Recolha registos do Qualys Virtual Scanner

Este analisador transforma registos do Qualys Virtual Scanner formatados em JSON não processado num formato estruturado em conformidade com o UDM do Google Security Operations. Extrai campos relevantes, como informações de recursos, detalhes de análise e vulnerabilidades detetadas, mapeando-os para os campos da UDM correspondentes para uma representação e uma análise consistentes.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google Security Operations.
• Acesso privilegiado a Google Cloud.
• Acesso privilegiado ao Qualys.

Ative as APIs necessárias:

1. Inicie sessão na Google Cloud consola.
2. Aceda a APIs e serviços > Biblioteca.
3. Pesquise as seguintes APIs e ative-as:
   • Cloud Functions API
   • API do Cloud Scheduler
   • Cloud Pub/Sub (necessário para o Cloud Scheduler invocar funções)

Crie um Google Cloud contentor de armazenamento

1. Inicie sessão na Google Cloud consola.

2. Aceda à página Contentores do Cloud Storage.

   Aceda aos contentores

3. Clique em Criar.

4. Configure o contentor:

   • Nome: introduza um nome exclusivo que cumpra os requisitos de nome do contentor (por exemplo, qualys-vscanner-bucket).
   • Escolha onde quer armazenar os seus dados: selecione uma localização.
   • Escolha uma classe de armazenamento para os seus dados: selecione uma classe de armazenamento predefinida para o contentor ou selecione Autoclass para a gestão automática da classe de armazenamento.
   • Escolha como controlar o acesso aos objetos: selecione não para aplicar a prevenção de acesso público e selecione um modelo de controlo de acesso para os objetos do seu contentor.
   • Classe de armazenamento: escolha com base nas suas necessidades (por exemplo, Standard).

5. Clique em Criar.

Crie uma conta de serviço do Google Cloud

1. Aceda a IAM e administrador > Contas de serviço.
2. Crie uma nova conta de serviço.
3. Atribua-lhe um nome descritivo (por exemplo, qualys-user).
4. Conceda à conta de serviço a função de administrador de objetos de armazenamento no contentor do Cloud Storage que criou no passo anterior.
5. Conceda à conta de serviço a função de invocador do Cloud Functions.
6. Crie uma chave SSH para a conta de serviço.
7. Transfira um ficheiro de chave JSON para a conta de serviço. Mantenha este ficheiro seguro.

Opcional: crie um utilizador da API dedicado no Qualys

1. Inicie sessão na consola do Qualys.
2. Aceda a Utilizadores.
3. Clique em Novo > Utilizador.
4. Introduza as informações gerais necessárias para o utilizador.
5. Selecione o separador Função do utilizador.
6. Certifique-se de que a caixa de verificação Acesso à API está selecionada para a função.
7. Clique em Guardar.

Identifique o URL da API Qualys específico

Opção 1

Identifique os seus URLs conforme mencionado na identificação da plataforma.

Opção 2

1. Inicie sessão na consola do Qualys.
2. Aceda a Ajuda > Acerca de.
3. Desloque a página para ver estas informações em Centro de operações de segurança (SOC).
4. Copie o URL da API Qualys.

Configure a função do Google Cloud

1. Aceda ao Cloud Functions na Google Cloud consola.
2. Clique em Criar função.

3. Configure a função:

   • Nome: introduza um nome para a sua função (por exemplo, fetch-qualys-vscanner).
   • Região: selecione uma região próxima do seu contentor.
   • Acionador: escolha o acionador HTTP, se necessário, ou o Cloud Pub/Sub para execução agendada.
   • Autenticação: proteja com autenticação.
   • Escreva o código com um editor inline:

   ```python
   from google.cloud import storage
   import requests
   import base64
   import json
   
   # Google Cloud Storage Configuration
   BUCKET_NAME = "<bucket-name>"
   FILE_NAME = "qualys_virtual_scanners.json"
   
   # Qualys API Credentials
   QUALYS_USERNAME = "qualys-username"
   QUALYS_PASSWORD = "<qualys-password>"
   QUALYS_BASE_URL = "https://<qualys_base_url>"  # for example, https://qualysapi.qualys.com
   
   def fetch_virtual_scanners():
       """Fetch Virtual Scanner details from Qualys."""
       auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
       headers = {
           "Authorization": f"Basic {auth}",
           "Content-Type": "application/xml"
       }
       url = f"{QUALYS_BASE_URL}/api/2.0/fo/scanner/"
       payload = {
           "action": "list",
           "scanner_type": "virtual"
       }
       response = requests.post(url, headers=headers, data=payload)
       response.raise_for_status()
       return response.text  # Qualys API returns XML data
   
   def upload_to_gcs(data):
       """Upload data to Google Cloud Storage."""
       client = storage.Client()
       bucket = client.get_bucket(BUCKET_NAME)
       blob = bucket.blob(FILE_NAME)
       blob.upload_from_string(data, content_type="application/xml")
   
   def main(request):
       """Cloud Function entry point."""
       try:
           scanners = fetch_virtual_scanners()
           upload_to_gcs(scanners)
           return "Qualys Virtual Scanners data uploaded to Cloud Storage successfully!"
       except Exception as e:
           return f"An error occurred: {e}", 500
   ```
   

4. Clique em Implementar após concluir a configuração.

Configure o Cloud Scheduler

1. Aceda ao Cloud Scheduler na Google Cloud consola.
2. Clique em Criar tarefa.

3. Configure a tarefa:

   • Nome: introduza um nome para a tarefa (por exemplo, trigger-fetch-qualys-vscanner).
   • Frequência: use a sintaxe cron para especificar o agendamento (por exemplo, 0 0 * * * para diariamente à meia-noite).
   • Fuso horário: defina o seu fuso horário preferido.
   • Tipo de acionador: escolha HTTP.
   • URL do acionador: introduza o URL da Cloud Function (encontrado nos detalhes da função após a implementação).
   • Método: escolha POST.

4. Crie o trabalho.

Configure feeds

Para configurar um feed, siga estes passos:

1. Aceda a Definições do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na página seguinte, clique em Configurar um único feed.
4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do analisador virtual da Qualys.
5. Selecione Google Cloud Storage V2 como Tipo de origem.
6. Selecione Qualys Virtual Scanner como o Tipo de registo.
7. Clicar em Seguinte.

8. Especifique valores para os seguintes parâmetros de entrada:

   • URI do contentor de armazenamento: o Google Cloud URI de origem do contentor de armazenamento.
   • Opção de eliminação da origem: selecione a opção de eliminação de acordo com a sua preferência.

9. Clicar em Seguinte.

10. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.