Coletar registros de verificação do Qualys

Compatível com:

Esse analisador extrai campos dos registros JSON de verificação do Qualys, normaliza os carimbos de data/hora e os mapeia para o UDM. Ele processa vários tipos de eventos do Qualys, incluindo eventos genéricos e logins de usuários, preenchendo campos da UDM com informações e metadados de segurança relevantes.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google Security Operations.
  • Acesso privilegiado ao console do Qualys VMDR.

Opcional: crie um usuário de API dedicado no Qualys

  1. Faça login no console da Qualys.
  2. Acesse Usuários.
  3. Clique em Novo > Usuário.
  4. Insira as Informações gerais necessárias para o usuário.
  5. Selecione a guia Função do usuário.
  6. Verifique se a caixa de seleção Acesso à API está marcada.
  7. Clique em Salvar.

Identificar seu URL específico da API do Qualys

Opção 1

Identifique seus URLs conforme mencionado na identificação da plataforma.

Opção 2

  1. Faça login no console da Qualys.
  2. Acesse Ajuda > Sobre.
  3. Role a tela para ver essas informações em "Central de operações de segurança (SOC)".
  4. Copie o URL da API do Qualys.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Qualys Scan Logs.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Qualys Scan como o tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Nome de usuário: insira o nome de usuário do usuário dedicado.
    • Chave secreta: digite a senha do usuário dedicado.
    • Caminho completo da API: forneça o URL simples do servidor da API Qualys (por exemplo, qualysapi.qg2.apps.qualys.eu).
    • Tipo de API: selecione o tipo de verificação que você quer ingerir.
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Nome de usuário: insira o nome de usuário do usuário dedicado.
  • Chave secreta: digite a senha do usuário dedicado.
  • Caminho completo da API: forneça o URL simples do servidor da API Qualys (por exemplo, qualysapi.qg2.apps.qualys.eu).
  • Tipo de API: selecione o tipo de verificação que você quer ingerir.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
Category security_result.category_details Mapeado diretamente do campo Category.
ID metadata.product_log_id Mapeado diretamente do campo ID. Convertido em string.
LaunchDatetime metadata.event_timestamp Usado como carimbo de data/hora do evento se ScanInput.ScanDatetime e UpdateDate não estiverem presentes. Analisado no formato "ISO8601".
Ref additional.fields[1].key
additional.fields[1].value.string_value		 Mapeado para additional.fields com a chave "ScanReference" se ScanReference não estiver presente.
ScanDetails.Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Mapeado para security_result.detection_fields com a chave "ScanDetails Status".
ScanInput.Network.ID additional.fields[0].key
additional.fields[0].value.string_value		 Mapeado para additional.fields com a chave "ID da rede ScanInput".
ScanInput.Network.Name additional.fields[1].key
additional.fields[1].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Network Name".
ScanInput.OptionProfile.ID additional.fields[2].key
additional.fields[2].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Option Profile ID".
ScanInput.OptionProfile.Name additional.fields[3].key
additional.fields[3].value.string_value		 Mapeado para additional.fields com a chave "ScanInput Option Profile Name".
ScanInput.ScanDatetime metadata.event_timestamp Usado como carimbo de data/hora do evento, se presente. Analisado no formato "ISO8601".
ScanInput.Title metadata.description Mapeado diretamente do campo ScanInput.Title.
ScanInput.Username principal.user.userid Mapeado diretamente do campo ScanInput.Username.
ScanReference additional.fields[4].key
additional.fields[4].value.string_value		 Mapeado para additional.fields com a chave "ScanReference".
Statement metadata.description Mapeado diretamente do campo Statement se ScanInput.Title e Title não estiverem presentes.
Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 Mapeado para security_result.detection_fields com a chave "Status".
SubCategory security_result.description Mapeado diretamente do campo SubCategory.
Technologies[].ID security_result.detection_fields[0].value Mapeado diretamente do campo Technologies[].ID. Convertido em string. Parte de um objeto security_result repetido.
Technologies[].Name security_result.detection_fields[1].value Mapeado diretamente do campo Technologies[].Name. Parte de um objeto security_result repetido.
Technologies[].Rationale security_result.detection_fields[2].value Mapeado diretamente do campo Technologies[].Rationale. Parte de um objeto security_result repetido.
Title metadata.description Mapeado diretamente do campo Title se ScanInput.Title e Statement não estiverem presentes.
Type additional.fields[2].key
additional.fields[2].value.string_value		 Mapeado para additional.fields com a chave "Type".
UpdateDate metadata.event_timestamp Usado como carimbo de data/hora do evento se ScanInput.ScanDatetime não estiver presente. Analisado no formato "ISO8601".
Userlogin target.user.userid Mapeado diretamente do campo Userlogin. Defina como "AUTHTYPE_UNSPECIFIED" se Userlogin estiver presente. Defina como "GENERIC_EVENT". Mudou para "USER_LOGIN" se Userlogin estiver presente. Mudou para "USER_UNCATEGORIZED" se metadata_event_type for "GENERIC_EVENT" e ScanInput.Username estiver presente. Defina como "QUALYS_SCAN". Defina como "QUALYS_SCAN". Defina como "ID" para cada tecnologia. Parte de um objeto security_result repetido. Defina como "Nome" para cada tecnologia. Parte de um objeto security_result repetido. Defina como "Justificativa" para cada tecnologia. Parte de um objeto security_result repetido.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.