Condividi tramite


Connettore Qualys VM KnowledgeBase (con Funzioni di Azure) per Microsoft Sentinel

Il connettore Qualys Vulnerability Management (VM) KnowledgeBase (KB) offre la possibilità di inserire i dati di vulnerabilità più recenti dalla Knowledge Base Qualys in Microsoft Sentinel.

Questi dati possono essere usati per correlare e arricchire i rilevamenti delle vulnerabilità rilevati dal connettore dati Qualys Vulnerability Management (VM).

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics QualysKB_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

Vulnerabilità per categoria

QualysKB

| summarize count() by Category

Primi 10 fornitori di software

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Prerequisiti

Per eseguire l'integrazione con Qualys VM KnowledgeBase (usando Funzioni di Azure) assicurarsi di avere:

Istruzioni per l’installazione di Vendor

NOTA: per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias QualysVM Knowledgebase e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query, immettere i nomi host dei dispositivi Della Knowledgebase QualysVM e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.

Per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto. Seguire la procedura per usare l'alias della funzione Kusto, QualysKB

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API Qualys

  1. Accedere alla console di gestione delle vulnerabilità Qualys con un account amministratore, selezionare la scheda Utenti e la sottoscheda Utenti...
  2. Fare clic sul menu a discesa Nuovo e selezionare Utenti.
  3. Creare un nome utente e una password per l'account API.
  4. Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e l'accesso sia concesso a GUI e API
  5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
  6. Accedere nuovamente alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso all'interfaccia utente grafica.
  7. Salvare tutte le modifiche.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore Qualys KB, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dai seguenti), nonché il nome utente e la password dell'API Qualys, immediatamente disponibile.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.