このページは Cloud Translation API によって翻訳されました。

Qualys アセットコンテキストログを収集する

以下でサポートされています。

Google SecOps SIEM

このパーサーは、Qualys JSON ログからアセットコンテキスト情報を抽出し、UDM 形式に変換します。ID、IP、ホスト名、クラウドリソースの詳細、OS、タグなどのさまざまなフィールドを解析し、対応する UDM フィールドにマッピングして、アセットとリソース間の関係を作成します。また、パーサーは、クラウドプロバイダとオペレーティングシステムの特定のロジックを処理し、UDM で正確に表現できるようにします。

始める前に

次の前提条件を満たしていることを確認します。

Google Security Operations インスタンス。
Google Cloudへの特権アクセス。
Qualys への特権アクセス。

必要な API を有効にする:

Google Cloud コンソールにログインします。
[API とサービス] > [ライブラリ] に移動します。
次の API を検索して有効にします。
- Cloud Functions API
- Cloud Scheduler API
- Cloud Pub/Sub（Cloud Scheduler が関数を呼び出すために必要）

Google Cloud Storage バケットの作成

Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。

[バケット] に移動
[作成] をクリックします。
バケットを構成します。
- 名前: バケット名の要件を満たす一意の名前を入力します（例: qualys-asset-bucket）。
- データの保存場所の選択: ロケーションを選択します。
- データのストレージクラスを選択する: バケットの [デフォルトのストレージクラス] を選択するか、ストレージクラスの自動管理に [Autoclass] を選択します。
- オブジェクトへのアクセスを制御する方法を選択する: [なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
注: プロジェクトの組織のポリシーによって公開アクセスの防止がすでに適用されている場合、[公開アクセスの防止] チェックボックスはロックされています。
- ストレージクラス: 必要に応じて選択します（Standard など）。
[作成] をクリックします。

Google Cloud サービスアカウントを作成する

[IAM と管理] > [サービスアカウント] に移動します。
新しいサービスアカウントを作成します。
わかりやすい名前を付けます（qualys-user など）。
前の手順で作成した Cloud Storage バケットに対する ストレージオブジェクト管理者のロールをサービスアカウントに付与します。
サービスアカウントに Cloud Functions 起動元 のロールを付与します。
サービスアカウント用の SSH キーを作成します。
サービスアカウント用の JSON キーファイルをダウンロードします。このファイルは安全に保管してください。

省略可: Qualys で専用の API ユーザーを作成する

Qualys コンソールにログインします。
[ユーザー] にアクセスします。
[New] > [User] をクリックします。
ユーザーに必要な [General Information] を入力します。
[User Role] タブを選択します。
ロールの [API Access] チェックボックスがオンになっていることを確認します。
[Save] をクリックします。

特定の Qualys API URL を識別する

オプション 1

プラットフォームの特定の記事に記載されている方法で URL を特定します。

オプション 2

Qualys コンソールにログインします。
[Help] > [About] に移動します。
スクロールして、[Security Operations Center (SOC)] でこの情報を確認します。
Qualys API URL をコピーします。

Cloud Functions を構成する

Google Cloud コンソールで Cloud Functions に移動します。
[ファンクションを作成] をクリックします。

ファンクションを構成します。

名前: ファンクションの名前を入力します（例: fetch-qualys-assets）。
Region: バケットに近いリージョンを選択します。
Trigger: 必要に応じて HTTP トリガーを選択します。スケジュール設定された実行の場合は Cloud Pub/Sub を選択します。
Authentication: 認証で保護します。
インラインエディタでコードを記述します。

```python
from google.cloud import storage
import requests
import base64
import json

# Cloud Storage configuration
BUCKET_NAME = "<bucket-name>"
FILE_NAME = "qualys_assets.json"

# Qualys API credentials
QUALYS_USERNAME = "<qualys-username>"
QUALYS_PASSWORD = "<qualys-password>"
QUALYS_BASE_URL = "https://<qualys_base_url>"

def fetch_qualys_assets():
    auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/xml"
    }
    payload = """
    <ServiceRequest>
        <filters>
            <Criteria field="asset.name" operator="LIKE">%</Criteria>
        </filters>
    </ServiceRequest>
    """
    response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/am/asset", headers=headers, data=payload)
    return response.json()

def upload_to_gcs(data):
    client = storage.Client()
    bucket = client.get_bucket(BUCKET_NAME)
    blob = bucket.blob(FILE_NAME)
    blob.upload_from_string(json.dumps(data), content_type="application/json")

def main(request):
    assets = fetch_qualys_assets()
    upload_to_gcs(assets)
    return "Data uploaded to Cloud Storage successfully!"

```

構成が完了したら、[Deploy] をクリックします。

Cloud Scheduler を構成する

Google Cloud コンソールで [Cloud Scheduler] に移動します。
[ジョブを作成] をクリックします。
ジョブを構成します。
- 名前: ジョブの名前を入力します（例: trigger-fetch-qualys-assets）。
- 頻度: cron 構文を使用してスケジュールを指定します（例: 毎日午前 0 時の場合は 0 0 * * *）。
- Time Zone: 使用するタイムゾーンを設定します。
- Trigger Type: [HTTP] を選択します。
- トリガー URL: Cloud Functions のファンクションの URL を入力します（デプロイ後にファンクションの詳細で確認できます）。
- メソッド: [POST] を選択します。
注: ファンクションの認証が有効になっている場合は、[サービスアカウント] を選択し、アカウントに Cloud Functions 起動元のロールがあることを確認します。
ジョブを作成します

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Qualys アセットコンテキストログ）。
[Source type] として [Google Cloud Storage] を選択します。
[ログタイプ] として [Qualys アセットコンテキスト] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- GCS URI: Cloud Storage URI。
- URI is a: [単一ファイル] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

GCS URI: Cloud Storage URI。
URI is a: [単一ファイル] を選択します。
Source deletion options: 必要に応じて削除オプションを選択します。

注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。

詳細オプション

フィード名: フィードを識別する値が事前入力されています。
ソースタイプ: ログを Google SecOps に収集するために使用される方法。
アセット Namespace: フィードに関連付けられた Namespace。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`ASSET_ID`	`entity.entity.asset.asset_id`	`ASSET_ID` フィールドから直接マッピングされます。
`CLOUD_PROVIDER`	`entity.relations.entity.resource.resource_subtype`	`CLOUD_PROVIDER` フィールドから直接マッピングされます。
`CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME`	`entity.relations.entity.resource.attribute.labels.key`	`CLOUD_PROVIDER_TAGS.CLOUD_TAG[].NAME` フィールドから直接マッピングされます。
`CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE`	`entity.relations.entity.resource.attribute.labels.value`	`CLOUD_PROVIDER_TAGS.CLOUD_TAG[].VALUE` フィールドから直接マッピングされます。
`CLOUD_RESOURCE_ID`	`entity.relations.entity.resource.id`	`CLOUD_RESOURCE_ID` フィールドから直接マッピングされます。
`CLOUD_SERVICE`	`entity.relations.entity.resource.resource_type`	`CLOUD_SERVICE` が「VM」の場合、値は「VIRTUAL_MACHINE」に設定されます。
`DNS_DATA.HOSTNAME`	`entity.entity.asset.hostname`	`DNS_DATA.HOSTNAME` フィールドから直接マッピングされます。
`EC2_INSTANCE_ID`	`entity.relations.entity.resource.product_object_id`	`EC2_INSTANCE_ID` フィールドから直接マッピングされます。
`ID`	`entity.entity.asset.product_object_id`	`ID` フィールドから直接マッピングされます。
`IP`	`entity.entity.asset.ip`	`IP` フィールドから直接マッピングされます。
`METADATA.AZURE.ATTRIBUTE[].NAME`	`entity.relations.entity.resource.attribute.labels.key`	`METADATA.AZURE.ATTRIBUTE[].NAME` フィールドから直接マッピングされます。
`METADATA.AZURE.ATTRIBUTE[].VALUE`	`entity.relations.entity.resource.attribute.labels.value`	`METADATA.AZURE.ATTRIBUTE[].VALUE` フィールドから直接マッピングされます。
`OS`	`entity.entity.asset.platform_software.platform`	`OS` に「windows」が含まれている場合（大文字と小文字を区別しない）、値は「WINDOWS」に設定されます。
`TAGS.TAG[].NAME`	`entity.relations.entity.resource.attribute.labels.key`	`TAGS.TAG[].NAME` フィールドから直接マッピングされます。
`TAGS.TAG[].TAG_ID`	`entity.relations.entity.resource.attribute.labels.value`	文字列「TAG_ID: 」と `TAGS.TAG[].TAG_ID` の値を連結した文字列。未加工ログの `create_time` フィールドからコピーされます。「ASSET」にハードコードされています。「QUALYS ASSET CONTEXT」にハードコードされています。「QUALYS ASSET CONTEXT」にハードコードされています。「RESOURCE」にハードコードされています。「MEMBER」にハードコードされています。未加工ログの `create_time` フィールドからコピーされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。