このページは Cloud Translation API によって翻訳されました。

Qualys スキャンログを収集する

以下でサポートされています。

Google SecOps SIEM

このパーサーは、Qualys Scan JSON ログからフィールドを抽出し、タイムスタンプを正規化して UDM にマッピングします。一般的なイベントやユーザーログインなど、さまざまな Qualys イベントタイプを処理し、関連するセキュリティ情報とメタデータで UDM フィールドを入力します。

始める前に

次の前提条件を満たしていることを確認します。

Google Security Operations インスタンス。
Qualys VMDR コンソールへの特権アクセス。

省略可: Qualys で専用の API ユーザーを作成する

Qualys コンソールにログインします。
[ユーザー] にアクセスします。
[New] > [User] をクリックします。
ユーザーに必要な [General Information] を入力します。
[User Role] タブを選択します。
ロールの [API Access] チェックボックスがオンになっていることを確認します。
[Save] をクリックします。

特定の Qualys API URL を識別する

オプション 1

プラットフォームの特定の記事に記載されている方法で URL を特定します。

オプション 2

Qualys コンソールにログインします。
[Help] > [About] に移動します。
スクロールして、[Security Operations Center (SOC)] でこの情報を確認します。
Qualys API URL をコピーします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Qualys Scan Logs）。
[ソースタイプ] として [サードパーティ API] を選択します。
ログタイプとして [Qualys Scan] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ユーザー名: 専用ユーザーのユーザー名を入力します。
- シークレット: 専用ユーザーのパスワードを入力します。
- API のフルパス: プレーンな Qualys API サーバー URL（qualysapi.qg2.apps.qualys.eu など）を指定します。
- API タイプ: 取り込むスキャンタイプを選択します。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

ユーザー名: 専用ユーザーのユーザー名を入力します。
シークレット: 専用ユーザーのパスワードを入力します。
API のフルパス: プレーンな Qualys API サーバー URL（qualysapi.qg2.apps.qualys.eu など）を指定します。
API タイプ: 取り込むスキャンタイプを選択します。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`Category`	`security_result.category_details`	`Category` フィールドから直接マッピングされます。
`ID`	`metadata.product_log_id`	`ID` フィールドから直接マッピングされます。文字列に変換されます。
`LaunchDatetime`	`metadata.event_timestamp`	`ScanInput.ScanDatetime` と `UpdateDate` が存在しない場合、イベントタイムスタンプとして使用されます。「ISO8601」形式で解析されます。
`Ref`	`additional.fields[1].key` `additional.fields[1].value.string_value`	`ScanReference` が存在しない場合、キー「ScanReference」を持つ `additional.fields` にマッピングされます。
`ScanDetails.Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	キー「ScanDetails Status」を持つ `security_result.detection_fields` にマッピングされます。
`ScanInput.Network.ID`	`additional.fields[0].key` `additional.fields[0].value.string_value`	キー「ScanInput Network ID」を持つ `additional.fields` にマッピングされます。
`ScanInput.Network.Name`	`additional.fields[1].key` `additional.fields[1].value.string_value`	キー「ScanInput Network Name」を持つ `additional.fields` にマッピングされます。
`ScanInput.OptionProfile.ID`	`additional.fields[2].key` `additional.fields[2].value.string_value`	キー「ScanInput Option Profile ID」を持つ `additional.fields` にマッピングされます。
`ScanInput.OptionProfile.Name`	`additional.fields[3].key` `additional.fields[3].value.string_value`	`additional.fields` のキー「ScanInput Option Profile Name」にマッピングされます。
`ScanInput.ScanDatetime`	`metadata.event_timestamp`	イベントタイムスタンプとして使用されます（存在する場合）。「ISO8601」形式で解析されます。
`ScanInput.Title`	`metadata.description`	`ScanInput.Title` フィールドから直接マッピングされます。
`ScanInput.Username`	`principal.user.userid`	`ScanInput.Username` フィールドから直接マッピングされます。
`ScanReference`	`additional.fields[4].key` `additional.fields[4].value.string_value`	キー「ScanReference」を持つ `additional.fields` にマッピングされます。
`Statement`	`metadata.description`	`ScanInput.Title` と `Title` が存在しない場合、`Statement` フィールドから直接マッピングされます。
`Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	キー「Status」で `security_result.detection_fields` にマッピングされます。
`SubCategory`	`security_result.description`	`SubCategory` フィールドから直接マッピングされます。
`Technologies[].ID`	`security_result.detection_fields[0].value`	`Technologies[].ID` フィールドから直接マッピングされます。文字列に変換されます。繰り返される `security_result` オブジェクトの一部。
`Technologies[].Name`	`security_result.detection_fields[1].value`	`Technologies[].Name` フィールドから直接マッピングされます。繰り返される `security_result` オブジェクトの一部。
`Technologies[].Rationale`	`security_result.detection_fields[2].value`	`Technologies[].Rationale` フィールドから直接マッピングされます。繰り返される `security_result` オブジェクトの一部。
`Title`	`metadata.description`	`ScanInput.Title` と `Statement` が存在しない場合、`Title` フィールドから直接マッピングされます。
`Type`	`additional.fields[2].key` `additional.fields[2].value.string_value`	キー「Type」を持つ `additional.fields` にマッピングされます。
`UpdateDate`	`metadata.event_timestamp`	`ScanInput.ScanDatetime` が存在しない場合、イベントタイムスタンプとして使用されます。「ISO8601」形式で解析されます。
`Userlogin`	`target.user.userid`	`Userlogin` フィールドから直接マッピングされます。`Userlogin` が存在する場合は、「AUTHTYPE_UNSPECIFIED」に設定されます。「GENERIC_EVENT」に設定します。`Userlogin` が存在する場合は、「USER_LOGIN」に変更されます。`metadata_event_type` が「GENERIC_EVENT」で `ScanInput.Username` が存在する場合は、「USER_UNCATEGORIZED」に変更されました。「QUALYS_SCAN」に設定されます。「QUALYS_SCAN」に設定されます。各テクノロジーの「ID」に設定します。繰り返し `security_result` オブジェクトの一部。各テクノロジーの [名前] に設定します。繰り返し `security_result` オブジェクトの一部。各テクノロジーの「Rationale」に設定します。繰り返される `security_result` オブジェクトの一部。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。