Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log konteks aset Qualys

Didukung di:

Google secops SIEM

Parser ini mengekstrak informasi konteks aset dari log JSON Qualys dan mengubahnya menjadi format UDM. Proses ini mengurai berbagai kolom seperti ID, IP, nama host, detail resource cloud, OS, dan tag, memetakannya ke kolom UDM yang sesuai, serta membuat hubungan antara aset dan resource. Parser juga menangani logika khusus untuk penyedia cloud dan sistem operasi, sehingga memastikan representasi yang akurat dalam UDM.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google Security Operations.
Akses istimewa ke Google Cloud.
Akses istimewa ke Qualys.

Aktifkan API yang Diperlukan:

Login ke konsol Google Cloud .
Buka APIs & Services > Library.
Telusuri dan aktifkan API berikut:
- Cloud Functions API
- Cloud Scheduler API
- Cloud Pub/Sub (diperlukan agar Cloud Scheduler dapat memanggil fungsi)

Membuat Google Cloud Bucket Storage

Login ke konsol Google Cloud .
Buka halaman Cloud Storage Buckets.

Buka Buckets
Klik Buat.
Konfigurasi bucket:
- Name: masukkan nama unik yang memenuhi persyaratan nama bucket (misalnya, qualys-asset-bucket).
- Pilih tempat untuk menyimpan data Anda: pilih lokasi.
- Pilih kelas penyimpanan untuk data Anda: pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis.
- Pilih cara mengontrol akses ke objek: pilih tidak untuk menerapkan pencegahan akses publik, dan pilih model kontrol akses untuk objek bucket Anda.
Catatan: Jika pencegahan akses publik sudah diterapkan oleh kebijakan organisasi project Anda, kotak centang Prevent public access akan dikunci.
- Kelas penyimpanan: pilih berdasarkan kebutuhan Anda (misalnya, Standard).
Klik Buat.

Buat Akun Layanan Google Cloud

Buka IAM & Admin > Service Accounts.
Buat akun layanan baru.
Beri nama deskriptif (misalnya, qualys-user).
Beri akun layanan peran Storage Object Admin di bucket Cloud Storage yang Anda buat pada langkah sebelumnya.
Berikan peran Cloud Functions Invoker kepada akun layanan.
Buat kunci SSH untuk akun layanan.
Download file kunci JSON untuk akun layanan. Jaga keamanan file ini.

Opsional: Buat Pengguna API khusus di Qualys

Login ke konsol Qualys.
Buka Pengguna.
Klik Baru > Pengguna.
Masukkan Informasi Umum yang diperlukan untuk pengguna.
Pilih tab Peran Pengguna.
Pastikan peran memiliki kotak Akses API yang dicentang.
Klik Simpan.

Mengidentifikasi URL Qualys API spesifik Anda

Opsi 1

Identifikasi URL Anda seperti yang disebutkan dalam identifikasi platform.

Opsi 2

Login ke konsol Qualys.
Buka Bantuan > Tentang.
Scroll untuk melihat informasi ini di bagian Security Operations Center (SOC).
Salin URL Qualys API.

Mengonfigurasi Cloud Function

Buka Cloud Functions di konsol Google Cloud .
Klik Buat fungsi.

Konfigurasi Fungsi:

Name: masukkan nama untuk fungsi Anda (misalnya, fetch-qualys-assets).
Region: pilih region yang dekat dengan Bucket Anda.
Pemicu: pilih pemicu HTTP jika diperlukan atau Cloud Pub/Sub untuk eksekusi terjadwal.
Autentikasi: aman dengan autentikasi.
Tulis Kode dengan editor inline:

```python
from google.cloud import storage
import requests
import base64
import json

# Cloud Storage configuration
BUCKET_NAME = "<bucket-name>"
FILE_NAME = "qualys_assets.json"

# Qualys API credentials
QUALYS_USERNAME = "<qualys-username>"
QUALYS_PASSWORD = "<qualys-password>"
QUALYS_BASE_URL = "https://<qualys_base_url>"

def fetch_qualys_assets():
    auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/xml"
    }
    payload = """
    <ServiceRequest>
        <filters>
            <Criteria field="asset.name" operator="LIKE">%</Criteria>
        </filters>
    </ServiceRequest>
    """
    response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/am/asset", headers=headers, data=payload)
    return response.json()

def upload_to_gcs(data):
    client = storage.Client()
    bucket = client.get_bucket(BUCKET_NAME)
    blob = bucket.blob(FILE_NAME)
    blob.upload_from_string(json.dumps(data), content_type="application/json")

def main(request):
    assets = fetch_qualys_assets()
    upload_to_gcs(assets)
    return "Data uploaded to Cloud Storage successfully!"

```

Klik Deploy setelah menyelesaikan konfigurasi.

Mengonfigurasi Cloud Scheduler

Buka Cloud Scheduler di konsol Google Cloud .
Klik Create Job.
Konfigurasi Tugas:
- Name: masukkan nama untuk tugas Anda (misalnya, trigger-fetch-qualys-assets).
- Frekuensi: gunakan sintaksis cron untuk menentukan jadwal (misalnya, 0 0 * * * untuk harian pada tengah malam).
- Zona Waktu: tetapkan zona waktu pilihan Anda.
- Jenis Pemicu: Pilih HTTP.
- Trigger URL: Masukkan URL Cloud Function (ditemukan di detail fungsi setelah deployment).
- Metode: Pilih POST.
Catatan: Jika autentikasi diaktifkan untuk fungsi, pilih Akun Layanan dan pastikan akun tersebut memiliki peran Invoker Cloud Functions.
Buat tugas.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Konteks Aset Qualys.
Pilih Google Cloud Storage sebagai Jenis sumber.
Pilih Qualys Asset Context sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI GCS: URI Cloud Storage.
- URI adalah: pilih File tunggal.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda memberikan izin yang sesuai ke akun layanan.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

URI GCS: URI Cloud Storage.
URI adalah: pilih File tunggal.
Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda memberikan izin yang sesuai ke akun layanan.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`ASSET_ID`	`entity.entity.asset.asset_id`	Dipetakan langsung dari kolom `ASSET_ID`.
`CLOUD_PROVIDER`	`entity.relations.entity.resource.resource_subtype`	Dipetakan langsung dari kolom `CLOUD_PROVIDER`.
`CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME`	`entity.relations.entity.resource.attribute.labels.key`	Dipetakan langsung dari kolom `CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME`.
`CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE`	`entity.relations.entity.resource.attribute.labels.value`	Dipetakan langsung dari kolom `CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE`.
`CLOUD_RESOURCE_ID`	`entity.relations.entity.resource.id`	Dipetakan langsung dari kolom `CLOUD_RESOURCE_ID`.
`CLOUD_SERVICE`	`entity.relations.entity.resource.resource_type`	Jika `CLOUD_SERVICE` adalah "VM", nilai ditetapkan ke "VIRTUAL_MACHINE".
`DNS_DATA.HOSTNAME`	`entity.entity.asset.hostname`	Dipetakan langsung dari kolom `DNS_DATA.HOSTNAME`.
`EC2_INSTANCE_ID`	`entity.relations.entity.resource.product_object_id`	Dipetakan langsung dari kolom `EC2_INSTANCE_ID`.
`ID`	`entity.entity.asset.product_object_id`	Dipetakan langsung dari kolom `ID`.
`IP`	`entity.entity.asset.ip`	Dipetakan langsung dari kolom `IP`.
`METADATA.AZURE.ATTRIBUTE[].NAME`	`entity.relations.entity.resource.attribute.labels.key`	Dipetakan langsung dari kolom `METADATA.AZURE.ATTRIBUTE[].NAME`.
`METADATA.AZURE.ATTRIBUTE[].VALUE`	`entity.relations.entity.resource.attribute.labels.value`	Dipetakan langsung dari kolom `METADATA.AZURE.ATTRIBUTE[].VALUE`.
`OS`	`entity.entity.asset.platform_software.platform`	Jika `OS` berisi "windows" (tidak peka huruf besar/kecil), nilainya ditetapkan ke "WINDOWS".
`TAGS.TAG[].NAME`	`entity.relations.entity.resource.attribute.labels.key`	Dipetakan langsung dari kolom `TAGS.TAG[].NAME`.
`TAGS.TAG[].TAG_ID`	`entity.relations.entity.resource.attribute.labels.value`	String "TAG_ID: " yang digabungkan dengan nilai `TAGS.TAG[].TAG_ID`. Disalin dari kolom `create_time` log mentah. Dikodekan secara permanen ke "ASSET". Dikodekan secara permanen ke "QUALYS ASSET CONTEXT". Dikodekan secara permanen ke "QUALYS ASSET CONTEXT". Dikodekan secara permanen ke "RESOURCE". Dikodekan secara permanen ke "MEMBER". Disalin dari kolom `create_time` log mentah.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.