Coletar registros do Qualys Virtual Scanner

Compatível com:

Esse analisador transforma os registros do Qualys Virtual Scanner formatados em JSON bruto em um formato estruturado que segue a UDM de operações de segurança do Google. Ele extrai campos relevantes, como informações de ativos, detalhes de verificação e vulnerabilidades detectadas, mapeando-os para os campos correspondentes do UDM para representação e análise consistentes.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Verifique se você tem acesso privilegiado a Google Cloud.
  • Verifique se você tem acesso privilegiado aos Qualys.

Ative as APIs obrigatórias:

  1. Faça login no console do Google Cloud .
  2. Acesse APIs e serviços > Biblioteca.
  3. Pesquise e ative as seguintes APIs:
    • API Cloud Functions
    • API Cloud Scheduler
    • Cloud Pub/Sub (necessário para que o Cloud Scheduler invoque funções)

Criar um bucket do Google Cloud Storage

  1. Faça login no console do Google Cloud .
  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Configure o bucket:

    • Nome: insira um nome exclusivo que atenda aos requisitos de nome de bucket (por exemplo, qualys-vscanner-bucket).
    • Escolha onde armazenar seus dados: selecione um local.
    • Escolha uma classe de armazenamento para seus dados: selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento.
    • Escolha como controlar o acesso a objetos: selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.
    • Classe de armazenamento: escolha com base nas suas necessidades (por exemplo, Padrão).
  5. Clique em Criar.

Criar uma conta de serviço do Google Cloud

  1. Acesse IAM e administrador > Contas de serviço.
  2. Crie uma nova conta de serviço.
  3. Dê um nome descritivo (por exemplo, qualys-user).
  4. Conceda à conta de serviço o papel de Administrador de objetos do Storage no bucket do Cloud Storage criado na etapa anterior.
  5. Conceda à conta de serviço o papel de Invocador do Cloud Functions.
  6. Crie uma chave SSH para a conta de serviço.
  7. Faça o download de um arquivo de chave JSON para a conta de serviço. Mantenha esse arquivo em segurança.

Opcional: crie um usuário de API dedicado no Qualys

  1. Faça login no console da Qualys.
  2. Acesse Usuários.
  3. Clique em Novo > Usuário.
  4. Insira as Informações gerais necessárias para o usuário.
  5. Selecione a guia Função do usuário.
  6. Verifique se a caixa de seleção Acesso à API está marcada.
  7. Clique em Salvar.

Identifique o URL específico da API Qualys

Opção 1

Identifique seus URLs conforme mencionado na identificação da plataforma.

Opção 2

  1. Faça login no console da Qualys.
  2. Acesse Ajuda > Sobre.
  3. Role a tela para conferir essas informações na Central de operações de segurança (SOC).
  4. Copie o URL da API Qualys.

Configurar a Função do Cloud

  1. Acesse o Cloud Functions no console Google Cloud .
  2. Clique em Criar função.
  3. Configure a função:

    • Nome: insira um nome para a função (por exemplo, fetch-qualys-vscanner).
    • Região: selecione uma região próxima ao seu bucket.
    • Gatilho: escolha o gatilho HTTP, se necessário, ou o Cloud Pub/Sub para execução programada.
    • Autenticação: ofereça segurança com autenticação.
    • Escrever o código com um editor inline:
    ```python
    from google.cloud import storage
    import requests
    import base64
    import json
    
    # Google Cloud Storage Configuration
    BUCKET_NAME = "<bucket-name>"
    FILE_NAME = "qualys_virtual_scanners.json"
    
    # Qualys API Credentials
    QUALYS_USERNAME = "qualys-username"
    QUALYS_PASSWORD = "<qualys-password>"
    QUALYS_BASE_URL = "https://<qualys_base_url>"  # for example, https://qualysapi.qualys.com
    
    def fetch_virtual_scanners():
        """Fetch Virtual Scanner details from Qualys."""
        auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
        headers = {
            "Authorization": f"Basic {auth}",
            "Content-Type": "application/xml"
        }
        url = f"{QUALYS_BASE_URL}/api/2.0/fo/scanner/"
        payload = {
            "action": "list",
            "scanner_type": "virtual"
        }
        response = requests.post(url, headers=headers, data=payload)
        response.raise_for_status()
        return response.text  # Qualys API returns XML data
    
    def upload_to_gcs(data):
        """Upload data to Google Cloud Storage."""
        client = storage.Client()
        bucket = client.get_bucket(BUCKET_NAME)
        blob = bucket.blob(FILE_NAME)
        blob.upload_from_string(data, content_type="application/xml")
    
    def main(request):
        """Cloud Function entry point."""
        try:
            scanners = fetch_virtual_scanners()
            upload_to_gcs(scanners)
            return "Qualys Virtual Scanners data uploaded to Cloud Storage successfully!"
        except Exception as e:
            return f"An error occurred: {e}", 500
    ```
    
  4. Clique em Implantar depois de concluir a configuração.

Configurar o Cloud Scheduler

  1. Acesse o Cloud Scheduler no Google Cloud console.
  2. Clique em Criar job.
  3. Configure o job:

    • Nome: insira um nome para o job, por exemplo, trigger-fetch-qualys-vscanner.
    • Frequência: use a sintaxe cron para especificar a programação (por exemplo, 0 0 * * * para diariamente à meia-noite).
    • Fuso horário: defina seu fuso horário preferido.
    • Tipo de acionador: escolha HTTP.
    • URL do gatilho: insira o URL da função do Cloud (encontrado nos detalhes da função após a implantação).
    • Método: escolha POST.
  4. Crie o job.

Configurar um feed no Google SecOps para processar os registros do Qualys Virtual Scanner

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Qualys Virtual Scanner Logs).
  4. Selecione Google Cloud Storage como o Tipo de origem.
  5. Selecione Qualys Virtual Scanner como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:

    • URI do bucket do 'Storage': o URI de origem do Google Cloud bucket do 'Storage'.
    • URI é um: selecione Arquivo único.
    • Opção de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.
  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
ASSET_ID entity.entity.asset.asset_id Mapeamento direto do campo ASSET_ID.
CLOUD_PROVIDER_TAGS.CLOUD_TAG.NAME entity.relations.entity.resource.attribute.labels.key Mapeamento direto do campo CLOUD_PROVIDER_TAGS.CLOUD_TAG.NAME.
CLOUD_PROVIDER_TAGS.CLOUD_TAG.VALUE entity.relations.entity.resource.attribute.labels.value Mapeamento direto do campo CLOUD_PROVIDER_TAGS.CLOUD_TAG.VALUE.
CLOUD_RESOURCE_ID entity.relations.entity.resource.id Mapeamento direto do campo CLOUD_RESOURCE_ID.
DETECTION_LIST.DETECTION.FIRST_FOUND_DATETIME entity.metadata.threat.first_discovered_time Mapeamento direto do campo DETECTION_LIST.DETECTION.FIRST_FOUND_DATETIME, convertido em carimbo de data/hora.
DETECTION_LIST.DETECTION.FIRST_REOPENED_DATETIME entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.FIRST_REOPENED_DATETIME. A chave é codificada como "FIRST_REOPENED_DATETIME".
DETECTION_LIST.DETECTION.IS_DISABLED entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.IS_DISABLED. A chave é codificada como "IS_DISABLED".
DETECTION_LIST.DETECTION.LAST_FIXED_DATETIME entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.LAST_FIXED_DATETIME. A chave é codificada como "LAST_FIXED_DATETIME".
DETECTION_LIST.DETECTION.LAST_FOUND_DATETIME entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.LAST_FOUND_DATETIME. A chave é codificada como "LAST_FOUND_DATETIME".
DETECTION_LIST.DETECTION.LAST_PROCESSED_DATETIME entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.LAST_PROCESSED_DATETIME. A chave é codificada como "LAST_PROCESSED_DATETIME".
DETECTION_LIST.DETECTION.LAST_REOPENED_DATETIME entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.LAST_REOPENED_DATETIME. A chave é codificada como "LAST_REOPENED_DATETIME".
DETECTION_LIST.DETECTION.LAST_TEST_DATETIME entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.LAST_TEST_DATETIME. A chave é codificada como "LAST_TEST_DATETIME".
DETECTION_LIST.DETECTION.LAST_UPDATE_DATETIME entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.LAST_UPDATE_DATETIME. A chave é codificada como "LAST_UPDATE_DATETIME".
DETECTION_LIST.DETECTION.PORT entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.PORT. A chave é codificada como "PORT".
DETECTION_LIST.DETECTION.PROTOCOL entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.PROTOCOL. A chave é codificada como "PROTOCOL".
DETECTION_LIST.DETECTION.QID entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.QID. A chave é codificada como "QID".
DETECTION_LIST.DETECTION.RESULTS entity.metadata.threat.summary Mapeamento direto do campo DETECTION_LIST.DETECTION.RESULTS.
DETECTION_LIST.DETECTION.SEVERITY entity.metadata.threat.severity_details Mapeamento direto do campo DETECTION_LIST.DETECTION.SEVERITY.
DETECTION_LIST.DETECTION.SSL entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.SSL. A chave é codificada como "SSL".
DETECTION_LIST.DETECTION.STATUS entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.STATUS. A chave é codificada como "STATUS".
DETECTION_LIST.DETECTION.TIMES_FOUND entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.TIMES_FOUND. A chave é codificada como "TIMES_FOUND".
DETECTION_LIST.DETECTION.TIMES_REOPENED entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.TIMES_REOPENED. A chave é codificada como "TIMES_REOPENED".
DETECTION_LIST.DETECTION.TYPE entity.metadata.threat.severity Mapeado do campo DETECTION_LIST.DETECTION.TYPE. Se o valor for "info" (sem distinção entre maiúsculas e minúsculas), ele será mapeado para "INFORMATIONAL". Caso contrário, ele será adicionado como um campo de detecção com a chave "TYPE".
DETECTION_LIST.DETECTION.UNIQUE_VULN_ID entity.metadata.threat.detection_fields.value Mapeamento direto do campo DETECTION_LIST.DETECTION.UNIQUE_VULN_ID. A chave é codificada como "UNIQUE_VULN_ID".
DNS entity.entity.asset.hostname Mapeado do campo DNS se DNS_DATA.HOSTNAME estiver vazio.
DNS_DATA.HOSTNAME entity.entity.asset.hostname Mapeamento direto do campo DNS_DATA.HOSTNAME.
EC2_INSTANCE_ID entity.relations.entity.resource.product_object_id Mapeamento direto do campo EC2_INSTANCE_ID.
ID entity.entity.asset.product_object_id Mapeamento direto do campo ID.
ID entity.metadata.product_entity_id Mapeamento direto do campo ID.
IP entity.entity.ip Mapeamento direto do campo IP.
LAST_SCAN_DATETIME entity.metadata.interval.start_time Mapeamento direto do campo LAST_SCAN_DATETIME, convertido em carimbo de data/hora.
METADATA.AZURE.ATTRIBUTE.NAME entity.relations.entity.resource.attribute.labels.key Mapeamento direto do campo METADATA.AZURE.ATTRIBUTE.NAME.
METADATA.AZURE.ATTRIBUTE.VALUE entity.relations.entity.resource.attribute.labels.value Mapeamento direto do campo METADATA.AZURE.ATTRIBUTE.VALUE.
SO entity.entity.asset.platform_software.platform Mapeado do campo OS. Se o valor contiver "windows" (sem distinção entre maiúsculas e minúsculas), ele será mapeado para "WINDOWS". Se ele contiver "Linux" (sem diferenciação entre maiúsculas e minúsculas), será mapeado para "LINUX".
TAGS.TAG.NAME entity.relations.entity.resource.attribute.labels.key Mapeamento direto do campo TAGS.TAG.NAME.
TAGS.TAG.TAG_ID entity.relations.entity.resource.attribute.labels.value Mapeado do campo TAGS.TAG.TAG_ID. O valor tem o prefixo "TAG_ID: ".
entity.metadata.collected_timestamp O carimbo de data/hora da entrada de registro.
entity.metadata.entity_type Determinado com base na presença do campo IP. Se IP estiver presente, ele será definido como "IP_ADDRESS". Caso contrário, ele será definido como "ASSET".
entity.metadata.interval.end_time Fixado em um valor de carimbo de data/hora muito grande (253402300799 segundos).
entity.metadata.product_name Fixado em "QUALYS_VIRTUAL_SCANNER".
entity.metadata.vendor_name Fixado em "QUALYS_VIRTUAL_SCANNER".
entity.relations.entity.resource.resource_type Se CLOUD_SERVICE for "VM", ele será definido como "VIRTUAL_MACHINE".
entity.relations.entity_type Fixado em "RESOURCE".
entity.relations.relationship Fixado em "MEMBER".

Alterações

2023-08-21

  • O valor "detection.UNIQUE_VULN_ID" do registro original foi mapeado para o campo "threat.detection_fields" no UDM.

2023-07-31

  • Parser recém-criado.