Connettore Qualys VM KnowledgeBase (con Funzioni di Azure) per Microsoft Sentinel
Il connettore Qualys Vulnerability Management (VM) KnowledgeBase (KB) offre la possibilità di inserire i dati di vulnerabilità più recenti dalla Knowledge Base Qualys in Microsoft Sentinel.
Questi dati possono essere usati per correlare e arricchire i rilevamenti delle vulnerabilità rilevati dal connettore dati Qualys Vulnerability Management (VM).
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
Attributo connettore | Descrizione |
---|---|
Tabelle Log Analytics | QualysKB_CL |
Supporto regole di raccolta dati | Non è al momento supportato |
Supportata da: | Microsoft Corporation |
Esempi di query
Vulnerabilità per categoria
QualysKB
| summarize count() by Category
Primi 10 fornitori di software
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Prerequisiti
Per eseguire l'integrazione con Qualys VM KnowledgeBase (usando Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- Chiave API Qualys: è necessario un nome utente e una password dell'API della VM Qualys. Vedere la documentazione per altre informazioni sull'API VM Qualys.
Istruzioni per l’installazione di Vendor
NOTA: per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias QualysVM Knowledgebase e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query, immettere i nomi host dei dispositivi Della Knowledgebase QualysVM e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
Per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto. Seguire la procedura per usare l'alias della funzione Kusto, QualysKB
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.
PASSAGGIO 1 - Passaggi di configurazione per l'API Qualys
- Accedere alla console di gestione delle vulnerabilità Qualys con un account amministratore, selezionare la scheda Utenti e la sottoscheda Utenti...
- Fare clic sul menu a discesa Nuovo e selezionare Utenti.
- Creare un nome utente e una password per l'account API.
- Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e l'accesso sia concesso a GUI e API
- Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
- Accedere nuovamente alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso all'interfaccia utente grafica.
- Salvare tutte le modifiche.
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore Qualys KB, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dai seguenti), nonché il nome utente e la password dell'API Qualys, immediatamente disponibile.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.