Qualys Virtual Scanner-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser wandelt Roh-Logs von Qualys Virtual Scanner im JSON-Format in ein strukturiertes Format um, das dem UDM von Google Security Operations entspricht. Es werden relevante Felder wie Asset-Informationen, Scandetails und erkannte Sicherheitslücken extrahiert und den entsprechenden UDM-Feldern zugeordnet, um eine einheitliche Darstellung und Analyse zu ermöglichen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google Security Operations-Instanz.
Privilegierter Zugriff auf Google Cloud.
Privilegierter Zugriff auf Qualys.

Erforderliche APIs aktivieren:

In der Google Cloud Console anmelden
Rufen Sie APIs und Dienste > Bibliothek auf.
Suchen Sie nach den folgenden APIs und aktivieren Sie sie:
- Cloud Functions API
- Cloud Scheduler API
- Cloud Pub/Sub (erforderlich, damit Cloud Scheduler Funktionen aufrufen kann)

Google Cloud Storage-Bucket erstellen

In der Google Cloud Console anmelden
Rufen Sie die Seite Cloud Storage-Buckets auf.

Buckets aufrufen
Klicken Sie auf Erstellen.
Konfigurieren Sie den Bucket:
- Name: Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. qualys-vscanner-bucket).
- Speicherort für Daten auswählen: Wählen Sie einen Standort aus.
- Speicherklasse für Ihre Daten auswählen: Wählen Sie entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen aus.
- Zugriff auf Objekte steuern: Wählen Sie nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
Hinweis: Wenn die Verhinderung des öffentlichen Zugriffs bereits durch die Organisationsrichtlinie Ihres Projekts erzwungen wird, ist das Kästchen Öffentlichen Zugriff verhindern gesperrt.
- Speicherklasse: Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht (z. B. Standard).
Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

Rufen Sie IAM und Verwaltung > Dienstkonten auf.
Erstellen Sie ein neues Dienstkonto.
Geben Sie ihm einen aussagekräftigen Namen (z. B. qualys-user).
Weisen Sie dem Dienstkonto die Rolle Storage-Objekt-Administrator für den Cloud Storage-Bucket zu, den Sie im vorherigen Schritt erstellt haben.
Weisen Sie dem Dienstkonto die Rolle Cloud Functions-Aufrufer zu.
Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Optional: Einen dedizierten API-Nutzer in Qualys erstellen

Melden Sie sich in der Qualys-Konsole an.
Gehen Sie zu Nutzer.
Klicken Sie auf Neu > Nutzer.
Geben Sie die erforderlichen Allgemeinen Informationen für den Nutzer ein.
Klicken Sie auf den Tab Nutzerrolle.
Das Kästchen API-Zugriff muss für die Rolle angeklickt sein.
Klicken Sie auf Speichern.

Spezifische Qualys API-URL ermitteln

Option 1

Geben Sie Ihre URLs wie unter Plattformerfassung beschrieben an.

Option 2

Melden Sie sich in der Qualys-Konsole an.
Gehen Sie zu Hilfe > Info.
Scrollen Sie nach unten, um diese Informationen unter „Security Operations Center (SOC)“ zu sehen.
Kopieren Sie die Qualys API-URL.

Cloud Functions-Funktion konfigurieren

Rufen Sie in der Google Cloud -Console Cloud Functions auf.
Klicken Sie auf Funktion erstellen.

Funktion konfigurieren:

Name: Geben Sie einen Namen für die Funktion ein, z. B. fetch-qualys-vscanner.
Region: Wählen Sie eine Region in der Nähe Ihres Buckets aus.
Trigger: Wählen Sie bei Bedarf einen HTTP-Trigger oder Cloud Pub/Sub für die geplante Ausführung aus.
Authentifizierung: mit Authentifizierung sichern.
Code mit einem Inline-Editor schreiben:

```python
from google.cloud import storage
import requests
import base64
import json

# Google Cloud Storage Configuration
BUCKET_NAME = "<bucket-name>"
FILE_NAME = "qualys_virtual_scanners.json"

# Qualys API Credentials
QUALYS_USERNAME = "qualys-username"
QUALYS_PASSWORD = "<qualys-password>"
QUALYS_BASE_URL = "https://<qualys_base_url>"  # for example, https://qualysapi.qualys.com

def fetch_virtual_scanners():
    """Fetch Virtual Scanner details from Qualys."""
    auth = base64.b64encode(f"{QUALYS_USERNAME}:{QUALYS_PASSWORD}".encode()).decode()
    headers = {
        "Authorization": f"Basic {auth}",
        "Content-Type": "application/xml"
    }
    url = f"{QUALYS_BASE_URL}/api/2.0/fo/scanner/"
    payload = {
        "action": "list",
        "scanner_type": "virtual"
    }
    response = requests.post(url, headers=headers, data=payload)
    response.raise_for_status()
    return response.text  # Qualys API returns XML data

def upload_to_gcs(data):
    """Upload data to Google Cloud Storage."""
    client = storage.Client()
    bucket = client.get_bucket(BUCKET_NAME)
    blob = bucket.blob(FILE_NAME)
    blob.upload_from_string(data, content_type="application/xml")

def main(request):
    """Cloud Function entry point."""
    try:
        scanners = fetch_virtual_scanners()
        upload_to_gcs(scanners)
        return "Qualys Virtual Scanners data uploaded to Cloud Storage successfully!"
    except Exception as e:
        return f"An error occurred: {e}", 500
```

Klicken Sie nach Abschluss der Konfiguration auf Bereitstellen.

Cloud Scheduler konfigurieren

Rufen Sie in der Google Cloud Console Cloud Scheduler auf.
Klicken Sie auf Job erstellen.
Konfigurieren Sie den Job:
- Name: Geben Sie einen Namen für den Job ein, z. B. trigger-fetch-qualys-vscanner.
- Häufigkeit: Verwenden Sie die cron-Syntax, um den Zeitplan anzugeben (z. B. 0 0 * * * für täglich um Mitternacht).
- Zeitzone: Legen Sie Ihre bevorzugte Zeitzone fest.
- Triggertyp: Wählen Sie HTTP aus.
- Trigger-URL: Geben Sie die URL der Cloud Functions-Funktion ein. Sie finden sie nach der Bereitstellung in den Funktionsdetails.
- Methode: Wählen Sie POST aus.
Hinweis :Wenn die Authentifizierung für die Funktion aktiviert ist, wählen Sie Dienstkonto aus und prüfen Sie, ob das Konto die Rolle Cloud Functions-Aufrufer hat.
Erstellen Sie den Job.

Feeds einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Qualys Virtual Scanner Logs.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie Qualys Virtual Scanner als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URI: Der Google Cloud Quell-URI des Storage-Buckets.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
Hinweis :Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen. * Höchstalter für Dateien: Enthält Dateien, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
ASSET_ID	entity.entity.asset.asset_id	Direkte Zuordnung aus dem Feld `ASSET_ID`.
CLOUD_PROVIDER_TAGS.CLOUD_TAG.NAME	entity.relations.entity.resource.attribute.labels.key	Direkte Zuordnung aus dem Feld `CLOUD_PROVIDER_TAGS.CLOUD_TAG.NAME`.
CLOUD_PROVIDER_TAGS.CLOUD_TAG.VALUE	entity.relations.entity.resource.attribute.labels.value	Direkte Zuordnung aus dem Feld `CLOUD_PROVIDER_TAGS.CLOUD_TAG.VALUE`.
CLOUD_RESOURCE_ID	entity.relations.entity.resource.id	Direkte Zuordnung aus dem Feld `CLOUD_RESOURCE_ID`.
DETECTION_LIST.DETECTION.FIRST_FOUND_DATETIME	entity.metadata.threat.first_discovered_time	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.FIRST_FOUND_DATETIME`, in Zeitstempel konvertiert.
DETECTION_LIST.DETECTION.FIRST_REOPENED_DATETIME	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.FIRST_REOPENED_DATETIME`. Der Schlüssel ist als „FIRST_REOPENED_DATETIME“ hartcodiert.
DETECTION_LIST.DETECTION.IS_DISABLED	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.IS_DISABLED`. Der Schlüssel ist als „IS_DISABLED“ hartcodiert.
DETECTION_LIST.DETECTION.LAST_FIXED_DATETIME	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.LAST_FIXED_DATETIME`. Der Schlüssel ist als „LAST_FIXED_DATETIME“ hartcodiert.
DETECTION_LIST.DETECTION.LAST_FOUND_DATETIME	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.LAST_FOUND_DATETIME`. Der Schlüssel ist als „LAST_FOUND_DATETIME“ hartcodiert.
DETECTION_LIST.DETECTION.LAST_PROCESSED_DATETIME	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.LAST_PROCESSED_DATETIME`. Der Schlüssel ist als „LAST_PROCESSED_DATETIME“ hartcodiert.
DETECTION_LIST.DETECTION.LAST_REOPENED_DATETIME	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.LAST_REOPENED_DATETIME`. Der Schlüssel ist als „LAST_REOPENED_DATETIME“ hartcodiert.
DETECTION_LIST.DETECTION.LAST_TEST_DATETIME	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.LAST_TEST_DATETIME`. Der Schlüssel ist als „LAST_TEST_DATETIME“ hartcodiert.
DETECTION_LIST.DETECTION.LAST_UPDATE_DATETIME	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.LAST_UPDATE_DATETIME`. Der Schlüssel ist als „LAST_UPDATE_DATETIME“ hartcodiert.
DETECTION_LIST.DETECTION.PORT	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.PORT`. Der Schlüssel ist als „PORT“ hartcodiert.
DETECTION_LIST.DETECTION.PROTOCOL	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.PROTOCOL`. Der Schlüssel ist als „PROTOCOL“ hartcodiert.
DETECTION_LIST.DETECTION.QID	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.QID`. Der Schlüssel ist als „QID“ hartcodiert.
DETECTION_LIST.DETECTION.RESULTS	entity.metadata.threat.summary	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.RESULTS`.
DETECTION_LIST.DETECTION.SEVERITY	entity.metadata.threat.severity_details	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.SEVERITY`.
DETECTION_LIST.DETECTION.SSL	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.SSL`. Der Schlüssel ist als „SSL“ hartcodiert.
DETECTION_LIST.DETECTION.STATUS	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.STATUS`. Der Schlüssel ist als „STATUS“ hartcodiert.
DETECTION_LIST.DETECTION.TIMES_FOUND	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.TIMES_FOUND`. Der Schlüssel ist als „TIMES_FOUND“ hartcodiert.
DETECTION_LIST.DETECTION.TIMES_REOPENED	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.TIMES_REOPENED`. Der Schlüssel ist als „TIMES_REOPENED“ hartcodiert.
DETECTION_LIST.DETECTION.TYPE	entity.metadata.threat.severity	Zugeordnet aus dem Feld `DETECTION_LIST.DETECTION.TYPE`. Wenn der Wert „info“ (Groß-/Kleinschreibung wird nicht berücksichtigt) ist, wird er „INFORMATIONAL“ zugeordnet. Andernfalls wird es als Erkennungsfeld mit dem Schlüssel „TYPE“ hinzugefügt.
DETECTION_LIST.DETECTION.UNIQUE_VULN_ID	entity.metadata.threat.detection_fields.value	Direkte Zuordnung aus dem Feld `DETECTION_LIST.DETECTION.UNIQUE_VULN_ID`. Der Schlüssel ist als „UNIQUE_VULN_ID“ hartcodiert.
DNS	entity.entity.asset.hostname	Wird aus dem Feld `DNS` zugeordnet, wenn `DNS_DATA.HOSTNAME` leer ist.
DNS_DATA.HOSTNAME	entity.entity.asset.hostname	Direkte Zuordnung aus dem Feld `DNS_DATA.HOSTNAME`.
EC2_INSTANCE_ID	entity.relations.entity.resource.product_object_id	Direkte Zuordnung aus dem Feld `EC2_INSTANCE_ID`.
ID	entity.entity.asset.product_object_id	Direkte Zuordnung aus dem Feld `ID`.
ID	entity.metadata.product_entity_id	Direkte Zuordnung aus dem Feld `ID`.
IP-Adresse	entity.entity.ip	Direkte Zuordnung aus dem Feld `IP`.
LAST_SCAN_DATETIME	entity.metadata.interval.start_time	Direkte Zuordnung aus dem Feld `LAST_SCAN_DATETIME`, in Zeitstempel konvertiert.
METADATA.AZURE.ATTRIBUTE.NAME	entity.relations.entity.resource.attribute.labels.key	Direkte Zuordnung aus dem Feld `METADATA.AZURE.ATTRIBUTE.NAME`.
METADATA.AZURE.ATTRIBUTE.VALUE	entity.relations.entity.resource.attribute.labels.value	Direkte Zuordnung aus dem Feld `METADATA.AZURE.ATTRIBUTE.VALUE`.
Betriebssystem	entity.entity.asset.platform_software.platform	Zugeordnet aus dem Feld `OS`. Wenn der Wert „windows“ (unabhängig von der Groß-/Kleinschreibung) enthält, wird er „WINDOWS“ zugeordnet. Wenn der String „Linux“ (Groß-/Kleinschreibung wird nicht berücksichtigt) enthalten ist, wird er „LINUX“ zugeordnet.
TAGS.TAG.NAME	entity.relations.entity.resource.attribute.labels.key	Direkte Zuordnung aus dem Feld `TAGS.TAG.NAME`.
TAGS.TAG.TAG_ID	entity.relations.entity.resource.attribute.labels.value	Zugeordnet aus dem Feld `TAGS.TAG.TAG_ID`. Dem Wert wird „TAG_ID: “ vorangestellt.
	entity.metadata.collected_timestamp	Der Zeitstempel des Logeintrags.
	entity.metadata.entity_type	Wird anhand des Felds `IP` ermittelt. Wenn `IP` vorhanden ist, wird sie auf „IP_ADDRESS“ festgelegt. Andernfalls wird es auf „ASSET“ gesetzt.
	entity.metadata.interval.end_time	Hartcodiert auf einen sehr großen Zeitstempelwert (253402300799 Sekunden).
	entity.metadata.product_name	Fest codiert auf „QUALYS_VIRTUAL_SCANNER“.
	entity.metadata.vendor_name	Fest codiert auf „QUALYS_VIRTUAL_SCANNER“.
	entity.relations.entity.resource.resource_type	Wenn `CLOUD_SERVICE` „VM“ ist, wird „VIRTUAL_MACHINE“ festgelegt.
	entity.relations.entity_type	Fest codiert auf „RESOURCE“.
	entity.relations.relationship	Fest codiert auf „MEMBER“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten