Diese Seite wurde von der Cloud Translation API übersetzt.

Qualys Continuous Monitoring-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Mit diesem Logstash-Parsercode werden zuerst Felder wie Quell-IP, Nutzer, Methode und Anwendungsprotokoll aus Rohlogmeldungen extrahiert. Dazu werden Grok-Muster verwendet. Anschließend werden bestimmte Felder aus den Logrohdaten den entsprechenden Feldern im einheitlichen Datenmodell (Unified Data Model, UDM) zugeordnet, Datentypkonvertierungen durchgeführt und die Daten mit zusätzlichen Labels und Metadaten angereichert, bevor die Ausgabe im gewünschten UDM-Format strukturiert wird.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google Security Operations-Instanz.
Privilegierter Zugriff auf Google Cloud.
Privilegierter Zugriff auf Qualys.

Erforderliche APIs aktivieren:

Melden Sie sich in der Google Cloud -Konsole an.
Rufen Sie APIs und Dienste > Bibliothek auf.
Suchen Sie nach den folgenden APIs und aktivieren Sie sie:
- Cloud Functions API
- Cloud Scheduler API
- Cloud Pub/Sub (erforderlich, damit Cloud Scheduler Funktionen aufrufen kann)

Google Cloud Storage-Bucket erstellen

Melden Sie sich in der Google Cloud -Konsole an.
Rufen Sie die Seite Cloud Storage-Buckets auf.

Buckets aufrufen
Klicken Sie auf Erstellen.
Konfigurieren Sie den Bucket:
- Name: Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. qualys-asset-bucket).
- Speicherort für Daten auswählen: Wählen Sie einen Standort aus.
- Speicherklasse für Ihre Daten auswählen: Wählen Sie entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen aus.
- Legen Sie fest, wie der Zugriff auf Objekte gesteuert wird: Wählen Sie nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
Hinweis: Wenn die Verhinderung des öffentlichen Zugriffs bereits durch die Organisationsrichtlinie Ihres Projekts erzwungen wird, ist das Kästchen Öffentlichen Zugriff verhindern gesperrt.
- Speicherklasse: Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht, z. B. Standard.
Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

Melden Sie sich in der Google Cloud -Konsole an.
Rufen Sie IAM und Verwaltung > Dienstkonten auf.
Erstellen Sie ein neues Dienstkonto.
Geben Sie ihm einen aussagekräftigen Namen (z. B. qualys-user).
Weisen Sie dem Dienstkonto die Rolle Storage-Objekt-Administrator für den GCS-Bucket zu, den Sie im vorherigen Schritt erstellt haben.
Weisen Sie dem Dienstkonto die Rolle Cloud Functions-Aufrufer zu.
Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Optional: Einen dedizierten API-Nutzer in Qualys erstellen

Melden Sie sich in der Qualys-Konsole an.
Gehen Sie zu Nutzer.
Klicken Sie auf Neu > Nutzer.
Geben Sie die erforderlichen Allgemeinen Informationen für den Nutzer ein.
Klicken Sie auf den Tab Nutzerrolle.
Das Kästchen API-Zugriff muss angeklickt sein.
Klicken Sie auf Speichern.

Spezifische Qualys API-URL ermitteln

Option 1

Geben Sie Ihre URLs wie unter Plattformerfassung beschrieben an.

Option 2

Melden Sie sich in der Qualys-Konsole an.
Gehen Sie zu Hilfe > Info.
Scrollen Sie nach unten, um diese Informationen unter „Security Operations Center (SOC)“ zu sehen.
Kopieren Sie die Qualys API-URL.

Cloud Functions-Funktion konfigurieren

Rufen Sie in der Google Cloud -Console Cloud Functions auf.
Klicken Sie auf Funktion erstellen.

Funktion konfigurieren:

Name: Geben Sie einen Namen für die Funktion ein, z. B. fetch-qualys-cm-alerts.
Region: Wählen Sie eine Region in der Nähe Ihres Buckets aus.
Laufzeit: Python 3.10 (oder Ihre bevorzugte Laufzeit).
Trigger: Wählen Sie bei Bedarf einen HTTP-Trigger oder Cloud Pub/Sub für die geplante Ausführung aus.
Authentifizierung: mit Authentifizierung sichern.
Code mit einem Inline-Editor schreiben:

```python
from google.cloud import storage
import requests
import base64
import json

# Google Cloud Storage Configuration
BUCKET_NAME = "<bucket-name>"
FILE_NAME = "qualys_cm_alerts.json"

# Qualys API Credentials
QUALYS_USERNAME = "<qualys-username>"
QUALYS_PASSWORD = "<qualys-password>"
QUALYS_BASE_URL = "https://<qualys_base_url>"

def fetch_cm_alerts():
    """Fetch alerts from Qualys Continuous Monitoring."""
    auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/xml"
    }
    payload = """
    <ServiceRequest>
        <filters>
            <Criteria field="alert.date" operator="GREATER">2024-01-01</Criteria>
        </filters>
    </ServiceRequest>
    """
    response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/cm/alert", headers=headers, data=payload)
    response.raise_for_status()
    return response.json()

def upload_to_gcs(data):
    """Upload data to Google Cloud Storage."""
    client = storage.Client()
    bucket = client.get_bucket(BUCKET_NAME)
    blob = bucket.blob(FILE_NAME)
    blob.upload_from_string(json.dumps(data, indent=2), content_type="application/json")

def main(request):
    """Cloud Function entry point."""
    try:
        alerts = fetch_cm_alerts()
        upload_to_gcs(alerts)
        return "Qualys CM alerts uploaded to Cloud Storage successfully!"
    except Exception as e:
        return f"An error occurred: {e}", 500
```

Klicken Sie nach Abschluss der Konfiguration auf Bereitstellen.

Cloud Scheduler konfigurieren

Rufen Sie in der Google Cloud Console Cloud Scheduler auf.
Klicken Sie auf Job erstellen.
Job konfigurieren:
- Name: Geben Sie einen Namen für den Job ein, z. B. trigger-fetch-qualys-cm-alerts.
- Häufigkeit: Verwenden Sie die cron-Syntax, um den Zeitplan anzugeben (z. B. 0 * * * * für die Ausführung stündlich).
- Zeitzone: Legen Sie Ihre bevorzugte Zeitzone fest.
- Triggertyp: Wählen Sie HTTP aus.
- Trigger-URL: Geben Sie die URL der Cloud Functions-Funktion ein. Sie finden sie nach der Bereitstellung in den Funktionsdetails.
- Methode: Wählen Sie POST aus.
Hinweis :Wenn die Authentifizierung für die Funktion aktiviert ist, wählen Sie Dienstkonto aus und prüfen Sie, ob das Konto die Rolle Cloud Functions-Aufrufer hat.
Erstellen Sie den Job.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Qualys Continuous Monitoring Logs (Qualys-Protokolle für kontinuierliche Überwachung).
Wählen Sie Google Cloud Storage als Quelltyp aus.
Wählen Sie Qualys Continuous Monitoring als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URI: Der Quell-URI des Google Cloud Storage-Buckets.
- URI is a (URI ist ein): Wählen Sie Single file (Einzelne Datei) aus.
- Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.
Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

Storage-Bucket-URI: Der Quell-URI des Google Cloud Storage-Buckets.
URI is a (URI ist ein): Wählen Sie Single file (Einzelne Datei) aus.
Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

Erweiterte Optionen

Feedname:Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp:Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace:Der mit dem Feed verknüpfte Namespace.
Aufnahmelabels:Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Alert.alertInfo.appVersion	metadata.product_version	Direkt aus `Alert.alertInfo.appVersion` zugeordnet
Alert.alertInfo.operatingSystem	principal.platform_version	Direkt aus `Alert.alertInfo.operatingSystem` zugeordnet
Alert.alertInfo.port	additional.fields.value.string_value	Direkt aus `Alert.alertInfo.port` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „Alert port“ (Benachrichtigungsport) hinzugefügt
Alert.alertInfo.protocol	network.ip_protocol	Direkt aus `Alert.alertInfo.protocol` zugeordnet
Alert.alertInfo.sslIssuer	network.tls.client.certificate.issuer	Direkt aus `Alert.alertInfo.sslIssuer` zugeordnet
Alert.alertInfo.sslName	additional.fields.value.string_value	Direkt aus `Alert.alertInfo.sslName` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „SSL Name“ hinzugefügt
Alert.alertInfo.sslOrg	additional.fields.value.string_value	Direkt aus `Alert.alertInfo.sslOrg` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „SSL Org“ hinzugefügt
Alert.alertInfo.ticketId	additional.fields.value.string_value	Direkt aus `Alert.alertInfo.ticketId` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „Ticket-ID“ hinzugefügt
Alert.alertInfo.vpeConfidence	additional.fields.value.string_value	Direkt aus `Alert.alertInfo.vpeConfidence` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „VPE Confidence“ hinzugefügt
Alert.alertInfo.vpeStatus	additional.fields.value.string_value	Direkt aus `Alert.alertInfo.vpeStatus` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „VPE Confidence“ hinzugefügt
Alert.eventType	additional.fields.value.string_value	Direkt aus `Alert.eventType` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „Event Type“ (Ereignistyp) hinzugefügt
Alert.hostname	principal.hostname	Direkt aus `Alert.hostname` zugeordnet
Alert.id	security_result.threat_id	Direkt aus `Alert.id` zugeordnet
Alert.ipAddress	principal.ip	Direkt aus `Alert.ipAddress` zugeordnet
Alert.profile.id	additional.fields.value.string_value	Direkt aus `Alert.profile.id` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „Profile Id“ hinzugefügt
Alert.profile.title	additional.fields.value.string_value	Direkt aus `Alert.profile.title` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „Profiltitel“ hinzugefügt
Alert.qid	vulnerability.name	Zugeordnet als „QID: “ aus `Alert.qid`
Alert.source	additional.fields.value.string_value	Direkt aus `Alert.source` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „Alert Source“ (Benachrichtigungsquelle) hinzugefügt
Alert.triggerUuid	metadata.product_log_id	Direkt aus `Alert.triggerUuid` zugeordnet
Alert.vulnCategory	additional.fields.value.string_value	Direkt aus `Alert.vulnCategory` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „Vulnerability Category“ (Sicherheitslücke) hinzugefügt
Alert.vulnSeverity	vulnerability.severity	Zuordnung basierend auf dem Wert von `Alert.vulnSeverity`: 1–3: NIEDRIG, 4–6: MITTEL, 7–8: HOCH
Alert.vulnTitle	vulnerability.description	Direkt aus `Alert.vulnTitle` zugeordnet
Alert.vulnType	additional.fields.value.string_value	Direkt aus `Alert.vulnType` zugeordnet und als Schlüssel/Wert-Paar in `additional.fields` mit dem Schlüssel „Vulnerability Type“ (Schwachstellentyp) hinzugefügt
Host	principal.ip	Aus der Logzeile „Host: “ geparst
	edr.client.ip_addresses	Vom `principal.ip`-Gerät kopiert
	edr.client.hostname	Vom `principal.hostname`-Gerät kopiert
	edr.raw_event_name	Auf „STATUS_UPDATE“ festgelegt, wenn `Alert.ipAddress`, `Alert.hostname` oder `src_ip` vorhanden sind. Andernfalls auf „GENERIC_EVENT“ festgelegt.
	metadata.event_timestamp	Aus den Feldern `Alert.eventDate` oder `timestamp` extrahiert. `Alert.eventDate` hat Vorrang, falls vorhanden. Andernfalls wird `timestamp` verwendet. Der Zeitstempel wird in UTC konvertiert.
	metadata.event_type	Gleiche Logik wie `edr.raw_event_name`
	metadata.log_type	Auf „QUALYS_CONTINUOUS_MONITORING“ festlegen
	metadata.product_name	Auf „QUALYS_CONTINUOUS_MONITORING“ festlegen
	metadata.vendor_name	Auf „QUALYS_CONTINUOUS_MONITORING“ festlegen
	network.application_protocol	Aus der Logzeile /user HTTP geparst
	network.http.method	Aus der Logzeile /user HTTP geparst
timestamp	event.timestamp	Aus den Feldern `Alert.eventDate` oder `timestamp` extrahiert. `Alert.eventDate` hat Vorrang, falls vorhanden. Andernfalls wird `timestamp` verwendet. Der Zeitstempel wird in UTC konvertiert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten