收集 Qualys 掃描記錄

支援的國家/地區:

這個剖析器會從 Qualys 掃描 JSON 記錄中擷取欄位、將時間戳記標準化,並對應至 UDM。這項外掛程式會處理各種 Qualys 事件類型,包括一般事件和使用者登入,並在 UDM 欄位中填入相關安全性資訊和中繼資料。

事前準備

請確認您已完成下列事前準備事項:

  • Google Security Operations 執行個體。
  • 具備 Qualys VMDR 控制台的特殊存取權。

選用:在 Qualys 中建立專屬的 API 使用者

  1. 登入 Qualys 控制台。
  2. 前往使用者
  3. 依序點選「新增」>「使用者」
  4. 輸入使用者的一般資訊
  5. 選取「使用者角色」分頁標籤。
  6. 確認角色已勾選「API 存取權」核取方塊。
  7. 按一下 [儲存]

找出特定 Qualys API 網址

選項 1

如「平台識別」一節所述,找出網址。

選項 2

  1. 登入 Qualys 控制台。
  2. 依序點選「說明」>「關於」
  3. 捲動畫面,即可在「資安營運中心 (SOC)」下方查看這項資訊。
  4. 複製 Qualys API 網址。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Qualys 掃描記錄」
  5. 選取「第三方 API」做為「來源類型」
  6. 選取「Qualys Scan」做為記錄類型。
  7. 點選「下一步」
  8. 指定下列輸入參數的值:
    • 使用者名稱:輸入專屬使用者的使用者名稱。
    • 密鑰:輸入專屬使用者的密碼。
    • API 完整路徑:提供純 Qualys API 伺服器網址 (例如 qualysapi.qg2.apps.qualys.eu)。
    • 「API Type」:選取要擷取的掃描類型。
  9. 點選「下一步」
  10. 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 使用者名稱:輸入專屬使用者的使用者名稱。
  • 密鑰:輸入專屬使用者的密碼。
  • API 完整路徑:提供純 Qualys API 伺服器網址 (例如 qualysapi.qg2.apps.qualys.eu)。
  • 「API Type」:選取要擷取的掃描類型。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

UDM 對應表

記錄欄位 UDM 對應 邏輯
Category security_result.category_details 直接從「Category」欄位對應。
ID metadata.product_log_id 直接從「ID」欄位對應。已轉換為字串。
LaunchDatetime metadata.event_timestamp 如果沒有 ScanInput.ScanDatetimeUpdateDate,則會做為事件時間戳記。以「ISO8601」格式剖析。
Ref additional.fields[1].key
additional.fields[1].value.string_value		 如果沒有 ScanReference,則會對應至 additional.fields,並使用「ScanReference」鍵。
ScanDetails.Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 對應至 security_result.detection_fields,並使用「ScanDetails Status」鍵。
ScanInput.Network.ID additional.fields[0].key
additional.fields[0].value.string_value		 已對應至 additional.fields,金鑰為「ScanInput Network ID」。
ScanInput.Network.Name additional.fields[1].key
additional.fields[1].value.string_value		 已對應至 additional.fields,金鑰為「ScanInput Network Name」。
ScanInput.OptionProfile.ID additional.fields[2].key
additional.fields[2].value.string_value		 已對應至 additional.fields,並使用「ScanInput Option Profile ID」鍵。
ScanInput.OptionProfile.Name additional.fields[3].key
additional.fields[3].value.string_value		 對應至 additional.fields,並使用「ScanInput Option Profile Name」鍵。
ScanInput.ScanDatetime metadata.event_timestamp 如有,則做為事件時間戳記。以「ISO8601」格式剖析。
ScanInput.Title metadata.description 直接從「ScanInput.Title」欄位對應。
ScanInput.Username principal.user.userid 直接從「ScanInput.Username」欄位對應。
ScanReference additional.fields[4].key
additional.fields[4].value.string_value		 已對應至 additional.fields,索引鍵為「ScanReference」。
Statement metadata.description 如果沒有 ScanInput.TitleTitle,則直接從 Statement 欄位對應。
Status security_result.detection_fields[0].key
security_result.detection_fields[0].value		 對應至 security_result.detection_fields,索引鍵為「狀態」。
SubCategory security_result.description 直接從「SubCategory」欄位對應。
Technologies[].ID security_result.detection_fields[0].value 直接從「Technologies[].ID」欄位對應。已轉換為字串。重複 security_result 物件的一部分。
Technologies[].Name security_result.detection_fields[1].value 直接從「Technologies[].Name」欄位對應。重複 security_result 物件的一部分。
Technologies[].Rationale security_result.detection_fields[2].value 直接從「Technologies[].Rationale」欄位對應。重複 security_result 物件的一部分。
Title metadata.description 如果沒有 ScanInput.TitleStatement,則直接從 Title 欄位對應。
Type additional.fields[2].key
additional.fields[2].value.string_value		 對應至 additional.fields,並使用「Type」鍵。
UpdateDate metadata.event_timestamp 如果沒有 ScanInput.ScanDatetime,系統會將這個值做為事件時間戳記。以「ISO8601」格式剖析。
Userlogin target.user.userid 直接從「Userlogin」欄位對應。如果存在 Userlogin,請設為「AUTHTYPE_UNSPECIFIED」。設為「GENERIC_EVENT」。如果存在 Userlogin,則變更為「USER_LOGIN」。如果 metadata_event_type 為「GENERIC_EVENT」且 ScanInput.Username 存在,則變更為「USER_UNCATEGORIZED」。設為「QUALYS_SCAN」。設為「QUALYS_SCAN」。為每項技術設為「ID」。重複 security_result 物件的一部分。為每項技術設定「名稱」。重複 security_result 物件的一部分。為每項技術設定「理由」。重複 security_result 物件的一部分。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。