本頁面由 Cloud Translation API 翻譯而成。

收集 Qualys 掃描記錄

支援以下發布途徑：

Google secops Siem

這個剖析器會從 Qualys Scan JSON 記錄中擷取欄位、標準化時間戳記，並將其對應至 UDM。它可處理各種 Qualys 事件類型，包括一般事件和使用者登入，並在 UDM 欄位中填入相關安全資訊和中繼資料。

事前準備

請確認您已完成下列事前準備：

Google Security Operations 執行個體。
具備 Qualys VMDR 主控台的特殊存取權。

選用：在 Qualys 中建立專用 API 使用者

登入 Qualys 主控台。
前往使用者。
依序按一下「新增」>「使用者」。
輸入使用者需要的一般資訊。
選取「使用者角色」分頁標籤。
確認角色已勾選「API 存取權」核取方塊。
按一下 [儲存]。

找出特定的 Qualys API 網址

選項 1

請按照平台識別資訊一節所述，找出您的網址。

選項 2

登入 Qualys 主控台。
依序前往「說明」>「關於」。
向下捲動即可查看「資安營運中心」(SOC) 底下的這項資訊。
複製 Qualys API 網址。

設定動態饋給

在 Google SecOps 平台中，有兩個不同的入口可用來設定動態消息：

SIEM 設定 > 動態饋給
內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態饋給，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態」。
按一下「新增動態消息」。
在下一頁中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中輸入動態饋給的名稱，例如「Qualys 掃描記錄」。
將「來源類型」設為「第三方 API」。
選取「Qualys Scan」做為記錄類型。
點選「下一步」。
指定下列輸入參數的值：
- 使用者名稱：輸入專屬使用者的使用者名稱。
- 密碼：輸入專屬使用者的密碼。
- API 完整路徑：提供 Qualys API 伺服器的純網址 (例如 qualysapi.qg2.apps.qualys.eu)。
- API 類型：選取要擷取的掃描類型。
點選「下一步」。
在「Finalize」畫面中查看動態饋給設定，然後按一下「Submit」。

透過內容中心設定動態饋給

指定下列欄位的值：

使用者名稱：輸入專屬使用者的使用者名稱。
密碼：輸入專屬使用者的密碼。
API 完整路徑：提供 Qualys API 伺服器的純網址 (例如 qualysapi.qg2.apps.qualys.eu)。
API 類型：選取要擷取的掃描類型。

進階選項

動態饋給名稱：預先填入的值，用於識別動態饋給。
來源類型：用於收集記錄並匯入 Google SecOps 的方法。
素材資源命名空間：與動態饋給相關聯的命名空間。
攝入標籤：套用至這個動態饋給中所有事件的標籤。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`Category`	`security_result.category_details`	直接從 `Category` 欄位對應。
`ID`	`metadata.product_log_id`	直接從 `ID` 欄位對應。已轉換為字串。
`LaunchDatetime`	`metadata.event_timestamp`	如果沒有 `ScanInput.ScanDatetime` 和 `UpdateDate`，則會用做事件時間戳記。以「ISO8601」格式剖析。
`Ref`	`additional.fields[1].key` `additional.fields[1].value.string_value`	如果沒有 `ScanReference`，則會對應至 `additional.fields`，並使用「ScanReference」做為鍵。
`ScanDetails.Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	已對應至 `security_result.detection_fields`，鍵為「ScanDetails Status」。
`ScanInput.Network.ID`	`additional.fields[0].key` `additional.fields[0].value.string_value`	已對應至 `additional.fields`，鍵為「ScanInput Network ID」。
`ScanInput.Network.Name`	`additional.fields[1].key` `additional.fields[1].value.string_value`	已對應至 `additional.fields`，鍵為「ScanInput Network Name」。
`ScanInput.OptionProfile.ID`	`additional.fields[2].key` `additional.fields[2].value.string_value`	已對應至 `additional.fields`，鍵為「ScanInputOptionProfileId」。
`ScanInput.OptionProfile.Name`	`additional.fields[3].key` `additional.fields[3].value.string_value`	對應至 `additional.fields`，鍵為「ScanInputOptionProfileName」。
`ScanInput.ScanDatetime`	`metadata.event_timestamp`	用於事件時間戳記 (如有)。以「ISO8601」格式剖析。
`ScanInput.Title`	`metadata.description`	直接從 `ScanInput.Title` 欄位對應。
`ScanInput.Username`	`principal.user.userid`	直接從 `ScanInput.Username` 欄位對應。
`ScanReference`	`additional.fields[4].key` `additional.fields[4].value.string_value`	已對應至 `additional.fields`，鍵為「ScanReference」。
`Statement`	`metadata.description`	如果沒有 `ScanInput.Title` 和 `Title`，則直接從 `Statement` 欄位對應。
`Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	已對應至鍵為「Status」的 `security_result.detection_fields`。
`SubCategory`	`security_result.description`	直接從 `SubCategory` 欄位對應。
`Technologies[].ID`	`security_result.detection_fields[0].value`	直接從 `Technologies[].ID` 欄位對應。已轉換為字串。重複 `security_result` 物件的一部分。
`Technologies[].Name`	`security_result.detection_fields[1].value`	直接從 `Technologies[].Name` 欄位對應。重複 `security_result` 物件的一部分。
`Technologies[].Rationale`	`security_result.detection_fields[2].value`	直接從 `Technologies[].Rationale` 欄位對應。重複 `security_result` 物件的一部分。
`Title`	`metadata.description`	如果沒有 `ScanInput.Title` 和 `Statement`，則直接從 `Title` 欄位對應。
`Type`	`additional.fields[2].key` `additional.fields[2].value.string_value`	已對應至 `additional.fields`，鍵為「Type」。
`UpdateDate`	`metadata.event_timestamp`	如果沒有 `ScanInput.ScanDatetime`，則會用做事件時間戳記。以「ISO8601」格式剖析。
`Userlogin`	`target.user.userid`	直接從 `Userlogin` 欄位對應。如果有 `Userlogin`，請將其設為「AUTHTYPE_UNSPECIFIED」。設為「GENERIC_EVENT」。如果有 `Userlogin`，則變更為「USER_LOGIN」。如果 `metadata_event_type` 為「GENERIC_EVENT」，且存在 `ScanInput.Username`，則會變更為「USER_UNCATEGORIZED」。設為「QUALYS_SCAN」。設為「QUALYS_SCAN」。將每項技術設為「ID」。重複 `security_result` 物件的一部分。將每項技術設為「名稱」。重複 `security_result` 物件的一部分。為每項技術設定「Rationale」(理由)。重複 `security_result` 物件的一部分。

異動

2023-04-21

新建的剖析器。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。