Recolha registos de análise do Qualys

Compatível com:

Este analisador extrai campos dos registos JSON de análise do Qualys, normaliza as datas/horas e mapeia-os para o UDM. Processa vários tipos de eventos do Qualys, incluindo eventos genéricos e inícios de sessão de utilizadores, preenchendo os campos UDM com informações de segurança e metadados relevantes.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google Security Operations.
  • Acesso privilegiado à consola do Qualys VMDR.

Opcional: crie um utilizador da API dedicado no Qualys

  1. Inicie sessão na consola do Qualys.
  2. Aceda a Utilizadores.
  3. Clique em Novo > Utilizador.
  4. Introduza as informações gerais necessárias para o utilizador.
  5. Selecione o separador Função do utilizador.
  6. Certifique-se de que a caixa de verificação Acesso à API está selecionada para a função.
  7. Clique em Guardar.

Identifique o URL da API Qualys específico

Opção 1

Identifique os seus URLs conforme mencionado na identificação da plataforma.

Opção 2

  1. Inicie sessão na consola do Qualys.
  2. Aceda a Ajuda > Acerca de.
  3. Desloque a página para ver estas informações em Centro de operações de segurança (SOC).
  4. Copie o URL da API Qualys.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos de análise do Qualys.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Qualys Scan como o tipo de registo.
  7. Clicar em Seguinte.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Nome de utilizador: introduza o nome de utilizador do utilizador dedicado.
    • Secreto: introduza a palavra-passe do utilizador dedicado.
    • Caminho completo da API: forneça o URL do servidor da API Qualys simples (por exemplo, qualysapi.qg2.apps.qualys.eu).
    • Tipo de API: selecione o tipo de procura que quer carregar.
  9. Clicar em Seguinte.
  10. Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
Category security_result.category_details Mapeado diretamente a partir do campo Category.
ID metadata.product_log_id Mapeado diretamente a partir do campo ID. Convertido em string.
LaunchDatetime metadata.event_timestamp Usado como data/hora do evento se ScanInput.ScanDatetime e UpdateDate não estiverem presentes. Analisado no formato "ISO8601".
Ref additional.fields[1].key
additional.fields[1].value.string_value		 Mapeado para additional.fields com a chave "ScanReference" se ScanReference não estiver presente.
ScanDetails.Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Mapeado para security_result.detection_fields com a chave "ScanDetails Status".
ScanInput.Network.ID additional.fields[0].key
additional.fields[0].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Network ID".
ScanInput.Network.Name additional.fields[1].key
additional.fields[1].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Network Name".
ScanInput.OptionProfile.ID additional.fields[2].key
additional.fields[2].value.string_value		 Mapeado para additional.fields com a chave "ID do perfil da opção ScanInput".
ScanInput.OptionProfile.Name additional.fields[3].key
additional.fields[3].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Option Profile Name".
ScanInput.ScanDatetime metadata.event_timestamp Usado como data/hora do evento, se estiver presente. Analisado no formato "ISO8601".
ScanInput.Title metadata.description Mapeado diretamente a partir do campo ScanInput.Title.
ScanInput.Username principal.user.userid Mapeado diretamente a partir do campo ScanInput.Username.
ScanReference additional.fields[4].key
additional.fields[4].value.string_value		 Mapeado para additional.fields com a chave "ScanReference".
Statement metadata.description Mapeado diretamente a partir do campo Statement se ScanInput.Title e Title não estiverem presentes.
Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Mapeado para security_result.detection_fields com a chave "Status".
SubCategory security_result.description Mapeado diretamente a partir do campo SubCategory.
Technologies[].ID security_result.detection_fields[0].value Mapeado diretamente a partir do campo Technologies[].ID. Convertido em string. Parte de um objeto security_result repetido.
Technologies[].Name security_result.detection_fields[1].value Mapeado diretamente a partir do campo Technologies[].Name. Parte de um objeto security_result repetido.
Technologies[].Rationale security_result.detection_fields[2].value Mapeado diretamente a partir do campo Technologies[].Rationale. Parte de um objeto security_result repetido.
Title metadata.description Mapeado diretamente a partir do campo Title se ScanInput.Title e Statement não estiverem presentes.
Type additional.fields[2].key
additional.fields[2].value.string_value		 Mapeado para additional.fields com a chave "Tipo".
UpdateDate metadata.event_timestamp Usado como data/hora do evento se ScanInput.ScanDatetime não estiver presente. Analisado no formato "ISO8601".
Userlogin target.user.userid Mapeado diretamente a partir do campo Userlogin. Defina como "AUTHTYPE_UNSPECIFIED" se Userlogin estiver presente. Definido como "GENERIC_EVENT". Alterado para "USER_LOGIN" se Userlogin estiver presente. Alterado para "USER_UNCATEGORIZED" se metadata_event_type for "GENERIC_EVENT" e ScanInput.Username estiver presente. Definido como "QUALYS_SCAN". Definido como "QUALYS_SCAN". Definido como "ID" para cada tecnologia. Parte de um objeto security_result repetido. Definido como "Nome" para cada tecnologia. Parte de um objeto security_result repetido. Definido como "Fundamento" para cada tecnologia. Parte de um objeto security_result repetido.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.