Esta página se ha traducido con Cloud Translation API.

Recopilar registros de análisis de Qualys

Disponible en:

SecOps de Google SIEM

Este analizador extrae campos de los registros JSON de análisis de Qualys, normaliza las marcas de tiempo y los asigna a UDM. Gestiona varios tipos de eventos de Qualys, incluidos eventos genéricos e inicios de sesión de usuarios, y rellena los campos de UDM con información y metadatos de seguridad relevantes.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google Security Operations.
Acceso privilegiado a la consola de Qualys VMDR.

Opcional: Crea un usuario de API específico en Qualys

Inicia sesión en la consola de Qualys.
Ve a Usuarios.
Haz clic en Nuevo > Usuario.
Introduce la información general necesaria del usuario.
Selecciona la pestaña Rol de usuario.
Asegúrate de que el rol tenga marcada la casilla Acceso a la API.
Haz clic en Guardar.

Identificar tu URL de API de Qualys específica

Opción 1

Identifique sus URLs tal como se indica en la sección Identificación de la plataforma.

Opción 2

Inicia sesión en la consola de Qualys.
Ve a Ayuda > Información.
Desplázate para ver esta información en Centro de operaciones de seguridad (SOC).
Copia la URL de la API de Qualys.

Configurar feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de análisis de Qualys).
Seleccione API de terceros como Tipo de fuente.
Seleccione Qualys Scan como tipo de registro.
Haz clic en Siguiente.
Especifique valores para los siguientes parámetros de entrada:
- Nombre de usuario: introduce el nombre de usuario del usuario específico.
- Secreto: introduce la contraseña del usuario específico.
- Ruta completa de la API: proporciona la URL del servidor de la API de Qualys sin formato (por ejemplo, qualysapi.qg2.apps.qualys.eu).
- Tipo de API: selecciona el tipo de análisis que quieras ingerir.
Haz clic en Siguiente.
Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Category`	`security_result.category_details`	Se asigna directamente desde el campo `Category`.
`ID`	`metadata.product_log_id`	Se asigna directamente desde el campo `ID`. Se ha convertido en una cadena.
`LaunchDatetime`	`metadata.event_timestamp`	Se usa como marca de tiempo del evento si no están presentes `ScanInput.ScanDatetime` y `UpdateDate`. Se analiza en formato "ISO8601".
`Ref`	`additional.fields[1].key` `additional.fields[1].value.string_value`	Se asigna a `additional.fields` con la clave "ScanReference" si no se incluye `ScanReference`.
`ScanDetails.Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	Asignado a `security_result.detection_fields` con la clave "ScanDetails Status".
`ScanInput.Network.ID`	`additional.fields[0].key` `additional.fields[0].value.string_value`	Asignado a `additional.fields` con la clave "ScanInput Network ID".
`ScanInput.Network.Name`	`additional.fields[1].key` `additional.fields[1].value.string_value`	Asignado a `additional.fields` con la clave "ScanInput Network Name".
`ScanInput.OptionProfile.ID`	`additional.fields[2].key` `additional.fields[2].value.string_value`	Asignado a `additional.fields` con la clave "ScanInput Option Profile ID".
`ScanInput.OptionProfile.Name`	`additional.fields[3].key` `additional.fields[3].value.string_value`	Asignado a `additional.fields` con la clave "ScanInput Option Profile Name".
`ScanInput.ScanDatetime`	`metadata.event_timestamp`	Se usa como marca de tiempo del evento si está presente. Se analiza en formato "ISO8601".
`ScanInput.Title`	`metadata.description`	Se asigna directamente desde el campo `ScanInput.Title`.
`ScanInput.Username`	`principal.user.userid`	Se asigna directamente desde el campo `ScanInput.Username`.
`ScanReference`	`additional.fields[4].key` `additional.fields[4].value.string_value`	Asignado a `additional.fields` con la clave "ScanReference".
`Statement`	`metadata.description`	Se asigna directamente desde el campo `Statement` si no están presentes `ScanInput.Title` y `Title`.
`Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	Asignado a `security_result.detection_fields` con la clave "Status".
`SubCategory`	`security_result.description`	Se asigna directamente desde el campo `SubCategory`.
`Technologies[].ID`	`security_result.detection_fields[0].value`	Se asigna directamente desde el campo `Technologies[].ID`. Se ha convertido en una cadena. Parte de un objeto `security_result` repetido.
`Technologies[].Name`	`security_result.detection_fields[1].value`	Se asigna directamente desde el campo `Technologies[].Name`. Parte de un objeto `security_result` repetido.
`Technologies[].Rationale`	`security_result.detection_fields[2].value`	Se asigna directamente desde el campo `Technologies[].Rationale`. Parte de un objeto `security_result` repetido.
`Title`	`metadata.description`	Se asigna directamente desde el campo `Title` si no están presentes `ScanInput.Title` y `Statement`.
`Type`	`additional.fields[2].key` `additional.fields[2].value.string_value`	Asignado a `additional.fields` con la clave "Type".
`UpdateDate`	`metadata.event_timestamp`	Se usa como marca de tiempo del evento si no se incluye `ScanInput.ScanDatetime`. Se analiza en formato "ISO8601".
`Userlogin`	`target.user.userid`	Se asigna directamente desde el campo `Userlogin`. Se asigna el valor "AUTHTYPE_UNSPECIFIED" si `Userlogin` está presente. Se asigna el valor "GENERIC_EVENT". Cambia a "USER_LOGIN" si `Userlogin` está presente. Cambia a "USER_UNCATEGORIZED" si `metadata_event_type` es "GENERIC_EVENT" y `ScanInput.Username` está presente. Se ha definido como "QUALYS_SCAN". Se ha definido como "QUALYS_SCAN". Asigna el valor "ID" a cada tecnología. Parte de un objeto `security_result` repetido. Selecciona "Nombre" en cada tecnología. Parte de un objeto `security_result` repetido. Asigna el valor "Motivo" a cada tecnología. Parte de un objeto `security_result` repetido.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.