Qualys Vulnerability Management -connector (met behulp van Azure Functions) voor Microsoft Sentinel

De Qualys Vulnerability Management -gegevensconnector (VM) biedt de mogelijkheid om detectiegegevens van de host voor beveiligingsproblemen op te nemen in Microsoft Sentinel via de Qualys-API. De connector biedt inzicht in hostdetectiegegevens van vulerabiliteitsscans. Deze connector biedt Microsoft Sentinel de mogelijkheid om dashboards weer te geven, aangepaste waarschuwingen te maken en onderzoek te verbeteren

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Connectorkenmerken

Kenmerk connector	Beschrijving
Toepassingsinstellingen	apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (optioneel)
Code van Azure-functie-app	https://aka.ms/sentinel-QualysVM-functioncodeV2
Log Analytics-tabellen	QualysHostDetectionV2_CL QualysHostDetection_CL
Ondersteuning voor regels voor gegevensverzameling	Wordt momenteel niet ondersteund
Ondersteund door	Microsoft Corporation

Voorbeelden van query's

Top 10 Qualys V2 Vulerabilities gedetecteerd

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

Top 10 vulerabiliteiten gedetecteerd

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Vereisten

Als u wilt integreren met Qualys Vulnerability Management (met behulp van Azure Functions), moet u ervoor zorgen dat u het volgende hebt:

• Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
• Qualys API-sleutel: er is een qualys VM-API-gebruikersnaam en -wachtwoord vereist. Raadpleeg de documentatie voor meer informatie over de Qualys VM-API.

Installatie-instructies van leverancier

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met qualys-VM om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

STAP 1: configuratiestappen voor de Qualys VM-API

1. Meld u aan bij de Qualys Vulnerability Management-console met een beheerdersaccount, selecteer het tabblad Gebruikers en het subtabblad Gebruikers .
2. Klik op de vervolgkeuzelijst Nieuw en selecteer Gebruikers..
3. Maak een gebruikersnaam en wachtwoord voor het API-account.
4. Controleer op het tabblad Gebruikersrollen of de accountrol is ingesteld op Manager en toegang is toegestaan voor GUI en API
5. Meld u af bij het beheerdersaccount en meld u aan bij de console met de nieuwe API-referenties voor validatie en meld u vervolgens af bij het API-account.
6. Meld u opnieuw aan bij de console met behulp van een beheerdersaccount en wijzig de gebruikersrollen van de API-accounts, waarbij de toegang tot de GUI wordt verwijderd.
7. Sla alle wijzigingen op.

STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren

BELANGRIJK: Voordat u de Qualys VM-connector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit het volgende), evenals de Qualys VM-API-autorisatiesleutel(s), direct beschikbaar.

Notitie

Deze connector is bijgewerkt, als u eerder een eerdere versie hebt geïmplementeerd en u wilt bijwerken, verwijdert u de bestaande Qualys VM Azure-functie voordat u deze versie opnieuw implementeert. Gebruik Qualys V2-versie Werkmap, detecties.

Optie 1: ARM-sjabloon (Azure Resource Manager)

Gebruik deze methode voor geautomatiseerde implementatie van de Qualys VM-connector met behulp van een ARM-tempate.

1. Klik op de knop Implementeren in Azure hieronder.

   

2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

3. Voer de werkruimte-id, werkruimtesleutel, API-gebruikersnaam, API-wachtwoord in, werk de URI en eventuele extra URI-filterparameters bij (elk filter moet worden gescheiden door een symbool '&', geen spaties.)

• Voer de URI in die overeenkomt met uw regio. De volledige lijst met API Server-URL's vindt u hier . U hoeft geen tijdachtervoegsel toe te voegen aan de URI. De functie-app voegt de tijdwaarde dynamisch toe aan de URI in de juiste indeling.

• Het standaardtijdinterval is ingesteld om de laatste vijf (5) minuten aan gegevens op te halen. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen (in het function.json-bestand, na de implementatie) om overlappende gegevensopname te voorkomen.

• Opmerking: Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie. 4. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden. 5. Klik op Kopen om te implementeren.

Optie 2: handmatige implementatie van Azure Functions

Gebruik de volgende stapsgewijze instructies om de Kadels VM-connector handmatig te implementeren met Azure Functions.

1. Een functie-app maken

1. Ga in Azure Portal naar de functie-app en selecteer + Toevoegen.
2. Controleer op het tabblad Basisbeginselen of runtimestack is ingesteld op Powershell Core.
3. Controleer op het tabblad Hosting of het abonnementstype Verbruik (serverloos) is geselecteerd.
4. Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik op Maken.

2. Code van functie-app importeren

1. Selecteer in de zojuist gemaakte functie-app functies in het linkerdeelvenster en klik op + Nieuwe functie.
2. Selecteer Timertrigger.
3. Voer een unieke functienaam in en laat het standaard cron-schema van elke 5 minuten staan en klik vervolgens op Maken.
4. Klik op Code + Testen in het linkerdeelvenster.
5. Kopieer de code van de functie-app en plak deze in de functie-app-editorrun.ps1.
6. Klik op Opslaan.

3. De functie-app configureren

1. Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
2. Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.
3. Voeg elk van de volgende acht (8) toepassingsinstellingen afzonderlijk toe, met hun respectieve tekenreekswaarden (hoofdlettergevoelig): apiUsername apiPassword workspaceID workspaceKey URI filterParameters timeInterval logAnalyticsUri (optioneel)

• Voer de URI in die overeenkomt met uw regio. De volledige lijst met API Server-URL's vindt u hier. De uri waarde moet het volgende schema volgen: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- Het is niet nodig om een tijdachtervoegsel toe te voegen aan de URI. De functie-app voegt de tijdwaarde dynamisch toe aan de URI in de juiste indeling.
• Voeg eventuele extra filterparameters toe voor de filterParameters variabele die moeten worden toegevoegd aan de URI. Elke parameter moet worden gescheiden door een '&'-symbool en mag geen spaties bevatten.
• Stel de timeInterval waarde (in minuten) in op de waarde die 5 overeenkomt met de timertrigger van elke 5 minuten. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen om overlappende gegevensopname te voorkomen.
• Opmerking: Als u Azure Key Vault gebruikt, gebruikt u het@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie.
• Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us 4. Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.

4. Configureer de host.json.

Vanwege de potentieel grote hoeveelheid Qualys-hostdetectiegegevens die worden opgenomen, kan dit ertoe leiden dat de uitvoeringstijd de standaard time-out van de functie-app van vijf (5) minuten overschrijdt. Verhoog de standaardtime-outduur tot het maximum van tien (10) minuten, onder het verbruiksabonnement, zodat de functie-app langer kan worden uitgevoerd.

1. Selecteer in de functie-app de naam van de functie-app en selecteer de blade App Service-editor .
2. Klik op Ga om de editor te openen en selecteer vervolgens het host.json bestand onder de map wwwroot .
3. De regel "functionTimeout": "00:10:00", boven de managedDependancy regel toevoegen
4. Zorg ervoor dat OPGESLAGEN wordt weergegeven in de rechterbovenhoek van de editor en sluit de editor af.

OPMERKING: Als een langere time-outduur is vereist, kunt u overwegen om een upgrade uit te voeren naar een App Service-plan

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.