Qualys.""" auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode() headers = { "Authorization": f"Basic {auth}", "Content-Type": "application/xml" } url = f"{QUALYS_BASE_URL}/api/2.0/fo/scanner/" payload = { "action": "list", "scanner_type": "virtual" } response = requests.post(url, headers=headers, data=payload) response.raise_for_status() return response.text # Qualys API returns XML data def upload_to_gcs(data): """Upload data to Google Cloud Storage.""" client = storage.Client() bucket = client.get_bucket(BUCKET_NAME) blob = bucket.blob(FILE_NAME) blob.upload_from_string(data, content_type="application/xml") def main(request): """Cloud Function entry point.""" try: scanners = fetch_virtual_scanners() upload_to_gcs(scanners) return "Qualys Virtual Scanners data uploaded to Cloud Storage successfully!" except Exception as e: return f"An error occurred: {e}", 500 ```Une fois la configuration terminée, cliquez sur Déployer.
Configurer Cloud Scheduler
- Accédez à Cloud Scheduler dans la console Google Cloud .
- Cliquez sur Créer une tâche.
Configurez la tâche:
- Nom: saisissez un nom pour votre tâche (par exemple, trigger-fetch-qualys-vscanner).
- Fréquence: utilisez la syntaxe cron pour spécifier la planification (par exemple, 0 0 * * * pour tous les jours à minuit).
- Fuseau horaire: définissez votre fuseau horaire préféré.
- Type de déclencheur: sélectionnez HTTP.
- URL du déclencheur: saisissez l'URL de la fonction Cloud (disponible dans les informations sur la fonction après le déploiement).
- Méthode: sélectionnez POST.
Créez la tâche.
Configurer un flux dans Google SecOps pour ingérer les journaux du scanner virtuel Qualys
- Accédez à Paramètres du SIEM > Flux.
- Cliquez sur Ajouter.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, "Journaux du scanner virtuel Qualys").
- Sélectionnez Google Cloud Storage comme Type de source.
- Sélectionnez Qualys Virtual Scanner comme Type de journal.
- Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants:
- URI du bucket de stockage: URI source du bucket de stockage Google Cloud .
- Un URI est: sélectionnez Single file (Fichiers uniques).
- Option de suppression de la source: sélectionnez l'option de suppression selon vos préférences.
- Espace de noms des éléments: espace de noms des éléments.
- Libellés d'ingestion: libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.
Tableau de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| ASSET_ID | entity.entity.asset.asset_id | Mappage direct à partir du champ ASSET_ID. |
| CLOUD_PROVIDER_TAGS.CLOUD_TAG.NAME | entity.relations.entity.resource.attribute.labels.key | Mappage direct à partir du champ CLOUD_PROVIDER_TAGS.CLOUD_TAG.NAME. |
| CLOUD_PROVIDER_TAGS.CLOUD_TAG.VALUE | entity.relations.entity.resource.attribute.labels.value | Mappage direct à partir du champ CLOUD_PROVIDER_TAGS.CLOUD_TAG.VALUE. |
| CLOUD_RESOURCE_ID | entity.relations.entity.resource.id | Mappage direct à partir du champ CLOUD_RESOURCE_ID. |
| DETECTION_LIST.DETECTION.FIRST_FOUND_DATETIME | entity.metadata.threat.first_discovered_time | Mappage direct à partir du champ DETECTION_LIST.DETECTION.FIRST_FOUND_DATETIME, converti en code temporel. |
| DETECTION_LIST.DETECTION.FIRST_REOPENED_DATETIME | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.FIRST_REOPENED_DATETIME. La clé est codée en dur sous la forme "FIRST_REOPENED_DATETIME". |
| DETECTION_LIST.DETECTION.IS_DISABLED | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.IS_DISABLED. La clé est codée en dur sous la forme "IS_DISABLED". |
| DETECTION_LIST.DETECTION.LAST_FIXED_DATETIME | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.LAST_FIXED_DATETIME. La clé est codée en dur sous la forme "LAST_FIXED_DATETIME". |
| DETECTION_LIST.DETECTION.LAST_FOUND_DATETIME | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.LAST_FOUND_DATETIME. La clé est codée en dur sous la forme "LAST_FOUND_DATETIME". |
| DETECTION_LIST.DETECTION.LAST_PROCESSED_DATETIME | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.LAST_PROCESSED_DATETIME. La clé est codée en dur sous la forme "LAST_PROCESSED_DATETIME". |
| DETECTION_LIST.DETECTION.LAST_REOPENED_DATETIME | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.LAST_REOPENED_DATETIME. La clé est codée en dur sous la forme "LAST_REOPENED_DATETIME". |
| DETECTION_LIST.DETECTION.LAST_TEST_DATETIME | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.LAST_TEST_DATETIME. La clé est codée en dur sous la forme "LAST_TEST_DATETIME". |
| DETECTION_LIST.DETECTION.LAST_UPDATE_DATETIME | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.LAST_UPDATE_DATETIME. La clé est codée en dur sous la forme "LAST_UPDATE_DATETIME". |
| DETECTION_LIST.DETECTION.PORT | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.PORT. La clé est codée en dur sous la forme "PORT". |
| DETECTION_LIST.DETECTION.PROTOCOL | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.PROTOCOL. La clé est codée en dur sous la forme "PROTOCOL". |
| DETECTION_LIST.DETECTION.QID | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.QID. La clé est codée en dur sous la forme "QID". |
| DETECTION_LIST.DETECTION.RESULTS | entity.metadata.threat.summary | Mappage direct à partir du champ DETECTION_LIST.DETECTION.RESULTS. |
| DETECTION_LIST.DETECTION.SEVERITY | entity.metadata.threat.severity_details | Mappage direct à partir du champ DETECTION_LIST.DETECTION.SEVERITY. |
| DETECTION_LIST.DETECTION.SSL | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.SSL. La clé est codée en dur sous la forme "SSL". |
| DETECTION_LIST.DETECTION.STATUS | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.STATUS. La clé est codée en dur sous la forme "STATUS". |
| DETECTION_LIST.DETECTION.TIMES_FOUND | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.TIMES_FOUND. La clé est codée en dur sous la forme "TIMES_FOUND". |
| DETECTION_LIST.DETECTION.TIMES_REOPENED | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.TIMES_REOPENED. La clé est codée en dur sous la forme "TIMES_REOPENED". |
| DETECTION_LIST.DETECTION.TYPE | entity.metadata.threat.severity | Mappé à partir du champ DETECTION_LIST.DETECTION.TYPE. Si la valeur est "info" (sans distinction entre majuscules et minuscules), elle est mappée sur "INFORMATIONAL". Dans le cas contraire, il est ajouté en tant que champ de détection avec la clé "TYPE". |
| DETECTION_LIST.DETECTION.UNIQUE_VULN_ID | entity.metadata.threat.detection_fields.value | Mappage direct à partir du champ DETECTION_LIST.DETECTION.UNIQUE_VULN_ID. La clé est codée en dur sous la forme "UNIQUE_VULN_ID". |
| DNS | entity.entity.asset.hostname | Mappé à partir du champ DNS si DNS_DATA.HOSTNAME est vide. |
| DNS_DATA.HOSTNAME | entity.entity.asset.hostname | Mappage direct à partir du champ DNS_DATA.HOSTNAME. |
| EC2_INSTANCE_ID | entity.relations.entity.resource.product_object_id | Mappage direct à partir du champ EC2_INSTANCE_ID. |
| ID | entity.entity.asset.product_object_id | Mappage direct à partir du champ ID. |
| ID | entity.metadata.product_entity_id | Mappage direct à partir du champ ID. |
| IP | entity.entity.ip | Mappage direct à partir du champ IP. |
| LAST_SCAN_DATETIME | entity.metadata.interval.start_time | Mappage direct à partir du champ LAST_SCAN_DATETIME, converti en code temporel. |
| METADATA.AZURE.ATTRIBUTE.NAME | entity.relations.entity.resource.attribute.labels.key | Mappage direct à partir du champ METADATA.AZURE.ATTRIBUTE.NAME. |
| METADATA.AZURE.ATTRIBUTE.VALUE | entity.relations.entity.resource.attribute.labels.value | Mappage direct à partir du champ METADATA.AZURE.ATTRIBUTE.VALUE. |
| OS | entity.entity.asset.platform_software.platform | Mappé à partir du champ OS. Si la valeur contient "windows" (sans distinction entre majuscules et minuscules), elle est mappée sur "WINDOWS". S'il contient"Linux" (non sensible à la casse), il est mappé sur "LINUX". |
| TAGS.TAG.NAME | entity.relations.entity.resource.attribute.labels.key | Mappage direct à partir du champ TAGS.TAG.NAME. |
| TAGS.TAG.TAG_ID | entity.relations.entity.resource.attribute.labels.value | Mappé à partir du champ TAGS.TAG.TAG_ID. La valeur est précédée du préfixe "TAG_ID: ". |
| entity.metadata.collected_timestamp | Code temporel de l'entrée de journal. | |
| entity.metadata.entity_type | Déterminé en fonction de la présence du champ IP. Si IP est présent, il est défini sur "IP_ADDRESS". Sinon, il est défini sur "ASSET". |
|
| entity.metadata.interval.end_time | Code en dur avec une valeur de code temporel très élevée (2 53402300799 secondes). | |
| entity.metadata.product_name | Coded en dur sur "QUALYS_VIRTUAL_SCANNER". | |
| entity.metadata.vendor_name | Coded en dur sur "QUALYS_VIRTUAL_SCANNER". | |
| entity.relations.entity.resource.resource_type | Si CLOUD_SERVICE est "VM", il est défini sur "VIRTUAL_MACHINE". |
|
| entity.relations.entity_type | Code codé en dur sur "RESOURCE". | |
| entity.relations.relationship | Code codé en dur sur "MEMBER". |
Modifications
2023-08-21
- Mappage de la valeur "detection.UNIQUE_VULN_ID" du journal d'origine sur le champ "threat.detection_fields" dans l'UDM.
2023-07-31
- Analyseur nouvellement créé.