Recopila registros de análisis de Qualys

Compatible con:

Este analizador extrae campos de los registros JSON de análisis de Qualys, normaliza las marcas de tiempo y los asigna al UDM. Controla varios tipos de eventos de Qualys, incluidos los eventos genéricos y los inicios de sesión de usuarios, y completa los campos del UDM con información y metadatos de seguridad pertinentes.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Es la instancia de Google Security Operations.
  • Acceso con privilegios a la consola de Qualys VMDR

Opcional: Crea un usuario de API dedicado en Qualys

  1. Accede a la consola de Qualys.
  2. Ve a Usuarios.
  3. Haz clic en Nuevo > Usuario.
  4. Ingresa la información general requerida para el usuario.
  5. Selecciona la pestaña Rol del usuario.
  6. Asegúrate de que el rol tenga seleccionada la casilla de verificación API Access.
  7. Haz clic en Guardar.

Identifica la URL específica de la API de Qualys

Opción 1

Identifica tus URLs como se menciona en la identificación de la plataforma.

Opción 2

  1. Accede a la consola de Qualys.
  2. Ve a Ayuda > Acerca de.
  3. Desplázate para ver esta información en Centro de operaciones de seguridad (SOC).
  4. Copia la URL de la API de Qualys.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de análisis de Qualys.
  5. Selecciona API de terceros como el Tipo de origen.
  6. Selecciona Qualys Scan como el tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:
    • Nombre de usuario: Ingresa el nombre de usuario del usuario dedicado.
    • Secreto: Ingresa la contraseña del usuario dedicado.
    • Ruta de acceso completa de la API: Proporciona la URL del servidor de la API de Qualys sin formato (por ejemplo, qualysapi.qg2.apps.qualys.eu).
    • Tipo de API: Selecciona el tipo de análisis que deseas transferir.
  9. Haz clic en Siguiente.
  10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Nombre de usuario: Ingresa el nombre de usuario del usuario dedicado.
  • Secreto: Ingresa la contraseña del usuario dedicado.
  • Ruta de acceso completa de la API: Proporciona la URL del servidor de la API de Qualys sin formato (por ejemplo, qualysapi.qg2.apps.qualys.eu).
  • Tipo de API: Selecciona el tipo de análisis que deseas transferir.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
Category security_result.category_details Se asigna directamente desde el campo Category.
ID metadata.product_log_id Se asigna directamente desde el campo ID. Se convirtió en una cadena.
LaunchDatetime metadata.event_timestamp Se usa como marca de tiempo del evento si no están presentes ScanInput.ScanDatetime y UpdateDate. Se analiza en el formato "ISO8601".
Ref additional.fields[1].key
additional.fields[1].value.string_value		 Se asigna a additional.fields con la clave "ScanReference" si ScanReference no está presente.
ScanDetails.Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Se asigna a security_result.detection_fields con la clave "ScanDetails Status".
ScanInput.Network.ID additional.fields[0].key
additional.fields[0].value.string_value		 Se asigna a additional.fields con la clave "ID de red de ScanInput".
ScanInput.Network.Name additional.fields[1].key
additional.fields[1].value.string_value		 Se asignó a additional.fields con la clave "ScanInput Network Name".
ScanInput.OptionProfile.ID additional.fields[2].key
additional.fields[2].value.string_value		 Se asigna a additional.fields con la clave "ID de perfil de opción de ScanInput".
ScanInput.OptionProfile.Name additional.fields[3].key
additional.fields[3].value.string_value		 Se asignó a additional.fields con la clave "ScanInput Option Profile Name".
ScanInput.ScanDatetime metadata.event_timestamp Se usa como marca de tiempo del evento si está presente. Se analiza en el formato "ISO8601".
ScanInput.Title metadata.description Se asigna directamente desde el campo ScanInput.Title.
ScanInput.Username principal.user.userid Se asigna directamente desde el campo ScanInput.Username.
ScanReference additional.fields[4].key
additional.fields[4].value.string_value		 Se asignó a additional.fields con la clave "ScanReference".
Statement metadata.description Se asigna directamente desde el campo Statement si no están presentes ScanInput.Title y Title.
Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Se asignó a security_result.detection_fields con la clave "Status".
SubCategory security_result.description Se asigna directamente desde el campo SubCategory.
Technologies[].ID security_result.detection_fields[0].value Se asigna directamente desde el campo Technologies[].ID. Se convirtió en una cadena. Es parte de un objeto security_result repetido.
Technologies[].Name security_result.detection_fields[1].value Se asigna directamente desde el campo Technologies[].Name. Es parte de un objeto security_result repetido.
Technologies[].Rationale security_result.detection_fields[2].value Se asigna directamente desde el campo Technologies[].Rationale. Es parte de un objeto security_result repetido.
Title metadata.description Se asigna directamente desde el campo Title si no están presentes ScanInput.Title y Statement.
Type additional.fields[2].key
additional.fields[2].value.string_value		 Se asignó a additional.fields con la clave "Type".
UpdateDate metadata.event_timestamp Se usa como marca de tiempo del evento si no está presente ScanInput.ScanDatetime. Se analiza en el formato "ISO8601".
Userlogin target.user.userid Se asigna directamente desde el campo Userlogin. Se establece en "AUTHTYPE_UNSPECIFIED" si Userlogin está presente. Se establece en "GENERIC_EVENT". Se cambió a "USER_LOGIN" si Userlogin está presente. Se cambió a "USER_UNCATEGORIZED" si metadata_event_type es "GENERIC_EVENT" y ScanInput.Username está presente. Se establece en "QUALYS_SCAN". Se establece en "QUALYS_SCAN". Se establece en "ID" para cada tecnología. Es parte de un objeto security_result repetido. Se establece en "Nombre" para cada tecnología. Es parte de un objeto security_result repetido. Se establece en "Explicación" para cada tecnología. Es parte de un objeto security_result repetido.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.