Qualys Continuous Monitoring 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 Logstash 파서 코드는 먼저 grok 패턴을 사용하여 원시 로그 메시지에서 소스 IP, 사용자, 메서드, 애플리케이션 프로토콜과 같은 필드를 추출합니다. 그런 다음 원시 로그 데이터의 특정 필드를 통합 데이터 모델 (UDM)의 해당 필드에 매핑하고, 데이터 유형 변환을 실행하고, 추가 라벨과 메타데이터로 데이터를 보강한 후 원하는 UDM 형식으로 출력을 구조화합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google Security Operations 인스턴스입니다.
- Google Cloud에 대한 액세스 권한 관리
- Qualys에 대한 액세스 권한
필수 API를 사용 설정합니다.
- Google Cloud 콘솔에 로그인합니다.
- API 및 서비스 > 라이브러리로 이동합니다.
- 다음 API를 검색하여 사용 설정합니다.
- Cloud Functions API
- Cloud Scheduler API
- Cloud Pub/Sub (Cloud 스케줄러가 함수를 호출하는 데 필요)
스토리지 버킷 만들기 Google Cloud
- Google Cloud 콘솔에 로그인합니다.
Cloud Storage 버킷 페이지로 이동합니다.
만들기를 클릭합니다.
버킷을 구성합니다.
- 이름: 버킷 이름 요구사항을 충족하는 고유한 이름을 입력합니다 (예: qualys-asset-bucket).
- 데이터 저장 위치 선택: 위치를 선택합니다.
- 데이터의 스토리지 클래스 선택: 버킷에 기본 스토리지 클래스를 선택하거나, 자동 스토리지 클래스 관리에 자동 클래스를 선택합니다.
- 객체 액세스를 제어하는 방식 선택: 공개 액세스 방지를 적용하지 않으려면 아니요를 선택하고 버킷의 객체에 대한 액세스 제어 모델을 선택합니다.
- 스토리지 클래스: 필요에 따라 선택합니다 (예: 표준).
만들기를 클릭합니다.
Google Cloud 서비스 계정 만들기
- Google Cloud 콘솔에 로그인합니다.
- IAM 및 관리자 > 서비스 계정으로 이동합니다.
- 새 서비스 계정 만들기
- 설명이 포함된 이름을 지정합니다 (예: qualys-user).
- 이전 단계에서 만든 GCS 버킷에 스토리지 객체 관리자 역할이 있는 서비스 계정을 부여합니다.
- Cloud Functions 호출자 역할이 있는 서비스 계정에 권한을 부여합니다.
- 서비스 계정의 SSH 키를 만듭니다.
- 서비스 계정의 JSON 키 파일을 다운로드합니다. 이 파일을 안전하게 보관하세요.
선택사항: Qualys에서 전용 API 사용자 만들기
- Qualys 콘솔에 로그인합니다.
- 사용자로 이동합니다.
- 새로 만들기 > 사용자를 클릭합니다.
- 사용자에게 필요한 일반 정보를 입력합니다.
- 사용자 역할 탭을 선택합니다.
- 역할에 API 액세스 체크박스가 선택되어 있는지 확인합니다.
- 저장을 클릭합니다.
특정 Qualys API URL 식별
옵션 1
플랫폼 식별에 설명된 대로 URL을 식별합니다.
옵션 2
- Qualys 콘솔에 로그인합니다.
- 도움말 > 정보로 이동합니다.
- 보안 운영 센터 (SOC)에서 이 정보를 확인하려면 스크롤하세요.
- Qualys API URL을 복사합니다.
Cloud 함수 구성
- Google Cloud 콘솔에서 Cloud Functions로 이동합니다.
- 함수 만들기를 클릭합니다.
함수를 구성합니다.
- 이름: 함수 이름을 입력합니다 (예: fetch-qualys-cm-alerts).
- 리전: 버킷과 가까운 리전을 선택합니다.
- 런타임: Python 3.10 (또는 원하는 런타임)
- 트리거: 필요한 경우 HTTP 트리거를 선택하고 예약된 실행의 경우 Cloud Pub/Sub를 선택합니다.
- 인증: 인증으로 보안을 유지합니다.
- 인라인 편집기로 코드를 작성합니다.
```python from google.cloud import storage import requests import base64 import json # Google Cloud Storage Configuration BUCKET_NAME = "<bucket-name>" FILE_NAME = "qualys_cm_alerts.json" # Qualys API Credentials QUALYS_USERNAME = "<qualys-username>" QUALYS_PASSWORD = "<qualys-password>" QUALYS_BASE_URL = "https://<qualys_base_url>" def fetch_cm_alerts(): """Fetch alerts from Qualys Continuous Monitoring.""" auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode() headers = { "Authorization": f"Basic {auth}", "Content-Type": "application/xml" } payload = """ <ServiceRequest> <filters> <Criteria field="alert.date" operator="GREATER">2024-01-01</Criteria> </filters> </ServiceRequest> """ response = requests.post(f"{QUALYS_BASE_URL}/qps/rest/2.0/search/cm/alert", headers=headers, data=payload) response.raise_for_status() return response.json() def upload_to_gcs(data): """Upload data to Google Cloud Storage.""" client = storage.Client() bucket = client.get_bucket(BUCKET_NAME) blob = bucket.blob(FILE_NAME) blob.upload_from_string(json.dumps(data, indent=2), content_type="application/json") def main(request): """Cloud Function entry point.""" try: alerts = fetch_cm_alerts() upload_to_gcs(alerts) return "Qualys CM alerts uploaded to Cloud Storage successfully!" except Exception as e: return f"An error occurred: {e}", 500 ```구성을 완료한 후 배포를 클릭합니다.
Cloud Scheduler 구성
- Google Cloud 콘솔에서 Cloud Scheduler로 이동합니다.
- 작업 만들기를 클릭합니다.
작업을 구성합니다.
- 이름: 작업 이름을 입력합니다 (예: trigger-fetch-qualys-cm-alerts).
- 빈도: cron 구문을 사용하여 일정을 지정합니다 (예:
0 * * * *는 매시간 실행). - 시간대: 선호하는 시간대를 설정합니다.
- 트리거 유형: HTTP를 선택합니다.
- 트리거 URL: Cloud 함수의 URL을 입력합니다 (배포 후 함수 세부정보에서 확인).
- 메서드: POST를 선택합니다.
작업을 만듭니다.
피드 설정
피드를 구성하려면 다음 단계를 따르세요.
- SIEM 설정 > 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 다음 페이지에서 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예: Qualys 지속적 모니터링 로그).
- 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 Qualys Continuous Monitoring을 선택합니다.
- 다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- 스토리지 버킷 URI: Google Cloud 스토리지 버킷 소스 URI입니다.
- 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| Alert.alertInfo.appVersion | metadata.product_version | Alert.alertInfo.appVersion에서 직접 매핑됨 |
| Alert.alertInfo.operatingSystem | principal.platform_version | Alert.alertInfo.operatingSystem에서 직접 매핑됨 |
| Alert.alertInfo.port | additional.fields.value.string_value | Alert.alertInfo.port에서 직접 매핑되고 키가 'Alert port'인 additional.fields에 키-값 쌍으로 추가됩니다. |
| Alert.alertInfo.protocol | network.ip_protocol | Alert.alertInfo.protocol에서 직접 매핑됨 |
| Alert.alertInfo.sslIssuer | network.tls.client.certificate.issuer | Alert.alertInfo.sslIssuer에서 직접 매핑됨 |
| Alert.alertInfo.sslName | additional.fields.value.string_value | Alert.alertInfo.sslName에서 직접 매핑되고 키가 'SSL 이름'인 additional.fields에 키-값 쌍으로 추가됨 |
| Alert.alertInfo.sslOrg | additional.fields.value.string_value | Alert.alertInfo.sslOrg에서 직접 매핑되고 키가 'SSL Org'인 additional.fields에 키-값 쌍으로 추가됨 |
| Alert.alertInfo.ticketId | additional.fields.value.string_value | Alert.alertInfo.ticketId에서 직접 매핑되고 키가 'Ticket Id'인 additional.fields에 키-값 쌍으로 추가됩니다. |
| Alert.alertInfo.vpeConfidence | additional.fields.value.string_value | Alert.alertInfo.vpeConfidence에서 직접 매핑되고 키가 'VPE Confidence'인 additional.fields에 키-값 쌍으로 추가됨 |
| Alert.alertInfo.vpeStatus | additional.fields.value.string_value | Alert.alertInfo.vpeStatus에서 직접 매핑되고 키가 'VPE Confidence'인 additional.fields에 키-값 쌍으로 추가됨 |
| Alert.eventType | additional.fields.value.string_value | Alert.eventType에서 직접 매핑되고 키가 'Event Type'인 additional.fields에 키-값 쌍으로 추가됩니다. |
| Alert.hostname | principal.hostname | Alert.hostname에서 직접 매핑됨 |
| Alert.id | security_result.threat_id | Alert.id에서 직접 매핑됨 |
| Alert.ipAddress | principal.ip | Alert.ipAddress에서 직접 매핑됨 |
| Alert.profile.id | additional.fields.value.string_value | Alert.profile.id에서 직접 매핑되고 키가 '프로필 ID'인 additional.fields에 키-값 쌍으로 추가됨 |
| Alert.profile.title | additional.fields.value.string_value | Alert.profile.title에서 직접 매핑되고 키가 '프로필 제목'인 additional.fields에 키-값 쌍으로 추가됨 |
| Alert.qid | vulnerability.name | Alert.qid에서 'QID: |
| Alert.source | additional.fields.value.string_value | Alert.source에서 직접 매핑되고 키가 'Alert Source'인 additional.fields에 키-값 쌍으로 추가됨 |
| Alert.triggerUuid | metadata.product_log_id | Alert.triggerUuid에서 직접 매핑됨 |
| Alert.vulnCategory | additional.fields.value.string_value | Alert.vulnCategory에서 직접 매핑되고 키 'Vulnerability Category'와 함께 additional.fields에 키-값 쌍으로 추가됨 |
| Alert.vulnSeverity | vulnerability.severity | Alert.vulnSeverity 값에 따라 매핑됩니다. 1~3: 낮음, 4~6: 중간, 7~8: 높음 |
| Alert.vulnTitle | vulnerability.description | Alert.vulnTitle에서 직접 매핑됨 |
| Alert.vulnType | additional.fields.value.string_value | Alert.vulnType에서 직접 매핑되고 키가 'Vulnerability Type'인 additional.fields에 키-값 쌍으로 추가됨 |
| 호스트 | principal.ip | '호스트: |
| edr.client.ip_addresses | principal.ip에서 복사됨 |
|
| edr.client.hostname | principal.hostname에서 복사됨 |
|
| edr.raw_event_name | Alert.ipAddress, Alert.hostname 또는 src_ip가 있는 경우 'STATUS_UPDATE'로 설정하고, 그렇지 않으면 'GENERIC_EVENT'로 설정합니다. |
|
| metadata.event_timestamp | Alert.eventDate 또는 timestamp 필드에서 추출됩니다. Alert.eventDate이 있는 경우 우선순위가 지정되고, 그렇지 않으면 timestamp이 사용됩니다. 타임스탬프는 UTC로 변환됩니다. |
|
| metadata.event_type | edr.raw_event_name와 동일한 로직 |
|
| metadata.log_type | 'QUALYS_CONTINUOUS_MONITORING'으로 설정 | |
| metadata.product_name | 'QUALYS_CONTINUOUS_MONITORING'으로 설정 | |
| metadata.vendor_name | 'QUALYS_CONTINUOUS_MONITORING'으로 설정 | |
| network.application_protocol | 로그 줄 ' |
|
| network.http.method | ||
| 타임스탬프 | event.timestamp | Alert.eventDate 또는 timestamp 필드에서 추출됩니다. Alert.eventDate이 있는 경우 우선순위가 지정되고, 그렇지 않으면 timestamp이 사용됩니다. 타임스탬프는 UTC로 변환됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.