Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Pemindaian Qualys

Didukung di:

Google SecOps SIEM

Parser ini mengekstrak kolom dari log JSON Pemindaian Qualys, menormalisasi stempel waktu, dan memetakannya ke UDM. Integrasi ini menangani berbagai jenis peristiwa Qualys, termasuk peristiwa umum dan login pengguna, serta mengisi kolom UDM dengan informasi dan metadata keamanan yang relevan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google Security Operations.
Akses istimewa ke konsol Qualys VMDR.

Opsional: Buat Pengguna API khusus di Qualys

Login ke konsol Qualys.
Buka Pengguna.
Klik Baru > Pengguna.
Masukkan Informasi Umum yang diperlukan untuk pengguna.
Pilih tab Peran Pengguna.
Pastikan peran memiliki kotak Akses API yang dicentang.
Klik Simpan.

Mengidentifikasi URL Qualys API spesifik Anda

Opsi 1

Identifikasi URL Anda seperti yang disebutkan dalam identifikasi platform.

Opsi 2

Login ke konsol Qualys.
Buka Bantuan > Tentang.
Scroll untuk melihat informasi ini di bagian Security Operations Center (SOC).
Salin URL Qualys API.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Qualys Scan Logs.
Pilih Third Party API sebagai Source type.
Pilih Qualys Scan sebagai jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Nama pengguna: masukkan nama pengguna untuk pengguna khusus.
- Secret: masukkan sandi untuk pengguna khusus.
- Jalur Lengkap API: berikan URL server Qualys API biasa (misalnya, qualysapi.qg2.apps.qualys.eu).
- API Type: pilih jenis pemindaian yang ingin Anda masukkan.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Category`	`security_result.category_details`	Dipetakan langsung dari kolom `Category`.
`ID`	`metadata.product_log_id`	Dipetakan langsung dari kolom `ID`. Dikonversi ke string.
`LaunchDatetime`	`metadata.event_timestamp`	Digunakan sebagai stempel waktu peristiwa jika `ScanInput.ScanDatetime` dan `UpdateDate` tidak ada. Diuraikan dalam format "ISO8601".
`Ref`	`additional.fields[1].key` `additional.fields[1].value.string_value`	Dipetakan ke `additional.fields` dengan kunci "ScanReference" jika `ScanReference` tidak ada.
`ScanDetails.Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	Dipetakan ke `security_result.detection_fields` dengan kunci "Status ScanDetails".
`ScanInput.Network.ID`	`additional.fields[0].key` `additional.fields[0].value.string_value`	Dipetakan ke `additional.fields` dengan kunci "ScanInput Network ID".
`ScanInput.Network.Name`	`additional.fields[1].key` `additional.fields[1].value.string_value`	Dipetakan ke `additional.fields` dengan kunci "ScanInput Network Name".
`ScanInput.OptionProfile.ID`	`additional.fields[2].key` `additional.fields[2].value.string_value`	Dipetakan ke `additional.fields` dengan kunci "ScanInput Option Profile ID".
`ScanInput.OptionProfile.Name`	`additional.fields[3].key` `additional.fields[3].value.string_value`	Dipetakan ke `additional.fields` dengan kunci "ScanInput Option Profile Name".
`ScanInput.ScanDatetime`	`metadata.event_timestamp`	Digunakan sebagai stempel waktu peristiwa jika ada. Diuraikan dalam format "ISO8601".
`ScanInput.Title`	`metadata.description`	Dipetakan langsung dari kolom `ScanInput.Title`.
`ScanInput.Username`	`principal.user.userid`	Dipetakan langsung dari kolom `ScanInput.Username`.
`ScanReference`	`additional.fields[4].key` `additional.fields[4].value.string_value`	Dipetakan ke `additional.fields` dengan kunci "ScanReference".
`Statement`	`metadata.description`	Dipetakan langsung dari kolom `Statement` jika `ScanInput.Title` dan `Title` tidak ada.
`Status`	`security_result.detection_fields[0].key` `security_result.detection_fields[0].value`	Dipetakan ke `security_result.detection_fields` dengan kunci "Status".
`SubCategory`	`security_result.description`	Dipetakan langsung dari kolom `SubCategory`.
`Technologies[].ID`	`security_result.detection_fields[0].value`	Dipetakan langsung dari kolom `Technologies[].ID`. Dikonversi ke string. Bagian dari objek `security_result` yang berulang.
`Technologies[].Name`	`security_result.detection_fields[1].value`	Dipetakan langsung dari kolom `Technologies[].Name`. Bagian dari objek `security_result` yang berulang.
`Technologies[].Rationale`	`security_result.detection_fields[2].value`	Dipetakan langsung dari kolom `Technologies[].Rationale`. Bagian dari objek `security_result` yang berulang.
`Title`	`metadata.description`	Dipetakan langsung dari kolom `Title` jika `ScanInput.Title` dan `Statement` tidak ada.
`Type`	`additional.fields[2].key` `additional.fields[2].value.string_value`	Dipetakan ke `additional.fields` dengan kunci "Type".
`UpdateDate`	`metadata.event_timestamp`	Digunakan sebagai stempel waktu peristiwa jika `ScanInput.ScanDatetime` tidak ada. Diuraikan dalam format "ISO8601".
`Userlogin`	`target.user.userid`	Dipetakan langsung dari kolom `Userlogin`. Ditetapkan ke "AUTHTYPE_UNSPECIFIED" jika `Userlogin` ada. Tetapkan ke "GENERIC_EVENT". Diubah menjadi "USER_LOGIN" jika `Userlogin` ada. Diubah menjadi "USER_UNCATEGORIZED" jika `metadata_event_type` adalah "GENERIC_EVENT" dan `ScanInput.Username` ada. Tetapkan ke "QUALYS_SCAN". Tetapkan ke "QUALYS_SCAN". Setel ke "ID" untuk setiap teknologi. Bagian dari objek `security_result` yang berulang. Setel ke "Nama" untuk setiap teknologi. Bagian dari objek `security_result` yang berulang. Setel ke "Alasan" untuk setiap teknologi. Bagian dari objek `security_result` yang berulang.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.