Qualys 가상 스캐너 로그 수집

다음에서 지원:

이 파서는 원시 JSON 형식의 Qualys Virtual Scanner 로그를 Google Security Operations UDM을 준수하는 구조화된 형식으로 변환합니다. 애셋 정보, 검사 세부정보, 감지된 취약점과 같은 관련 필드를 추출하여 일관된 표현과 분석을 위해 해당 UDM 필드에 매핑합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Google Cloud에 대한 권한이 있는지 확인합니다.
  • Qualys에 대한 권한이 있는지 확인합니다.

필수 API 사용 설정:

  1. Google Cloud 콘솔에 로그인합니다.
  2. API 및 서비스 > 라이브러리로 이동합니다.
  3. 다음 API를 검색하여 사용 설정합니다.
    • Cloud Functions API
    • Cloud Scheduler API
    • Cloud Pub/Sub (Cloud Scheduler가 함수를 호출하는 데 필요)

Google Cloud 스토리지 버킷 만들기

  1. Google Cloud 콘솔에 로그인합니다.
  2. Cloud Storage 버킷 페이지로 이동합니다.

    버킷으로 이동

  3. 만들기를 클릭합니다.

  4. 버킷을 구성합니다.

    • 이름: 버킷 이름 요구사항을 충족하는 고유한 이름을 입력합니다 (예: qualys-vscanner-bucket).
    • 데이터 저장 위치 선택: 위치를 선택합니다.
    • 데이터의 스토리지 클래스 선택: 버킷의 기본 스토리지 클래스를 선택하거나 자동 스토리지 클래스 관리를 위해 자동 클래스를 선택합니다.
    • 객체 액세스를 제어하는 방식 선택: 아니요를 선택하여 공개 액세스 방지를 적용하고 버킷의 객체에 대한 액세스 제어 모델을 선택합니다.
    • 스토리지 클래스: 필요에 따라 선택합니다 (예: 표준).
  5. 만들기를 클릭합니다.

Google Cloud 서비스 계정 만들기

  1. IAM 및 관리자 > 서비스 계정으로 이동합니다.
  2. 새 서비스 계정 만들기
  3. 설명이 포함된 이름을 지정합니다 (예: qualys-user).
  4. 이전 단계에서 만든 Cloud Storage 버킷에 대한 스토리지 객체 관리자 역할을 서비스 계정에 부여합니다.
  5. 서비스 계정에 Cloud Functions 호출자 역할을 부여합니다.
  6. 서비스 계정의 SSH 키를 만듭니다.
  7. 서비스 계정의 JSON 키 파일을 다운로드합니다. 이 파일을 안전하게 보관하세요.

선택사항: Qualys에서 전용 API 사용자 만들기

  1. Qualys 콘솔에 로그인합니다.
  2. 사용자로 이동합니다.
  3. 새로 만들기 > 사용자를 클릭합니다.
  4. 사용자에게 필요한 일반 정보를 입력합니다.
  5. 사용자 역할 탭을 선택합니다.
  6. 역할에 API 액세스 체크박스가 선택되어 있는지 확인합니다.
  7. 저장을 클릭합니다.

특정 Qualys API URL 식별

옵션 1

플랫폼 식별에 설명된 대로 URL을 식별합니다.

옵션 2

  1. Qualys 콘솔에 로그인합니다.
  2. 도움말 > 정보로 이동합니다.
  3. 보안 운영 센터 (SOC)에서 이 정보를 확인하려면 스크롤하세요.
  4. Qualys API URL을 복사합니다.

Cloud 함수 구성

  1. Google Cloud 콘솔에서 Cloud Functions로 이동합니다.
  2. 함수 만들기를 클릭합니다.
  3. 함수를 구성합니다.

    • 이름: 함수의 이름을 입력합니다 (예: fetch-qualys-vscanner).
    • 리전: 버킷과 가까운 리전을 선택합니다.
    • 트리거: 필요한 경우 HTTP 트리거를 선택하거나 예약된 실행의 경우 Cloud Pub/Sub를 선택합니다.
    • 인증: 인증으로 보안을 강화합니다.
    • 인라인 편집기로 코드를 작성합니다.
    ```python
    from google.cloud import storage
    import requests
    import base64
    import json
    
    # Google Cloud Storage Configuration
    BUCKET_NAME = "<bucket-name>"
    FILE_NAME = "qualys_virtual_scanners.json"
    
    # Qualys API Credentials
    QUALYS_USERNAME = "qualys-username"
    QUALYS_PASSWORD = "<qualys-password>"
    QUALYS_BASE_URL = "https://<qualys_base_url>"  # for example, https://qualysapi.qualys.com
    
    def fetch_virtual_scanners():
        """Fetch Virtual Scanner details from Qualys."""
        auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
        headers = {
            "Authorization": f"Basic {auth}",
            "Content-Type": "application/xml"
        }
        url = f"{QUALYS_BASE_URL}/api/2.0/fo/scanner/"
        payload = {
            "action": "list",
            "scanner_type": "virtual"
        }
        response = requests.post(url, headers=headers, data=payload)
        response.raise_for_status()
        return response.text  # Qualys API returns XML data
    
    def upload_to_gcs(data):
        """Upload data to Google Cloud Storage."""
        client = storage.Client()
        bucket = client.get_bucket(BUCKET_NAME)
        blob = bucket.blob(FILE_NAME)
        blob.upload_from_string(data, content_type="application/xml")
    
    def main(request):
        """Cloud Function entry point."""
        try:
            scanners = fetch_virtual_scanners()
            upload_to_gcs(scanners)
            return "Qualys Virtual Scanners data uploaded to Cloud Storage successfully!"
        except Exception as e:
            return f"An error occurred: {e}", 500
    ```
    
  4. 구성을 완료한 후 배포를 클릭합니다.

Cloud Scheduler 구성

  1. Google Cloud 콘솔에서 Cloud Scheduler로 이동합니다.
  2. 작업 만들기를 클릭합니다.
  3. 작업을 구성합니다.

    • 이름: 작업 이름을 입력합니다 (예: trigger-fetch-qualys-vscanner).
    • 빈도: cron 문법을 사용하여 일정을 지정합니다 (예: 매일 자정에 실행되는 경우 0 0 * * *).
    • 시간대: 원하는 시간대를 설정합니다.
    • 트리거 유형: HTTP를 선택합니다.
    • 트리거 URL: Cloud 함수의 URL (배포 후 함수 세부정보에서 확인)을 입력합니다.
    • 메서드: 게시를 선택합니다.
  4. 작업을 만듭니다.

Qualys Virtual Scanner 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다 (예: Qualys Virtual Scanner Logs).
  4. 소스 유형으로 Google Cloud Storage를 선택합니다.
  5. 로그 유형으로 Qualys Virtual Scanner를 선택합니다.
  6. 다음을 클릭합니다.
  7. 다음 입력 매개변수의 값을 지정합니다.

    • 스토리지 버킷 URI: Google Cloud 스토리지 버킷 소스 URI입니다.
    • URI: 단일 파일을 선택합니다.
    • 소스 삭제 옵션: 원하는 삭제 옵션을 선택합니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
  8. 다음을 클릭합니다.

  9. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
ASSET_ID entity.entity.asset.asset_id ASSET_ID 필드의 직접 매핑
CLOUD_PROVIDER_TAGS.CLOUD_TAG.NAME entity.relations.entity.resource.attribute.labels.key CLOUD_PROVIDER_TAGS.CLOUD_TAG.NAME 필드의 직접 매핑
CLOUD_PROVIDER_TAGS.CLOUD_TAG.VALUE entity.relations.entity.resource.attribute.labels.value CLOUD_PROVIDER_TAGS.CLOUD_TAG.VALUE 필드의 직접 매핑
CLOUD_RESOURCE_ID entity.relations.entity.resource.id CLOUD_RESOURCE_ID 필드의 직접 매핑
DETECTION_LIST.DETECTION.FIRST_FOUND_DATETIME entity.metadata.threat.first_discovered_time DETECTION_LIST.DETECTION.FIRST_FOUND_DATETIME 필드의 직접 매핑으로, 타임스탬프로 변환됩니다.
DETECTION_LIST.DETECTION.FIRST_REOPENED_DATETIME entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.FIRST_REOPENED_DATETIME 필드의 직접 매핑 키는 'FIRST_REOPENED_DATETIME'으로 하드코딩됩니다.
DETECTION_LIST.DETECTION.IS_DISABLED entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.IS_DISABLED 필드의 직접 매핑 키는 'IS_DISABLED'로 하드코딩됩니다.
DETECTION_LIST.DETECTION.LAST_FIXED_DATETIME entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.LAST_FIXED_DATETIME 필드의 직접 매핑 키는 'LAST_FIXED_DATETIME'으로 하드코딩됩니다.
DETECTION_LIST.DETECTION.LAST_FOUND_DATETIME entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.LAST_FOUND_DATETIME 필드의 직접 매핑 키는 'LAST_FOUND_DATETIME'으로 하드코딩됩니다.
DETECTION_LIST.DETECTION.LAST_PROCESSED_DATETIME entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.LAST_PROCESSED_DATETIME 필드의 직접 매핑 키는 'LAST_PROCESSED_DATETIME'으로 하드코딩됩니다.
DETECTION_LIST.DETECTION.LAST_REOPENED_DATETIME entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.LAST_REOPENED_DATETIME 필드의 직접 매핑 키는 'LAST_REOPENED_DATETIME'으로 하드코딩됩니다.
DETECTION_LIST.DETECTION.LAST_TEST_DATETIME entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.LAST_TEST_DATETIME 필드의 직접 매핑 키는 'LAST_TEST_DATETIME'으로 하드코딩됩니다.
DETECTION_LIST.DETECTION.LAST_UPDATE_DATETIME entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.LAST_UPDATE_DATETIME 필드의 직접 매핑 키는 'LAST_UPDATE_DATETIME'으로 하드코딩됩니다.
DETECTION_LIST.DETECTION.PORT entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.PORT 필드의 직접 매핑 키는 'PORT'로 하드코딩됩니다.
DETECTION_LIST.DETECTION.PROTOCOL entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.PROTOCOL 필드의 직접 매핑 키는 'PROTOCOL'로 하드코딩됩니다.
DETECTION_LIST.DETECTION.QID entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.QID 필드의 직접 매핑 키는 'QID'로 하드 코딩됩니다.
DETECTION_LIST.DETECTION.RESULTS entity.metadata.threat.summary DETECTION_LIST.DETECTION.RESULTS 필드의 직접 매핑
DETECTION_LIST.DETECTION.SEVERITY entity.metadata.threat.severity_details DETECTION_LIST.DETECTION.SEVERITY 필드의 직접 매핑
DETECTION_LIST.DETECTION.SSL entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.SSL 필드의 직접 매핑 키는 'SSL'로 하드 코딩됩니다.
DETECTION_LIST.DETECTION.STATUS entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.STATUS 필드의 직접 매핑 키는 'STATUS'로 하드 코딩됩니다.
DETECTION_LIST.DETECTION.TIMES_FOUND entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.TIMES_FOUND 필드의 직접 매핑 키는 'TIMES_FOUND'로 하드코딩됩니다.
DETECTION_LIST.DETECTION.TIMES_REOPENED entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.TIMES_REOPENED 필드의 직접 매핑 키는 'TIMES_REOPENED'로 하드코딩됩니다.
DETECTION_LIST.DETECTION.TYPE entity.metadata.threat.severity DETECTION_LIST.DETECTION.TYPE 필드에서 매핑되었습니다. 값이 'info'인 경우(대소문자 구분 안 함) 'INFORMATIONAL'에 매핑됩니다. 그렇지 않으면 'TYPE' 키가 있는 감지 필드로 추가됩니다.
DETECTION_LIST.DETECTION.UNIQUE_VULN_ID entity.metadata.threat.detection_fields.value DETECTION_LIST.DETECTION.UNIQUE_VULN_ID 필드의 직접 매핑 키는 'UNIQUE_VULN_ID'로 하드코딩됩니다.
DNS entity.entity.asset.hostname DNS_DATA.HOSTNAME가 비어 있으면 DNS 필드에서 매핑됩니다.
DNS_DATA.HOSTNAME entity.entity.asset.hostname DNS_DATA.HOSTNAME 필드의 직접 매핑
EC2_INSTANCE_ID entity.relations.entity.resource.product_object_id EC2_INSTANCE_ID 필드의 직접 매핑
ID entity.entity.asset.product_object_id ID 필드의 직접 매핑
ID entity.metadata.product_entity_id ID 필드의 직접 매핑
IP entity.entity.ip IP 필드의 직접 매핑
LAST_SCAN_DATETIME entity.metadata.interval.start_time LAST_SCAN_DATETIME 필드의 직접 매핑으로, 타임스탬프로 변환됩니다.
METADATA.AZURE.ATTRIBUTE.NAME entity.relations.entity.resource.attribute.labels.key METADATA.AZURE.ATTRIBUTE.NAME 필드의 직접 매핑
METADATA.AZURE.ATTRIBUTE.VALUE entity.relations.entity.resource.attribute.labels.value METADATA.AZURE.ATTRIBUTE.VALUE 필드의 직접 매핑
OS entity.entity.asset.platform_software.platform OS 필드에서 매핑되었습니다. 값에 'windows'가 포함된 경우(대소문자 구분 안 함) 'WINDOWS'로 매핑됩니다. 'Linux'가 포함된 경우(대소문자 구분 안 함) 'LINUX'로 매핑됩니다.
TAGS.TAG.NAME entity.relations.entity.resource.attribute.labels.key TAGS.TAG.NAME 필드의 직접 매핑
TAGS.TAG.TAG_ID entity.relations.entity.resource.attribute.labels.value TAGS.TAG.TAG_ID 필드에서 매핑되었습니다. 값의 접두사는 'TAG_ID: '입니다.
entity.metadata.collected_timestamp 로그 항목의 타임스탬프입니다.
entity.metadata.entity_type IP 필드의 존재 여부에 따라 결정됩니다. IP가 있는 경우 'IP_ADDRESS'로 설정됩니다. 그렇지 않으면 'ASSET'으로 설정됩니다.
entity.metadata.interval.end_time 매우 큰 타임스탬프 값 (253402300799초)으로 하드코딩됩니다.
entity.metadata.product_name 'QUALYS_VIRTUAL_SCANNER'로 하드코딩되었습니다.
entity.metadata.vendor_name 'QUALYS_VIRTUAL_SCANNER'로 하드코딩되었습니다.
entity.relations.entity.resource.resource_type CLOUD_SERVICE이 'VM'인 경우 'VIRTUAL_MACHINE'으로 설정됩니다.
entity.relations.entity_type 'RESOURCE'로 하드코딩됩니다.
entity.relations.relationship '회원'으로 하드코딩되었습니다.

변경사항

2023-08-21

  • 원본 로그의 'detection.UNIQUE_VULN_ID' 값을 UDM의 'threat.detection_fields' 필드에 매핑했습니다.

2023-07-31

  • 파서를 새로 만들었습니다.