Recopila registros de contexto de activos de Qualys

Compatible con:

Este analizador extrae información del contexto de los activos de los registros JSON de Qualys y la transforma al formato del UDM. Analiza varios campos, como el ID, la IP, el nombre de host, los detalles de los recursos de Cloud, el SO y las etiquetas, los asigna a los campos correspondientes del UDM y crea relaciones entre los activos y los recursos. El analizador también controla la lógica específica de los proveedores de servicios en la nube y los sistemas operativos, lo que garantiza una representación precisa en el UDM.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Es la instancia de Google Security Operations.
  • Acceso con privilegios a Google Cloud.
  • Acceso privilegiado a Qualys.

Habilita las APIs obligatorias:

  1. Accede a la consola de Google Cloud .
  2. Ve a APIs y servicios > Biblioteca.
  3. Busca las siguientes APIs y habilítalas:
    • API de Cloud Functions
    • API de Cloud Scheduler
    • Cloud Pub/Sub (obligatorio para que Cloud Scheduler invoque funciones)

Crea un Google Cloud bucket de Storage

  1. Accede a la consola de Google Cloud .

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. Configura el bucket:

    • Nombre: Ingresa un nombre único que cumpla con los requisitos de nombres de buckets (por ejemplo, qualys-asset-bucket).
    • Elige dónde almacenar tus datos: Selecciona una ubicación.
    • Elige una clase de almacenamiento para tus datos: Selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento.
    • Elige cómo controlar el acceso a los objetos: Selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.
    • Clase de almacenamiento: Elige según tus necesidades (por ejemplo, Estándar).

  5. Haz clic en Crear.

Crea una cuenta de servicio de Google Cloud

  1. Ve a IAM y administración > Cuentas de servicio.
  2. Cree una cuenta de servicio nueva
  3. Asigna un nombre descriptivo (por ejemplo, qualys-user).
  4. Otorga a la cuenta de servicio el rol de administrador de objetos de almacenamiento en el bucket de Cloud Storage que creaste en el paso anterior.
  5. Otorga a la cuenta de servicio el rol de Invocador de Cloud Functions.
  6. Crea una clave SSH para la cuenta de servicio.
  7. Descarga un archivo de claves JSON para la cuenta de servicio. Protege este archivo.

Opcional: Crea un usuario de API dedicado en Qualys

  1. Accede a la consola de Qualys.
  2. Ve a Usuarios.
  3. Haz clic en Nuevo > Usuario.
  4. Ingresa la información general requerida para el usuario.
  5. Selecciona la pestaña Rol del usuario.
  6. Asegúrate de que el rol tenga seleccionada la casilla de verificación API Access.
  7. Haz clic en Guardar.

Identifica la URL específica de la API de Qualys

Opción 1

Identifica tus URLs como se menciona en la identificación de la plataforma.

Opción 2

  1. Accede a la consola de Qualys.
  2. Ve a Ayuda > Acerca de.
  3. Desplázate para ver esta información en Centro de operaciones de seguridad (SOC).
  4. Copia la URL de la API de Qualys.

Configura la Cloud Function

  1. Ve a Cloud Functions en la Google Cloud consola.
  2. Haz clic en Crear función.

  3. Configura la función:

    • Nombre: Ingresa un nombre para tu función (por ejemplo, fetch-qualys-assets).
    • Región: Selecciona una región cercana a tu bucket.
    • Activador: Elige el activador de HTTP si es necesario o Cloud Pub/Sub para la ejecución programada.
    • Autenticación: Protege con autenticación.
    • Escribe el código con un editor directo:
    ```python
from google.cloud import storage
import requests
import base64
import json

# Cloud Storage configuration
BUCKET_NAME = "<bucket-name>"
FILE_NAME = "qualys_assets.json"

# Qualys API credentials
QUALYS_USERNAME = "<qualys-username>"
QUALYS_PASSWORD = "<qualys-password>"
QUALYS_BASE_URL = "https://<qualys_base_url>"

def fetch_qualys_assets():
    auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/xml"
    }
    payload = """
    <ServiceRequest>
        <filters>
            <Criteria field="asset.name" operator="LIKE">%</Criteria>
        </filters>
    </ServiceRequest>
    """
    response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/am/asset", headers=headers, data=payload)
    return response.json()

def upload_to_gcs(data):
    client = storage.Client()
    bucket = client.get_bucket(BUCKET_NAME)
    blob = bucket.blob(FILE_NAME)
    blob.upload_from_string(json.dumps(data), content_type="application/json")

def main(request):
    assets = fetch_qualys_assets()
    upload_to_gcs(assets)
    return "Data uploaded to Cloud Storage successfully!"

```

  4. Haz clic en Implementar después de completar la configuración.

Configura Cloud Scheduler

  1. Ve a Cloud Scheduler en la consola de Google Cloud .
  2. Haz clic en Crear trabajo.

  3. Configura el trabajo:

    • Nombre: Ingresa un nombre para tu trabajo (por ejemplo, trigger-fetch-qualys-assets).
    • Frecuencia: Usa la sintaxis de cron para especificar la programación (por ejemplo, 0 0 * * * para todos los días a la medianoche).
    • Zona horaria: Establece tu zona horaria preferida.
    • Tipo de activador: Elige HTTP.
    • URL del activador: Ingresa la URL de Cloud Function (que se encuentra en los detalles de la función después de la implementación).
    • Método: Elige POST.

  4. Crea el trabajo.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de contexto de activos de Qualys.
  5. Selecciona Google Cloud Storage como el Tipo de fuente.
  6. Selecciona Qualys Asset Context como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI de GCS: Es el URI de Cloud Storage.
    • URI is a: Selecciona Single file.
    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI de GCS: Es el URI de Cloud Storage.
  • URI is a: Selecciona Single file.

  • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

Opciones avanzadas

  • Nombre del feed: Es un valor predeterminado que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
ASSET_ID entity.entity.asset.asset_id Se asigna directamente desde el campo ASSET_ID.
CLOUD_PROVIDER entity.relations.entity.resource.resource_subtype Se asigna directamente desde el campo CLOUD_PROVIDER.
CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME entity.relations.entity.resource.attribute.labels.key Se asigna directamente desde el campo CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME.
CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE entity.relations.entity.resource.attribute.labels.value Se asigna directamente desde el campo CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE.
CLOUD_RESOURCE_ID entity.relations.entity.resource.id Se asigna directamente desde el campo CLOUD_RESOURCE_ID.
CLOUD_SERVICE entity.relations.entity.resource.resource_type Si CLOUD_SERVICE es "VM", el valor se establece en "VIRTUAL_MACHINE".
DNS_DATA.HOSTNAME entity.entity.asset.hostname Se asigna directamente desde el campo DNS_DATA.HOSTNAME.
EC2_INSTANCE_ID entity.relations.entity.resource.product_object_id Se asigna directamente desde el campo EC2_INSTANCE_ID.
ID entity.entity.asset.product_object_id Se asigna directamente desde el campo ID.
IP entity.entity.asset.ip Se asigna directamente desde el campo IP.
METADATA.AZURE.ATTRIBUTE[].NAME entity.relations.entity.resource.attribute.labels.key Se asigna directamente desde el campo METADATA.AZURE.ATTRIBUTE[].NAME.
METADATA.AZURE.ATTRIBUTE[].VALUE entity.relations.entity.resource.attribute.labels.value Se asigna directamente desde el campo METADATA.AZURE.ATTRIBUTE[].VALUE.
OS entity.entity.asset.platform_software.platform Si OS contiene "windows" (sin distinción entre mayúsculas y minúsculas), el valor se establece en "WINDOWS".
TAGS.TAG[].NAME entity.relations.entity.resource.attribute.labels.key Se asigna directamente desde el campo TAGS.TAG[].NAME.
TAGS.TAG[].TAG_ID entity.relations.entity.resource.attribute.labels.value Cadena concatenada "TAG_ID: " con el valor de TAGS.TAG[].TAG_ID. Se copió del campo create_time del registro sin procesar. Se codifica de forma rígida como "ASSET". Se codifica de forma rígida como "QUALYS ASSET CONTEXT". Se codifica de forma rígida como "QUALYS ASSET CONTEXT". Se codificó como "RESOURCE". Se codifica de forma rígida como "MEMBER". Se copió del campo create_time del registro sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.