Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Qualys Vulnerability Management 日志

支持：

Google SecOps SIEM

此解析器以键值对 (KV) 或 JSON 格式处理 Qualys 漏洞管理日志。它会提取漏洞详细信息、主机信息和扫描元数据，并将它们映射到 UDM。解析器还会处理不同的日志结构，优先进行 KV 解析，并在必要时回退到 JSON，并将 DetectionList 数组拆分为单独的漏洞事件。

准备工作

请确保满足以下前提条件：

Google Security Operations 实例。
对 Qualys VMDR 控制台的特权访问权限。

可选：在 Qualys 中创建专用 API 用户

登录 Qualys 控制台。
前往用户。
依次点击新建 > 用户。
输入用户所需的常规信息 。
选择用户角色 标签页。
确保该角色已选中 API 访问权限 复选框。
点击保存。

确定您的特定 Qualys API 网址

选项 1

按照平台标识中的说明确定您的网址。

选项 2

登录 Qualys 控制台。
依次前往帮助 > 关于。
滚动查看安全运维中心 (SOC) 下的此信息。
复制 Qualys API 网址。

设置 Feed

如需配置 Feed，请按以下步骤操作：

依次前往 SIEM 设置 > Feed。
点击 Add New Feed （添加新 Feed）。
在下一页上，点击 Configure a single feed （配置单个 Feed）。
在 Feed name （Feed 名称）字段中，输入 Feed 的名称；例如 Qualys VM Logs 。
选择 Third Party API （第三方 API）作为来源类型 。
选择 Qualys VM 作为日志类型。
点击下一步 。
为以下输入参数指定值：
- 用户名：输入用户名。
- 密钥：输入密码。
- API 完整路径：提供 Qualys API 服务器网址（例如 <qualys_base_url>/api/2.0/fo/asset/host/vm/detection/?action=list），其中 <qualys_base_url> 是指向您的帐号所在的 Qualys API 服务器的基础网址。
点击下一步 。
在 Finalize （最终确定）界面中检查 Feed 配置，然后点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
`DETECTION.FIRST_FOUND_DATETIME`	`extensions.vulns.vulnerabilities.first_found`	从 `DETECTION.FIRST_FOUND_DATETIME` 字段解析，将字符串值转换为时间戳。
`DETECTION.LAST_FOUND_DATETIME`	`extensions.vulns.vulnerabilities.last_found`	从 `DETECTION.LAST_FOUND_DATETIME` 字段解析，将字符串值转换为时间戳。
`DETECTION.QID`	`extensions.vulns.vulnerabilities.name`	将“QID: ”与 `DETECTION.QID` 的值串联起来。
`DETECTION.RESULTS`	`extensions.vulns.vulnerabilities.description`	直接映射到说明字段。还用于使用 grok 提取 `network.ip_protocol` 和 `principal.port`。
`DETECTION.SEVERITY`	`extensions.vulns.vulnerabilities.severity`	从 `DETECTION.SEVERITY` 映射。值 0、1、2 变为“LOW”；3、4 变为“MEDIUM”；5、6、7 变为“HIGH”。
`DETECTION.STATUS`	`extensions.vulns.vulnerabilities.about.labels`	添加为具有键“Detection status”的标签。
`DETECTION.TYPE`	`extensions.vulns.vulnerabilities.about.labels`	添加为具有键“Detection type”的标签。
`DNS`	`principal.hostname`	直接映射到 `principal.hostname`。
`DNSData.DOMAIN`	`principal.domain.name`	直接映射到 `principal.domain.name`。
`HOST.ASSET_ID`	`principal.asset_id`	将“QUALYS:”与 `HOST.ASSET_ID` 的值串联起来。
`HOST.DNS`	`principal.hostname`	如果 `DNS` 为空，则直接映射到 `principal.hostname`。
`HOST.DNS_DATA.DOMAIN`	`principal.domain.name`	如果 `DNSData.DOMAIN` 为空，则直接映射到 `principal.domain.name`。
`HOST.ID`	`metadata.product_log_id`	直接映射到 `metadata.product_log_id`。
`HOST.IP`	`principal.ip`	如果 `IP` 为空，则直接映射到 `principal.ip`。
`HOST.LAST_SCAN_DATETIME`	`extensions.vulns.vulnerabilities.scan_start_time`	从 `HOST.LAST_SCAN_DATETIME` 字段解析，将字符串值转换为时间戳。
`HOST.LAST_VM_SCANNED_DATE`	`extensions.vulns.vulnerabilities.scan_end_time`	从 `HOST.LAST_VM_SCANNED_DATE` 字段解析，将字符串值转换为时间戳。
`HOST.NETBIOS`	`additional.fields`	添加为具有键“HOST NETBIOS”的标签。
`HOST.OS`	`principal.platform_version`	如果 `OS` 为空，则直接映射到 `principal.platform_version`。
`HOST.QG_HOSTID`	`additional.fields`	添加为具有键“HOST QG_HOSTID”的标签。
`HOST.TRACKING_METHOD`	`additional.fields`	添加为具有键“HOST TRACKING_METHOD”的标签。
`HOST_ID`	`principal.asset_id`	将“QUALYS:”与 `HOST_ID` 的值串联起来。
`ID`	`metadata.product_log_id`	直接映射到 `metadata.product_log_id`。
`IP`	`principal.ip`	直接映射到 `principal.ip`。
`LastScanDateTime`	`extensions.vulns.vulnerabilities.scan_start_time`	从 `LastScanDateTime` 字段解析，将字符串值转换为时间戳。
`LastVMAuthScanDuration`	`additional.fields`	添加为具有键“LastVMAuthScanDuration”的标签。
`LastVMScanDate`	`extensions.vulns.vulnerabilities.scan_end_time`	从 `LastVMScanDate` 字段解析，将字符串值转换为时间戳。
`LastVMScanDuration`	`additional.fields`	添加为具有键“LastVMScanDuration”的标签。
`LAST_FOUND_DATETIME`	`extensions.vulns.vulnerabilities.last_found`	从 `LAST_FOUND_DATETIME` 字段解析，将字符串值转换为时间戳。
`LAST_SCAN_DATETIME`	`extensions.vulns.vulnerabilities.scan_start_time`	从 `LAST_SCAN_DATETIME` 字段解析，将字符串值转换为时间戳。
`LAST_VM_SCANNED_DATE`	`extensions.vulns.vulnerabilities.scan_end_time`	从 `LAST_VM_SCANNED_DATE` 字段解析，将字符串值转换为时间戳。
`NETBIOS`	`additional.fields`	添加为具有键“NETBIOS”的标签。
`NetworkID`	`additional.fields`	添加为具有键“NetworkID”的标签。
`NETWORK_ID`	`additional.fields`	添加为具有键“NetworkID”的标签。
`OS`	`principal.platform_version`	直接映射到 `principal.platform_version`。
`Os`	`principal.platform_version`	如果 `OS` 为空，则直接映射到 `principal.platform_version`。
`QID`	`extensions.vulns.vulnerabilities.name`	将“QID: ”与 `QID` 的值串联起来。
`QgHostID`	`principal.asset_id`	将 `principal.asset_id` 设置为“Host Id:%{QgHostID}”。
`SEVERITY`	`extensions.vulns.vulnerabilities.severity`	从 `SEVERITY` 映射。值 0、1、2 变为“LOW”；3、4 变为“MEDIUM”；5、6、7 变为“HIGH”。
`TRACKING_METHOD`	`additional.fields`	添加为具有键“TRACKING_METHOD”的标签。
`TrackingMethod`	`additional.fields`	添加为具有键“TRACKING_METHOD”的标签。
不适用	`metadata.vendor_name`	硬编码为“Qualys”。
不适用	`metadata.product_name`	硬编码为“Vulnerability Management”。
不适用	`metadata.event_type`	如果 `_vulns` 不为空，则设置为“SCAN_VULN_HOST”；如果 `prin_host` 或 `IP` 都不为空，则设置为“STATUS_UPDATE”；否则设置为“GENERIC_EVENT”。
不适用	`metadata.log_type`	取自原始日志的 `log_type` 字段。
不适用	`principal.platform`	根据 `OS`、`Os` 或 `HOST.OS` 确定。如果其中任何一个包含“Linux”，则平台设置为“LINUX”。如果其中任何一个包含“Windows”，则平台设置为“WINDOWS”。如果其中任何一个包含“mac”或“IOS”，则平台设置为“MAC”。
`detection.DType`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	对于从 `DetectionList` 字段解析的事件，在漏洞数组中添加为具有键“Detection Type”的标签。
`detection.FirstFoundTime`	`extensions.vulns.vulnerabilities.first_found`	从 `detection.FirstFoundTime` 字段解析，将字符串值转换为时间戳，位于从 `DetectionList` 字段解析的事件的漏洞数组中。
`detection.LastFoundTime`	`extensions.vulns.vulnerabilities.last_found`	从 `detection.LastFoundTime` 字段解析，将字符串值转换为时间戳，位于从 `DetectionList` 字段解析的事件的漏洞数组中。
`detection.LastProcessedDatetime`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	对于从 `DetectionList` 字段解析的事件，在漏洞数组中添加为具有键“LastProcessedDatetime”的标签。
`detection.LastTestDateTime`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	对于从 `DetectionList` 字段解析的事件，在漏洞数组中添加为具有键“LastTestDateTime”的标签。
`detection.LastUpdateDateTime`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	对于从 `DetectionList` 字段解析的事件，在漏洞数组中添加为具有键“LastUpdateDateTime”的标签。
`detection.Qid`	`extensions.vulns.vulnerabilities.name`	将“QID: ”与 `detection.Qid` 的值串联起来，位于从 `DetectionList` 字段解析的事件的漏洞数组中。
`detection.Results`	`extensions.vulns.vulnerabilities.description`	直接映射到说明字段，位于从 `DetectionList` 字段解析的事件的漏洞数组中。制表符和换行符会被替换为空格。
`detection.Severity`	`extensions.vulns.vulnerabilities.severity`	从 `detection.Severity` 映射。值 0、1、2 变为“LOW”；3、4 变为“MEDIUM”；5、6、7 变为“HIGH”，位于从 `DetectionList` 字段解析的事件的漏洞数组中。
`detection.Status`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	对于从 `DetectionList` 字段解析的事件，在漏洞数组中添加为具有键“Detection status”的标签。
`detection.TimesFound`	`extensions.vulns.vulnerabilities.about.resource.attribute.labels`	对于从 `DetectionList` 字段解析的事件，在漏洞数组中添加为具有键“TimesFound”的标签。
`timestamp`	`metadata.event_timestamp`、`timestamp`	原始日志的 `timestamp` 字段同时用于事件时间戳和顶级时间戳。