Diese Seite wurde von der Cloud Translation API übersetzt.

Qualys-Scan-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert Felder aus Qualys Scan-JSON-Logs, normalisiert Zeitstempel und ordnet sie dem UDM zu. Er verarbeitet verschiedene Qualys-Ereignistypen, darunter generische Ereignisse und Nutzeranmeldungen, und füllt UDM-Felder mit relevanten Sicherheitsinformationen und ‑metadaten.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google Security Operations-Instanz.
Privilegierter Zugriff auf die Qualys VMDR-Konsole.

Optional: Einen dedizierten API-Nutzer in Qualys erstellen

Melden Sie sich in der Qualys-Konsole an.
Gehen Sie zu Nutzer.
Klicken Sie auf Neu > Nutzer.
Geben Sie die erforderlichen Allgemeinen Informationen für den Nutzer ein.
Klicken Sie auf den Tab Nutzerrolle.
Das Kästchen API-Zugriff muss angeklickt sein.
Klicken Sie auf Speichern.

Spezifische Qualys API-URL ermitteln

Option 1

Geben Sie Ihre URLs wie unter Plattformerfassung beschrieben an.

Option 2

Melden Sie sich in der Qualys-Konsole an.
Gehen Sie zu Hilfe > Info.
Scrollen Sie nach unten, um diese Informationen unter „Security Operations Center (SOC)“ zu sehen.
Kopieren Sie die Qualys API-URL.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Qualys Scan Logs (Qualys-Scanprotokolle).
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie Qualys Scan als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Nutzername: Geben Sie den Nutzernamen für den dedizierten Nutzer ein.
- Secret: Geben Sie das Passwort für den dedizierten Nutzer ein.
- Vollständiger API-Pfad: Geben Sie die einfache Qualys API-Server-URL an (z. B. qualysapi.qg2.apps.qualys.eu).
- API-Typ: Wählen Sie den Scan-Typ aus, den Sie aufnehmen möchten.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

Nutzername: Geben Sie den Nutzernamen für den dedizierten Nutzer ein.
Secret: Geben Sie das Passwort für den dedizierten Nutzer ein.
Vollständiger API-Pfad: Geben Sie die einfache Qualys API-Server-URL an (z. B. qualysapi.qg2.apps.qualys.eu).
API-Typ: Wählen Sie den Scan-Typ aus, den Sie aufnehmen möchten.

Erweiterte Optionen

Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Category`	`security_result.category_details`	Direkt aus dem Feld `Category` zugeordnet.
`ID`	`metadata.product_log_id`	Direkt aus dem Feld `ID` zugeordnet. In String umgewandelt.
`LaunchDatetime`	`metadata.event_timestamp`	Wird als Ereigniszeitstempel verwendet, wenn `ScanInput.ScanDatetime` und `UpdateDate` nicht vorhanden sind. Wird im Format „ISO8601“ geparst.
`Ref`	`additional.fields[1].key` `additional.fields[1].value.string_value`	Wird `additional.fields` mit dem Schlüssel „ScanReference“ zugeordnet, wenn `ScanReference` nicht vorhanden ist.
`ScanDetails.Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	Zugeordnet zu `security_result.detection_fields` mit dem Schlüssel „ScanDetails Status“.
`ScanInput.Network.ID`	`additional.fields[0].key` `additional.fields[0].value.string_value`	Zugeordnet zu `additional.fields` mit dem Schlüssel „ScanInput Network ID“.
`ScanInput.Network.Name`	`additional.fields[1].key` `additional.fields[1].value.string_value`	Zugeordnet zu `additional.fields` mit dem Schlüssel „ScanInput Network Name“.
`ScanInput.OptionProfile.ID`	`additional.fields[2].key` `additional.fields[2].value.string_value`	Wird `additional.fields` mit dem Schlüssel „ScanInput Option Profile ID“ zugeordnet.
`ScanInput.OptionProfile.Name`	`additional.fields[3].key` `additional.fields[3].value.string_value`	Zugeordnet zu `additional.fields` mit dem Schlüssel „ScanInput Option Profile Name“ (Name des Profils für die Scan-Eingabeoption).
`ScanInput.ScanDatetime`	`metadata.event_timestamp`	Wird als Ereigniszeitstempel verwendet, sofern vorhanden. Wird im Format „ISO8601“ geparst.
`ScanInput.Title`	`metadata.description`	Direkt aus dem Feld `ScanInput.Title` zugeordnet.
`ScanInput.Username`	`principal.user.userid`	Direkt aus dem Feld `ScanInput.Username` zugeordnet.
`ScanReference`	`additional.fields[4].key` `additional.fields[4].value.string_value`	Zugeordnet zu `additional.fields` mit dem Schlüssel „ScanReference“.
`Statement`	`metadata.description`	Wird direkt aus dem Feld `Statement` zugeordnet, wenn `ScanInput.Title` und `Title` nicht vorhanden sind.
`Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	Dem Schlüssel „Status“ zugeordnet.`security_result.detection_fields`
`SubCategory`	`security_result.description`	Direkt aus dem Feld `SubCategory` zugeordnet.
`Technologies[].ID`	`security_result.detection_fields[0].value`	Direkt aus dem Feld `Technologies[].ID` zugeordnet. In String umgewandelt. Teil eines wiederholten `security_result`-Objekts.
`Technologies[].Name`	`security_result.detection_fields[1].value`	Direkt aus dem Feld `Technologies[].Name` zugeordnet. Teil eines wiederholten `security_result`-Objekts.
`Technologies[].Rationale`	`security_result.detection_fields[2].value`	Direkt aus dem Feld `Technologies[].Rationale` zugeordnet. Teil eines wiederholten `security_result`-Objekts.
`Title`	`metadata.description`	Wird direkt aus dem Feld `Title` zugeordnet, wenn `ScanInput.Title` und `Statement` nicht vorhanden sind.
`Type`	`additional.fields[2].key` `additional.fields[2].value.string_value`	`additional.fields` mit dem Schlüssel „Type“ zugeordnet.
`UpdateDate`	`metadata.event_timestamp`	Wird als Ereigniszeitstempel verwendet, wenn `ScanInput.ScanDatetime` nicht vorhanden ist. Wird im Format „ISO8601“ geparst.
`Userlogin`	`target.user.userid`	Direkt aus dem Feld `Userlogin` zugeordnet. Wird auf „AUTHTYPE_UNSPECIFIED“ gesetzt, wenn `Userlogin` vorhanden ist. Legen Sie diesen Wert auf „GENERIC_EVENT“ fest. Wird in „USER_LOGIN“ geändert, wenn `Userlogin` vorhanden ist. In „USER_UNCATEGORIZED“ geändert, wenn `metadata_event_type` „GENERIC_EVENT“ ist und `ScanInput.Username` vorhanden ist. Legen Sie diesen Wert auf „QUALYS_SCAN“ fest. Legen Sie diesen Wert auf „QUALYS_SCAN“ fest. Legen Sie für jede Technologie „ID“ fest. Teil eines wiederholten `security_result`-Objekts. Legen Sie für jede Technologie „Name“ fest. Teil eines wiederholten `security_result`-Objekts. Legen Sie für jede Technologie „Begründung“ fest. Teil eines wiederholten `security_result`-Objekts.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten