Recopila registros de análisis de Qualys
En este documento, se describe cómo puedes recopilar registros de análisis de Qualys configurando un feed de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador
con la etiqueta de transferencia QUALYS_SCAN.
Crea una cuenta para la importación de datos de análisis de Qualys
- Accede al portal de Qualys.
- En la sección Herramientas de la página Cuenta de administrador de Qualys para clientes, haz clic en Cuentas de usuario.
- Selecciona Nuevo > Usuario.
Ingresa los detalles de contacto o el punto de referencia del cliente. Asegúrate de que los siguientes campos estén asignados a la cuenta de usuario.
- En la lista Rol del usuario, selecciona Lector.
- En el campo Permitir acceso a, selecciona las casillas de verificación GUI y API.
- En la sección Grupos de recursos, asigna todos los grupos de recursos disponibles al usuario.
Selecciona Configuración avanzada.
En la sección Opciones de notificaciones, selecciona Ninguna para las vulnerabilidades y Sin notificaciones para el análisis, el mapa y el informe.
Después de crear un usuario nuevo, actívalo y asegúrate de que el nombre de usuario y la contraseña funcionen.
Configura un feed en Google Security Operations para transferir los registros de análisis de Qualys
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar nueva.
- Ingresa un nombre único para el Nombre del campo.
- Selecciona API de terceros como el Tipo de origen.
- Selecciona Qualys Scan como el Tipo de registro.
- Haz clic en Siguiente.
- Configura los siguientes parámetros de entrada obligatorios:
- Nombre de usuario: Especifica el nombre de usuario que obtuviste anteriormente.
- Secreto: Especifica la contraseña que obtuviste antes.
- Ruta de acceso completa de la API: Especifica la ruta de acceso completa de la API, como
qualysapi.qualys.com. - Tipo de API: Especifica el tipo de API.
- Haz clic en Siguiente y, luego, en Enviar.
Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae datos de eventos de seguridad de los registros JSON de Qualys Scan y los transforma en el modelo de datos unificado (UDM). Controla varios formatos de registro de Qualys Scan, prioriza ScanInput.ScanDatetime, UpdateDate y LaunchDatetime para la extracción de marcas de tiempo y asigna campos relevantes a propiedades de la UDM, incluida la información del usuario, las descripciones, los resultados de seguridad y los metadatos adicionales. El analizador también itera a través de los datos de Technologies, extrae y asigna campos relevantes dentro de cada entrada de tecnología.
Tabla de asignación de la UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| Categoría | metadata.product_log_id |
Se convirtió en una cadena. |
| Categoría | security_result.category_details |
Se asignan directamente. |
| ID | metadata.product_log_id |
Se asignan directamente. |
| LaunchDatetime | metadata.event_timestamp |
Se analiza en la marca de tiempo con el formato "ISO8601". |
| Ref | additional.fields[key="ScanReference"].value.string_value |
Se asigna directamente como valor de cadena dentro de campos adicionales. |
| ScanDetails.Status | security_result.detection_fields[key="ScanDetails Status"].value |
Se asignan directamente. |
| ScanInput.Network.ID | additional.fields[key="ScanInput Network ID"].value.string_value |
Se asigna directamente como valor de cadena dentro de campos adicionales. |
| ScanInput.Network.Name | additional.fields[key="ScanInput Network Name"].value.string_value |
Se asigna directamente como valor de cadena dentro de campos adicionales. |
| ScanInput.OptionProfile.ID | additional.fields[key="ScanInput Option Profile ID"].value.string_value |
Se asigna directamente como valor de cadena dentro de campos adicionales. |
| ScanInput.OptionProfile.Name | additional.fields[key="ScanInput Option Profile Name"].value.string_value |
Se asigna directamente como valor de cadena dentro de campos adicionales. |
| ScanInput.ScanDatetime | metadata.event_timestamp |
Se analiza en la marca de tiempo con el formato "ISO8601". |
| ScanInput.Title | metadata.description |
Se asignan directamente. |
| ScanInput.Username | principal.user.userid |
Se asignan directamente. |
| ScanReference | additional.fields[key="ScanReference"].value.string_value |
Se asigna directamente como valor de cadena dentro de campos adicionales. |
| Declaración | metadata.description |
Se asignan directamente. |
| Estado | security_result.detection_fields[key="Status"].value |
Se asignan directamente. |
| SubCategory | security_result.description |
Se asignan directamente. |
| Technologies.ID | security_result.detection_fields[key="ID"].value |
Se convierte en una cadena y se asigna a cada tecnología. |
| Technologies.Name | security_result.detection_fields[key="Name"].value |
Se asignan a cada tecnología. |
| Technologies.Rationale | security_result.detection_fields[key="Rationale"].value |
Se asignan a cada tecnología. |
| Título | metadata.description |
Se asignan directamente. |
| Tipo | additional.fields[key="Type"].value.string_value |
Se asigna directamente como valor de cadena dentro de campos adicionales. |
| UpdateDate | metadata.event_timestamp |
Se analiza en la marca de tiempo con el formato "ISO8601". |
| Userlogin | target.user.userid |
Se asignan directamente. Se establece en "AUTHTYPE_UNSPECIFIED" cuando Userlogin está presente. Establece el valor en "USER_LOGIN" cuando Userlogin esté presente, en "USER_UNCATEGORIZED" cuando ScanInput.Username esté presente y metadata_event_type sea "GENERIC_EVENT", o el valor de metadata_event_type en caso contrario. Se codifica de forma fija en "QUALYS_SCAN". Se codifica de forma fija en "QUALYS_SCAN". |
Cambios
2023-04-21
- Sin embargo, el analizador se creó recientemente.