Qualys VM KnowledgeBase-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De KnowledgeBase-connector (Qualys Vulnerability Management( VM) biedt de mogelijkheid om de meest recente gegevens over beveiligingsproblemen van de Qualys KB op te nemen in Microsoft Sentinel.
Deze gegevens kunnen worden gebruikt om detectie van beveiligingsproblemen te correleren en te verrijken die zijn gevonden door de dataconnector Qualys Vulnerability Management (VM ).
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | QualysKB_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Beveiligingsproblemen per categorie
QualysKB
| summarize count() by Category
Top 10 softwareleveranciers
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Vereisten
Als u wilt integreren met Qualys VM KnowledgeBase (met behulp van Azure Functions), moet u het volgende hebben:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- Qualys API-sleutel: er is een qualys VM-API-gebruikersnaam en -wachtwoord vereist. Raadpleeg de documentatie voor meer informatie over de Qualys VM-API.
Installatie-instructies van leverancier
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht, die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u naar de alias QualysVM Knowledgebase en laadt u de functiecode of klikt u hier. Voer op de tweede regel van de query de hostnaam(s) van uw QualysVM KnowledgeBase-apparaat(en) en eventuele andere unieke id's voor de logstream in. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht. Volg de stappen voor het gebruik van de Kusto-functiealias, QualysKB
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
STAP 1: configuratiestappen voor de Qualys-API
- Meld u aan bij de Qualys Vulnerability Management-console met een beheerdersaccount, selecteer het tabblad Gebruikers en het subtabblad Gebruikers .
- Klik op de vervolgkeuzelijst Nieuw en selecteer Gebruikers.
- Maak een gebruikersnaam en wachtwoord voor het API-account.
- Controleer op het tabblad Gebruikersrollen of de accountrol is ingesteld op Manager en toegang is toegestaan voor GUI en API
- Meld u af bij het beheerdersaccount en meld u aan bij de console met de nieuwe API-referenties voor validatie en meld u vervolgens af bij het API-account.
- Meld u opnieuw aan bij de console met behulp van een beheerdersaccount en wijzig de gebruikersrollen van de API-accounts, waarbij de toegang tot de GUI wordt verwijderd.
- Sla alle wijzigingen op.
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Qualys KB-connector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit het volgende), evenals de qualys-API-gebruikersnaam en -wachtwoord, die direct beschikbaar zijn.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.