›

Qualys 漏洞管理、检测和响应 (VMDR)

版本	5.7.0 (查看全部)
兼容的 Kibana 版本	8.13.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

此 Qualys VMDR 集成是一项基于云的服务，可让您立即、全面地了解您的 IT 系统在哪些方面可能容易受到最新的互联网威胁攻击，以及如何保护它们。它可以帮助您持续识别威胁并监控网络中意想不到的变化，防止它们演变成漏洞。

Qualys VMDR 集成使用 REST API 模式来收集数据。Elastic Agent 通过 API 端点获取数据。

兼容性

编辑

此模块已针对最新的 Qualys VMDR 版本 v2 进行了测试。

数据流

编辑

Qualys VMDR 集成收集以下两个事件的数据

事件类型
资产主机检测
知识库
用户活动日志

Qualys VMDR 的 Rest API 参考。

要求

编辑

必须安装 Elastic Agent。
每个主机只能安装一个 Elastic Agent。
需要 Elastic Agent 通过 REST API 流式传输数据并将数据发送到 Elastic，然后事件将通过集成的摄取管道进行处理。

安装和管理 Elastic Agent

编辑

您有几种安装和管理 Elastic Agent 的选项

安装 Fleet 管理的 Elastic Agent（推荐）

编辑

使用此方法，您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理，因为它使您的代理的管理和升级变得容易得多。

在独立模式下安装 Elastic Agent（高级用户）

编辑

使用此方法，您可以安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。

在容器化环境中安装 Elastic Agent

编辑

您可以在容器内运行 Elastic Agent，无论是使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 映像都可从 Elastic Docker 注册表获得，并且我们为在 Kubernetes 上运行提供部署清单。

运行 Elastic Agent 有一些最低要求，有关更多信息，请参阅此处的链接。

权限

编辑

资产主机检测

编辑

角色	权限
管理员	订阅中所有 VM 扫描的主机
单元管理员	用户业务单元中的 VM 扫描主机
扫描仪	用户帐户中的 VM 扫描主机
读取器	用户帐户中的 VM 扫描主机

知识库

编辑

管理员、单元管理员、扫描仪、读取器 有权从知识库下载漏洞数据。

用户活动日志

编辑

角色	权限
管理员	所有用户执行的所有操作
单元管理员	其业务单元中的用户执行的操作
扫描仪	仅限自己的操作
读取器	仅限自己的操作

设置

编辑

要通过 REST API 收集数据，请按照以下步骤操作

编辑

考虑到您已经拥有 Qualys 用户帐户，要识别您的 Qualys 平台并获取 API URL，请参阅此链接。
获取 API URL 的另一种方法是登录到您的 Qualys 帐户并转到帮助 > 关于。您可以在安全运营中心 (SOC) 下找到您的 URL。

在 Elastic 中启用集成

编辑

在 Kibana 中，转到管理 > 集成
在“搜索集成”搜索栏中，键入 Qualys VMDR
从搜索结果中单击“Qualys VMDR”集成。
单击“添加 Qualys VMDR 集成”按钮以添加集成。
在添加集成时，如果要通过 REST API 收集资产主机检测数据，则必须输入以下详细信息
- 用户名
- 密码
- URL
- 间隔
- 输入参数
- 批处理大小
  
  或者，如果要通过 REST API 收集知识库数据，则必须输入以下详细信息
- 用户名
- 密码
- URL
- 初始间隔
- 间隔
- 输入参数
  
  或者，如果要通过 REST API 收集用户活动日志数据，则必须输入以下详细信息
- 用户名
- 密码
- URL
- 初始间隔
- 间隔

默认情况下，输入参数设置为“action=list”。

数据参考

编辑

资产主机检测

编辑

这是 资产主机检测 数据集。

示例

asset_host_detection 的示例事件如下

{
    "@timestamp": "2024-12-05T11:02:04.225Z",
    "agent": {
        "ephemeral_id": "9c04104d-1da0-4c98-b133-0aedefdc2680",
        "id": "dccf1148-df50-4c35-a3d7-633418e936ff",
        "name": "elastic-agent-88337",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "qualys_vmdr.asset_host_detection",
        "namespace": "85068",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "dccf1148-df50-4c35-a3d7-633418e936ff",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "host"
        ],
        "dataset": "qualys_vmdr.asset_host_detection",
        "ingested": "2024-12-05T11:02:07Z",
        "kind": "alert",
        "original": "{\"DETECTION_LIST\":{\"AFFECT_RUNNING_KERNEL\":\"0\",\"FIRST_FOUND_DATETIME\":\"2021-02-05T04:50:45Z\",\"IS_DISABLED\":\"0\",\"IS_IGNORED\":\"0\",\"LAST_FIXED_DATETIME\":\"2022-12-14T06:52:57Z\",\"LAST_FOUND_DATETIME\":\"2024-03-08T20:15:41Z\",\"LAST_PROCESSED_DATETIME\":\"2024-03-08T20:15:41Z\",\"LAST_TEST_DATETIME\":\"2024-03-08T20:15:41Z\",\"LAST_UPDATE_DATETIME\":\"2024-03-08T20:15:41Z\",\"QDS\":{\"#text\":\"35\",\"severity\":\"LOW\"},\"QDS_FACTORS\":{\"QDS_FACTOR\":[{\"#text\":\"7.7\",\"name\":\"CVSS\"},{\"#text\":\"v3.x\",\"name\":\"CVSS_version\"},{\"#text\":\"0.00232\",\"name\":\"epss\"},{\"#text\":\"AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H\",\"name\":\"CVSS_vector\"}]},\"QID\":\"197595\",\"RESULTS\":\"Package Installed Version Required Version\\nlinux-cloud-tools-4.4.0 1074-aws_4.4.0-1074.84  1092\\nlinux-aws-tools-4.4.0 1074_4.4.0-1074.84  1092\\nlinux-aws-headers-4.4.0 1074_4.15.0-1126.135  1092\\nlinux-tools-4.4.0 1074-aws_4.4.0-1074.84  1092\\nlinux-aws-cloud-tools-4.4.0 1074_4.4.0-1074.84  1092\",\"SEVERITY\":\"3\",\"SSL\":\"0\",\"STATUS\":\"Active\",\"TIMES_FOUND\":\"5393\",\"TYPE\":\"Confirmed\",\"UNIQUE_VULN_ID\":\"5555555555\"},\"DNS\":\"\",\"DNS_DATA\":{\"DOMAIN\":\"\",\"FQDN\":\"\",\"HOSTNAME\":\"\"},\"ID\":\"12048633\",\"IP\":\"10.50.2.111\",\"LAST_PC_SCANNED_DATE\":\"2023-06-28T09:58:12Z\",\"LAST_SCAN_DATETIME\":\"2023-07-03T06:25:17Z\",\"LAST_VM_SCANNED_DATE\":\"2023-07-03T06:23:47Z\",\"LAST_VM_SCANNED_DURATION\":\"1113\",\"NETBIOS\":\"\",\"OS\":\"\",\"TRACKING_METHOD\":\"IP\"}",
        "type": [
            "info"
        ]
    },
    "host": {
        "id": "12048633",
        "ip": [
            "10.50.2.111"
        ]
    },
    "input": {
        "type": "cel"
    },
    "qualys_vmdr": {
        "asset_host_detection": {
            "id": "12048633",
            "ip": "10.50.2.111",
            "last_pc_scanned_date": "2023-06-28T09:58:12.000Z",
            "last_scan_datetime": "2023-07-03T06:25:17.000Z",
            "last_vm_scanned_date": "2023-07-03T06:23:47.000Z",
            "last_vm_scanned_duration": 1113,
            "tracking_method": "IP",
            "vulnerability": {
                "affect_running_kernel": "0",
                "first_found_datetime": "2021-02-05T04:50:45.000Z",
                "is_disabled": false,
                "is_ignored": false,
                "last_fixed_datetime": "2022-12-14T06:52:57.000Z",
                "last_found_datetime": "2024-03-08T20:15:41.000Z",
                "last_processed_datetime": "2024-03-08T20:15:41.000Z",
                "last_test_datetime": "2024-03-08T20:15:41.000Z",
                "last_update_datetime": "2024-03-08T20:15:41.000Z",
                "qds": {
                    "score": 35,
                    "severity": "LOW"
                },
                "qds_factors": [
                    {
                        "name": "CVSS",
                        "text": "7.7"
                    },
                    {
                        "name": "CVSS_version",
                        "text": "v3.x"
                    },
                    {
                        "name": "epss",
                        "text": "0.00232"
                    },
                    {
                        "name": "CVSS_vector",
                        "text": "AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H"
                    }
                ],
                "qid": 197595,
                "results": "Package Installed Version Required Version\nlinux-cloud-tools-4.4.0 1074-aws_4.4.0-1074.84  1092\nlinux-aws-tools-4.4.0 1074_4.4.0-1074.84  1092\nlinux-aws-headers-4.4.0 1074_4.15.0-1126.135  1092\nlinux-tools-4.4.0 1074-aws_4.4.0-1074.84  1092\nlinux-aws-cloud-tools-4.4.0 1074_4.4.0-1074.84  1092",
                "severity": 3,
                "ssl": "0",
                "status": "Active",
                "times_found": 5393,
                "type": "Confirmed",
                "unique_vuln_id": "5555555555"
            }
        }
    },
    "related": {
        "hosts": [
            "12048633"
        ],
        "ip": [
            "10.50.2.111"
        ]
    },
    "tags": [
        "preserve_original_event",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "qualys_vmdr-asset_host_detection",
        "provider_cloud_data"
    ],
    "vulnerability": {
        "classification": "CVSS",
        "scanner": {
            "vendor": "Qualys"
        },
        "score": {
            "base": 7.7
        },
        "severity": "high"
    }
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
event.dataset	事件数据集。	constant_keyword
event.module	事件模块。	constant_keyword
input.type	filebeat 输入的类型。	keyword
log.offset	日志偏移量。	long
qualys_vmdr.asset_host_detection.asset_id		long
qualys_vmdr.asset_host_detection.cloud_provider		keyword
qualys_vmdr.asset_host_detection.cloud_provider_tags.cloud_tag.last_success_date		日期
qualys_vmdr.asset_host_detection.cloud_provider_tags.cloud_tag.name		keyword
qualys_vmdr.asset_host_detection.cloud_provider_tags.cloud_tag.value		keyword
qualys_vmdr.asset_host_detection.cloud_resource_id		keyword
qualys_vmdr.asset_host_detection.cloud_service		keyword
qualys_vmdr.asset_host_detection.dns		keyword
qualys_vmdr.asset_host_detection.dns_data.domain		keyword
qualys_vmdr.asset_host_detection.dns_data.fqdn		keyword
qualys_vmdr.asset_host_detection.dns_data.hostname		keyword
qualys_vmdr.asset_host_detection.ec2_instance_id		keyword
qualys_vmdr.asset_host_detection.id		keyword
qualys_vmdr.asset_host_detection.ip		ip
qualys_vmdr.asset_host_detection.ipv6		ip
qualys_vmdr.asset_host_detection.last_pc_scanned_date		日期
qualys_vmdr.asset_host_detection.last_scan_datetime		日期
qualys_vmdr.asset_host_detection.last_vm_auth_scanned_date		日期
qualys_vmdr.asset_host_detection.last_vm_auth_scanned_duration		long
qualys_vmdr.asset_host_detection.last_vm_scanned_date		日期
qualys_vmdr.asset_host_detection.last_vm_scanned_duration		long
qualys_vmdr.asset_host_detection.metadata.azure.attribute.last.error.date		日期
qualys_vmdr.asset_host_detection.metadata.azure.attribute.last.error.value		keyword
qualys_vmdr.asset_host_detection.metadata.azure.attribute.last.status		keyword
qualys_vmdr.asset_host_detection.metadata.azure.attribute.last.success_date		日期
qualys_vmdr.asset_host_detection.metadata.azure.attribute.name		keyword
qualys_vmdr.asset_host_detection.metadata.azure.attribute.value		keyword
qualys_vmdr.asset_host_detection.metadata.ec2.attribute.last.error.date		日期
qualys_vmdr.asset_host_detection.metadata.ec2.attribute.last.error.value		keyword
qualys_vmdr.asset_host_detection.metadata.ec2.attribute.last.status		keyword
qualys_vmdr.asset_host_detection.metadata.ec2.attribute.last.success_date		日期
qualys_vmdr.asset_host_detection.metadata.ec2.attribute.name		keyword
qualys_vmdr.asset_host_detection.metadata.ec2.attribute.value		keyword
qualys_vmdr.asset_host_detection.metadata.google.attribute.last.error.date		日期
qualys_vmdr.asset_host_detection.metadata.google.attribute.last.error.value		keyword
qualys_vmdr.asset_host_detection.metadata.google.attribute.last.status		keyword
qualys_vmdr.asset_host_detection.metadata.google.attribute.last.success_date		日期
qualys_vmdr.asset_host_detection.metadata.google.attribute.name		keyword
qualys_vmdr.asset_host_detection.metadata.google.attribute.value		keyword
qualys_vmdr.asset_host_detection.netbios		keyword
qualys_vmdr.asset_host_detection.network_id		keyword
qualys_vmdr.asset_host_detection.os		keyword
qualys_vmdr.asset_host_detection.os_cpe		keyword
qualys_vmdr.asset_host_detection.qg_hostid		keyword
qualys_vmdr.asset_host_detection.tags.background_color		keyword
qualys_vmdr.asset_host_detection.tags.color		keyword
qualys_vmdr.asset_host_detection.tags.id		keyword
qualys_vmdr.asset_host_detection.tags.name		keyword
qualys_vmdr.asset_host_detection.tracking_method		keyword
qualys_vmdr.asset_host_detection.vulnerability.affect_exploitable_config		keyword
qualys_vmdr.asset_host_detection.vulnerability.affect_running_kernel		keyword
qualys_vmdr.asset_host_detection.vulnerability.affect_running_service		keyword
qualys_vmdr.asset_host_detection.vulnerability.asset_cve		keyword
qualys_vmdr.asset_host_detection.vulnerability.first_found_datetime		日期
qualys_vmdr.asset_host_detection.vulnerability.first_reopened_datetime		日期
qualys_vmdr.asset_host_detection.vulnerability.fqdn		keyword
qualys_vmdr.asset_host_detection.vulnerability.instance		keyword
qualys_vmdr.asset_host_detection.vulnerability.is_disabled		布尔值
qualys_vmdr.asset_host_detection.vulnerability.is_ignored		布尔值
qualys_vmdr.asset_host_detection.vulnerability.last_fixed_datetime		日期
qualys_vmdr.asset_host_detection.vulnerability.last_found_datetime		日期
qualys_vmdr.asset_host_detection.vulnerability.last_processed_datetime		日期
qualys_vmdr.asset_host_detection.vulnerability.last_reopened_datetime		日期
qualys_vmdr.asset_host_detection.vulnerability.last_test_datetime		日期
qualys_vmdr.asset_host_detection.vulnerability.last_update_datetime		日期
qualys_vmdr.asset_host_detection.vulnerability.port		long
qualys_vmdr.asset_host_detection.vulnerability.protocol		keyword
qualys_vmdr.asset_host_detection.vulnerability.qds.score		整数
qualys_vmdr.asset_host_detection.vulnerability.qds.severity		keyword
qualys_vmdr.asset_host_detection.vulnerability.qds_factors.name		keyword
qualys_vmdr.asset_host_detection.vulnerability.qds_factors.text		keyword
qualys_vmdr.asset_host_detection.vulnerability.qid		整数
qualys_vmdr.asset_host_detection.vulnerability.results		keyword
qualys_vmdr.asset_host_detection.vulnerability.service		keyword
qualys_vmdr.asset_host_detection.vulnerability.severity		long
qualys_vmdr.asset_host_detection.vulnerability.ssl		keyword
qualys_vmdr.asset_host_detection.vulnerability.status		keyword
qualys_vmdr.asset_host_detection.vulnerability.times_found		long
qualys_vmdr.asset_host_detection.vulnerability.times_reopened		long
qualys_vmdr.asset_host_detection.vulnerability.type		keyword
qualys_vmdr.asset_host_detection.vulnerability.unique_vuln_id		keyword

知识库

编辑

这是 知识库 数据集。

示例

knowledge_base 的示例事件如下

{
    "@timestamp": "2023-06-29T12:20:46.000Z",
    "agent": {
        "ephemeral_id": "4e6d92f6-8a28-471c-a03f-8c2685171b7b",
        "id": "dc86e78e-6670-441f-acdd-99309474050f",
        "name": "elastic-agent-65730",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "qualys_vmdr.knowledge_base",
        "namespace": "47901",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "dc86e78e-6670-441f-acdd-99309474050f",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "vulnerability"
        ],
        "dataset": "qualys_vmdr.knowledge_base",
        "id": "11830",
        "ingested": "2024-09-25T21:49:31Z",
        "kind": "alert",
        "original": "{\"CATEGORY\":\"CGI\",\"CONSEQUENCE\":\"\",\"CVE_LIST\":[\"CVE-2022-31629\",\"CVE-2022-31628\"],\"DIAGNOSIS\":\"\",\"DISCOVERY\":{\"REMOTE\":\"1\"},\"LAST_SERVICE_MODIFICATION_DATETIME\":\"2023-06-29T12:20:46Z\",\"PATCHABLE\":\"0\",\"PCI_FLAG\":\"1\",\"PUBLISHED_DATETIME\":\"2017-06-05T21:34:49Z\",\"QID\":\"11830\",\"SEVERITY_LEVEL\":\"2\",\"SOFTWARE_LIST\":{\"SOFTWARE\":[{\"PRODUCT\":\"\",\"VENDOR\":\"\"}]},\"SOLUTION\":\"\",\"THREAT_INTELLIGENCE\":{\"THREAT_INTEL\":[{\"id\":\"8\"}]},\"TITLE\":\"\",\"VULN_TYPE\":\"Vulnerability\"}",
        "type": [
            "info"
        ]
    },
    "input": {
        "type": "cel"
    },
    "qualys_vmdr": {
        "knowledge_base": {
            "category": "CGI",
            "cve_list": [
                "CVE-2022-31629",
                "CVE-2022-31628"
            ],
            "discovery": {
                "remote": 1
            },
            "last": {
                "service_modification_datetime": "2023-06-29T12:20:46.000Z"
            },
            "patchable": false,
            "pci_flag": true,
            "published_datetime": "2017-06-05T21:34:49.000Z",
            "qid": "11830",
            "severity_level": "2",
            "threat_intelligence": {
                "intel": [
                    {
                        "id": "8"
                    }
                ]
            },
            "vuln_type": "Vulnerability"
        }
    },
    "tags": [
        "preserve_original_event",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "qualys_vmdr-knowledge_base"
    ],
    "vulnerability": {
        "category": [
            "CGI"
        ],
        "id": [
            "CVE-2022-31629",
            "CVE-2022-31628"
        ],
        "severity": "Medium"
    }
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
event.dataset	事件数据集。	constant_keyword
event.module	事件模块。	constant_keyword
input.type	filebeat 输入的类型。	keyword
log.offset	日志偏移量。	long
qualys_vmdr.knowledge_base.automatic_pci_fail		keyword
qualys_vmdr.knowledge_base.bugtraq_list.id		keyword
qualys_vmdr.knowledge_base.bugtraq_list.url		keyword
qualys_vmdr.knowledge_base.category		keyword
qualys_vmdr.knowledge_base.changelog_list.info.change_date		日期
qualys_vmdr.knowledge_base.changelog_list.info.comments		keyword
qualys_vmdr.knowledge_base.compliance_list.description		keyword
qualys_vmdr.knowledge_base.compliance_list.section		keyword
qualys_vmdr.knowledge_base.compliance_list.type		keyword
qualys_vmdr.knowledge_base.consequence.comment		keyword
qualys_vmdr.knowledge_base.consequence.value		keyword
qualys_vmdr.knowledge_base.correlation.exploits.explt_src.list.explt.desc		keyword
qualys_vmdr.knowledge_base.correlation.exploits.explt_src.list.explt.link		keyword
qualys_vmdr.knowledge_base.correlation.exploits.explt_src.list.explt.ref		keyword
qualys_vmdr.knowledge_base.correlation.exploits.explt_src.name		keyword
qualys_vmdr.knowledge_base.correlation.malware.src.list.info.alias		keyword
qualys_vmdr.knowledge_base.correlation.malware.src.list.info.id		keyword
qualys_vmdr.knowledge_base.correlation.malware.src.list.info.link		keyword
qualys_vmdr.knowledge_base.correlation.malware.src.list.info.platform		keyword
qualys_vmdr.knowledge_base.correlation.malware.src.list.info.rating		keyword
qualys_vmdr.knowledge_base.correlation.malware.src.list.info.type		keyword
qualys_vmdr.knowledge_base.correlation.malware.src.name		keyword
qualys_vmdr.knowledge_base.cve_list		keyword
qualys_vmdr.knowledge_base.cvss.access.complexity		keyword
qualys_vmdr.knowledge_base.cvss.access.vector		keyword
qualys_vmdr.knowledge_base.cvss.authentication		keyword
qualys_vmdr.knowledge_base.cvss.base		keyword
qualys_vmdr.knowledge_base.cvss.base_obj		已展平
qualys_vmdr.knowledge_base.cvss.exploitability		keyword
qualys_vmdr.knowledge_base.cvss.impact.availability		keyword
qualys_vmdr.knowledge_base.cvss.impact.confidentiality		keyword
qualys_vmdr.knowledge_base.cvss.impact.integrity		keyword
qualys_vmdr.knowledge_base.cvss.remediation_level		keyword
qualys_vmdr.knowledge_base.cvss.report_confidence		keyword
qualys_vmdr.knowledge_base.cvss.temporal		keyword
qualys_vmdr.knowledge_base.cvss.vector_string		keyword
qualys_vmdr.knowledge_base.cvss_v3.attack.complexity		keyword
qualys_vmdr.knowledge_base.cvss_v3.attack.vector		keyword
qualys_vmdr.knowledge_base.cvss_v3.base		keyword
qualys_vmdr.knowledge_base.cvss_v3.exploit_code_maturity		keyword
qualys_vmdr.knowledge_base.cvss_v3.impact.availability		keyword
qualys_vmdr.knowledge_base.cvss_v3.impact.confidentiality		keyword
qualys_vmdr.knowledge_base.cvss_v3.impact.integrity		keyword
qualys_vmdr.knowledge_base.cvss_v3.privileges_required		keyword
qualys_vmdr.knowledge_base.cvss_v3.remediation_level		keyword
qualys_vmdr.knowledge_base.cvss_v3.report_confidence		keyword
qualys_vmdr.knowledge_base.cvss_v3.scope		keyword
qualys_vmdr.knowledge_base.cvss_v3.temporal		keyword
qualys_vmdr.knowledge_base.cvss_v3.user_interaction		keyword
qualys_vmdr.knowledge_base.cvss_v3.vector_string		keyword
qualys_vmdr.knowledge_base.cvss_v3.version		keyword
qualys_vmdr.knowledge_base.detection_info		keyword
qualys_vmdr.knowledge_base.diagnosis.comment		仅匹配文本
qualys_vmdr.knowledge_base.diagnosis.value		仅匹配文本
qualys_vmdr.knowledge_base.discovery.additional_info		keyword
qualys_vmdr.knowledge_base.discovery.auth_type_list.value		keyword
qualys_vmdr.knowledge_base.discovery.remote		long
qualys_vmdr.knowledge_base.error		keyword
qualys_vmdr.knowledge_base.id_range		keyword
qualys_vmdr.knowledge_base.ids		keyword
qualys_vmdr.knowledge_base.is_disabled		布尔值
qualys_vmdr.knowledge_base.last.customization.datetime		日期
qualys_vmdr.knowledge_base.last.customization.user_login		keyword
qualys_vmdr.knowledge_base.last.service_modification_datetime		日期
qualys_vmdr.knowledge_base.patchable		布尔值
qualys_vmdr.knowledge_base.pci_flag		布尔值
qualys_vmdr.knowledge_base.pci_reasons.value		keyword
qualys_vmdr.knowledge_base.published_datetime		日期
qualys_vmdr.knowledge_base.qid		keyword
qualys_vmdr.knowledge_base.severity_level		keyword
qualys_vmdr.knowledge_base.software_list.product		keyword
qualys_vmdr.knowledge_base.software_list.vendor		keyword
qualys_vmdr.knowledge_base.solution.comment		仅匹配文本
qualys_vmdr.knowledge_base.solution.value		仅匹配文本
qualys_vmdr.knowledge_base.supported_modules		keyword
qualys_vmdr.knowledge_base.threat_intelligence.intel.id		keyword
qualys_vmdr.knowledge_base.threat_intelligence.intel.text		keyword
qualys_vmdr.knowledge_base.title		keyword
qualys_vmdr.knowledge_base.vendor_reference_list.id		keyword
qualys_vmdr.knowledge_base.vendor_reference_list.url		keyword
qualys_vmdr.knowledge_base.vuln_type		keyword

用户活动

编辑

这是 User Activity 数据集。它连接到一个API，该 API 导出用户活动日志。

示例

user_activity 的示例事件如下所示

{
    "@timestamp": "2024-01-18T12:45:24.000Z",
    "agent": {
        "ephemeral_id": "8541dd66-de0a-4e54-a66e-3f9dc02867df",
        "id": "3acf31e6-1468-482c-b38b-d3b7397270dd",
        "name": "elastic-agent-32349",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "qualys_vmdr.user_activity",
        "namespace": "28709",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "3acf31e6-1468-482c-b38b-d3b7397270dd",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "action": "request",
        "agent_id_status": "verified",
        "category": [
            "api"
        ],
        "dataset": "qualys_vmdr.user_activity",
        "ingested": "2024-09-25T21:52:05Z",
        "kind": "event",
        "original": "{\"Action\":\"request\",\"Date\":\"2024-01-18T12:45:24Z\",\"Details\":\"API: /api/2.0/fo/activity_log/index.php\",\"Module\":\"auth\",\"User IP\":\"10.113.195.136\",\"User Name\":\"john\",\"User Role\":\"Reader\"}",
        "provider": "auth",
        "type": [
            "info"
        ]
    },
    "input": {
        "type": "cel"
    },
    "message": "API: /api/2.0/fo/activity_log/index.php",
    "qualys_vmdr": {
        "user_activity": {
            "Action": "request",
            "Date": "2024-01-18T12:45:24Z",
            "Details": "API: /api/2.0/fo/activity_log/index.php",
            "Module": "auth",
            "User_IP": "10.113.195.136",
            "User_Name": "john",
            "User_Role": "Reader"
        }
    },
    "related": {
        "ip": [
            "10.113.195.136"
        ],
        "user": [
            "john"
        ]
    },
    "source": {
        "ip": "10.113.195.136"
    },
    "tags": [
        "preserve_duplicate_custom_fields",
        "preserve_original_event",
        "forwarded",
        "qualys_vmdr-user_activity"
    ],
    "user": {
        "name": "john",
        "roles": [
            "Reader"
        ]
    }
}

导出的字段

字段	描述	类型
@timestamp	事件的起始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。	日期
data_stream.dataset	该字段可以包含任何用于表示数据源的内容。示例包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他方面适合但不设置数据集的数据流，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 具有相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：* 不得包含 `-` * 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以这种方式组织他们的索引，数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 `default` 填充此字段。如果未使用值，则会回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：* 不得包含 `-` * 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
event.dataset	数据集的名称。如果事件源发布多种类型的日志或事件（例如访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议（但不是必须）以模块名称开头，后跟一个点，然后是数据集名称。	constant_keyword
event.module	此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源的事件（例如 Apache 日志），则 `event.module` 应包含此模块的名称。	constant_keyword
input.type	filebeat 输入的类型。	keyword
qualys_vmdr.user_activity.Action		keyword
qualys_vmdr.user_activity.Date		日期
qualys_vmdr.user_activity.Details		keyword
qualys_vmdr.user_activity.Module		keyword
qualys_vmdr.user_activity.User_IP		keyword
qualys_vmdr.user_activity.User_Name		keyword
qualys_vmdr.user_activity.User_Role		keyword

变更日志

编辑

变更日志

版本	详情	Kibana 版本
5.7.0	增强 (查看拉取请求) 不要在主摄取管道中删除 `event.original`。	8.13.0 或更高版本
5.6.1	Bug 修复 (查看拉取请求) 处理 Qualys asset_host_detection 中的空 XML 响应。	8.13.0 或更高版本
5.6.0	增强 (查看拉取请求) 为 `event.kind` 设置为 "pipeline_error" 的文档添加 "preserve_original_event" 标签。	8.13.0 或更高版本
5.5.0	增强 (查看拉取请求) 捕获带有 decode_xml 的错误。	8.13.0 或更高版本
5.4.0	增强 (查看拉取请求) 截断非常长的字段值。	8.13.0 或更高版本
5.3.0	增强 (查看拉取请求) 记录每个 API 所需的用户角色权限。 Bug 修复 (查看拉取请求) 清除资产主机检测中的重复处理器。 Bug 修复 (查看拉取请求) 从 README 中删除过时的 kibana.version 要求	8.13.0 或更高版本
5.2.2	Bug 修复 (查看拉取请求) 在 knowledge_base 数据流中将 _LIST 字段处理为数组。	8.13.0 或更高版本
5.2.1	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时使用三重大括号 Mustache 模板。	8.13.0 或更高版本
5.2.0	增强 (查看拉取请求) 将 asset_host_detection 和 knowledge_base 的 event.original 保留为 JSON。	8.13.0 或更高版本
5.1.0	增强 (查看拉取请求) 根据字段 `qualys_vmdr.asset_host_detection.vulnerability.qds_factors` 下的 CVSS 项设置 `vulnerability.score.base` 字段增强 (查看拉取请求) 将 `vulnerability.classification` 字段设置为 CVSS 增强 (查看拉取请求) 根据 `vulnerability.score.base` 设置 `vulnerability.severity` 字段增强 (查看拉取请求) 将 `vulnerability.scanner.vendor` 字段设置为 Qualys 增强 (查看拉取请求) 根据字段 `qualys_vmdr.asset_host_detection.vulnerability.qds_factors` 下的 CVSS_vector 项设置 `vulnerability.score.version` 字段	8.13.0 或更高版本
5.0.0	增强 (查看拉取请求) 重命名字段以匹配 Qualys 名称。增强 (查看拉取请求) 将数字字段转换为 long/integer。增强 (查看拉取请求) 将 `cloud.provider` 字段转换为小写。	8.13.0 或更高版本
4.3.0	增强 (查看拉取请求) 允许用户配置云元数据收集。	8.13.0 或更高版本
4.2.2	Bug 修复 (查看拉取请求) 确保 last_modified_after 查询参数的格式正确。	8.13.0 或更高版本
4.2.1	Bug 修复 (查看拉取请求) 修复 CEL 对 knowledge_base 中未设置的 state.params 的访问。	8.13.0 或更高版本
4.2.0	增强 (查看拉取请求) 将云提供商元数据映射到云字段。	8.13.0 或更高版本
4.1.1	Bug 修复 (查看拉取请求) 修复对 activity_log API 响应主体的处理。	8.13.0 或更高版本
4.1.0	增强 (查看拉取请求) 在处理响应之前检查 HTTP 状态代码。	8.13.0 或更高版本
4.0.1	Bug 修复 (查看拉取请求) 降低 knowledge base 中缺少响应 ID 的文档的错误严重性。	8.13.0 或更高版本
4.0.0	增强 (查看拉取请求) 使用与 Qualys 名称匹配的字段名称。	8.13.0 或更高版本
3.4.0	增强 (查看拉取请求) 改进 API 请求失败的错误报告。	8.13.0 或更高版本
3.3.0	增强 (查看拉取请求) 移除了 import_mappings。更新 kibana 约束为 ^8.13.0。修改了字段定义，以移除 ecs@mappings 组件模板中多余的 ECS 字段。	8.13.0 或更高版本
3.2.2	缺陷修复 (查看拉取请求) 修复日期格式以匹配用户活动 API 的行为。	8.12.0 或更高版本
3.2.1	缺陷修复 (查看拉取请求) 默认禁用新的用户活动数据流。添加一个切换开关，以将原始事件保留到用户活动数据流中。格式化 since_datetime 查询参数。	8.12.0 或更高版本
3.2.0	增强 (查看拉取请求) 添加用于收集用户活动日志的新数据流。	8.12.0 或更高版本
3.1.0	增强 (查看拉取请求) 允许保留原始事件。	8.12.0 或更高版本
3.0.0	增强 (查看拉取请求) 展开文档以映射每个漏洞的 CVS。	8.12.0 或更高版本
2.1.0	增强 (查看拉取请求) 增加请求超时默认值，并记录超时时长警告。	8.12.0 或更高版本
2.0.0	增强 (查看拉取请求) 展开文档以映射每个主机的每个漏洞。	8.12.0 或更高版本
1.1.0	增强 (查看拉取请求) 将敏感值设置为密钥。	8.12.0 或更高版本
1.0.1	增强 (查看拉取请求) 更改了所有者	8.9.0 或更高版本
1.0.0	增强 (查看拉取请求) 将软件包作为 GA 版本发布。	8.9.0 或更高版本
0.8.1	缺陷修复 (查看拉取请求) 修复漏洞类型和严重性的映射。	—
0.8.0	增强 (查看拉取请求) 将请求跟踪器日志计数限制为 5。	—
0.7.0	增强 (查看拉取请求) ECS 版本更新至 8.11.0。	—
0.6.0	增强 (查看拉取请求) 向集成添加请求跟踪器日志记录。	—
0.5.1	缺陷修复 (查看拉取请求) 处理知识库数据流的无效输入参数。	—
0.5.0	增强 (查看拉取请求) ECS 版本更新至 8.10.0。	—
0.4.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点状 YAML 键。在软件包清单中添加了 owner.type: elastic。	—
0.3.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便集成的仪表板和已保存的搜索标记为“安全解决方案”，并在安全解决方案 UI 中显示。	—
0.2.0	缺陷修复 (查看拉取请求) 更新知识库数据流的数据收集，以处理不同的日志格式。	—
0.1.0	增强 (查看拉取请求) 初始版本。	—

« Pulse Connect Secure 集成 QNAP NAS »