Udostępnij za pośrednictwem


Łącznik qualys Vulnerability Management (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik danych rozwiązania Qualys Vulnerability Management (VM) zapewnia możliwość pozyskiwania danych wykrywania luk w zabezpieczeniach w usłudze Microsoft Sentinel za pośrednictwem interfejsu API Qualys. Łącznik zapewnia wgląd w dane wykrywania hostów ze skanowania luk w zabezpieczeniach. Ten łącznik zapewnia usłudze Microsoft Sentinel możliwość wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badania

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Ustawienia aplikacji apiUsername
apiPassword
identyfikator obszaru roboczego
workspaceKey
uri
filterParameters
timeInterval
logAnalyticsUri (opcjonalnie)
Kod aplikacji funkcji platformy Azure https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabele usługi Log Analytics QualysHostDetectionV2_CL
QualysHostDetection_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Wykryto 10 najważniejszych luk w zabezpieczeniach qualys v2

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

Wykryto 10 najważniejszych luk w zabezpieczeniach

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Wymagania wstępne

Aby zintegrować z rozwiązaniem Qualys Vulnerability Management (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do łączenia się z maszyną wirtualną Qualys w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki konfiguracji interfejsu API maszyny wirtualnej qualys

  1. Zaloguj się do konsoli zarządzania lukami w zabezpieczeniach qualys przy użyciu konta administratora, wybierz kartę Użytkownicy i podtabę Użytkownicy.
  2. Kliknij menu rozwijane Nowy i wybierz pozycję Użytkownicy.
  3. Utwórz nazwę użytkownika i hasło dla konta interfejsu API.
  4. Na karcie Role użytkownika upewnij się, że rola konta jest ustawiona na Menedżer , a dostęp jest dozwolony dla graficznego interfejsu użytkownika i interfejsu API
  5. Wyloguj się z konta administratora i zaloguj się do konsoli przy użyciu nowych poświadczeń interfejsu API w celu weryfikacji, a następnie wyloguj się z konta interfejsu API.
  6. Zaloguj się z powrotem do konsoli przy użyciu konta administratora i zmodyfikuj konta użytkowników kont interfejsu API, usuwając dostęp do graficznego interfejsu użytkownika.
  7. Zapisz wszystkie zmiany.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika maszyny wirtualnej Qualys należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API maszyny wirtualnej Qualys.

Uwaga

Ten łącznik został zaktualizowany, jeśli wcześniej wdrożono starszą wersję i chcesz je zaktualizować, usuń istniejącą funkcję platformy Azure maszyny wirtualnej Qualys przed ponownym wdrożeniem tej wersji. Użyj skoroszytu wersji Qualys v2, wykryć.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika maszyny wirtualnej Qualys przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure Wdrażanie na platformie Azure dla instytucji rządowych

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika interfejsu API, hasło interfejsu API, zaktualizuj identyfikator URI i wszelkie dodatkowe parametry filtru identyfikatora URI (każdy filtr powinien być oddzielony symbolem "&", bez spacji).

  • Wprowadź identyfikator URI odpowiadający Regionowi. Pełną listę adresów URL serwera interfejsu API można znaleźć tutaj — nie ma potrzeby dodawania sufiksu czasu do identyfikatora URI. Aplikacja funkcji dynamicznie dołącza wartość czasu do identyfikatora URI w odpowiednim formacie.
  • Domyślny interwał czasu jest ustawiony na ściągnięcie ostatnich pięciu (5) minut danych. Jeśli należy zmodyfikować interwał czasu, zaleca się odpowiednio zmianę wyzwalacza czasomierza aplikacji funkcji (w pliku function.json po wdrożeniu), aby zapobiec nakładające się pozyskiwaniu danych.
  • Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault. 4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 5. Kliknij przycisk Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik maszyny wirtualnej Quayls za pomocą usługi Azure Functions.

1. Tworzenie aplikacji funkcji

  1. W witrynie Azure Portal przejdź do pozycji Aplikacja funkcji i wybierz pozycję + Dodaj.
  2. Na karcie Podstawowe upewnij się, że stos środowiska uruchomieniowego jest ustawiony na PowerShell Core.
  3. Na karcie Hosting upewnij się, że wybrano typ planu Zużycie (bezserwerowe ).
  4. W razie potrzeby wprowadź inne preferowane zmiany konfiguracji, a następnie kliknij przycisk Utwórz.

2. Importowanie kodu aplikacji funkcji

  1. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje w okienku po lewej stronie i kliknij pozycję + Nowa funkcja.
  2. Wybierz pozycję Wyzwalacz czasomierza.
  3. Wprowadź unikatową nazwę funkcji i pozostaw domyślny harmonogram cron co 5 minut, a następnie kliknij przycisk Utwórz.
  4. Kliknij pozycję Kod i testowanie w okienku po lewej stronie.
  5. Skopiuj kod aplikacji funkcji i wklej go do edytora aplikacji run.ps1 funkcji.
  6. Kliknij przycisk Zapisz.

3. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj poszczególne z następujących ośmiu (8) ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): apiUsername apiPassword workspaceID workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (opcjonalnie)
  • Wprowadź identyfikator URI odpowiadający Regionowi. Pełną listę adresów URL serwera INTERFEJSu API można znaleźć tutaj. Wartość musi być zgodna uri z następującym schematem: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= - Nie ma potrzeby dodawania sufiksu czasu do identyfikatora URI. Aplikacja funkcji dynamicznie dołącza wartość godziny do identyfikatora URI w odpowiednim formacie.
  • Dodaj wszelkie dodatkowe parametry filtru dla zmiennej filterParameters , które należy dołączyć do identyfikatora URI. Każdy parametr powinien być oddzielony symbolem "&" i nie powinien zawierać żadnych spacji.
  • timeInterval Ustaw wartość 5 (w minutach), aby odpowiadać wyzwalaczowi czasomierza co 5 minuty. Jeśli należy zmodyfikować interwał czasu, zaleca się zmianę wyzwalacza czasomierza aplikacji funkcji, aby zapobiec nakładające się pozyskiwaniu danych.
  • Uwaga: w przypadku korzystania z usługi Azure Key Vault użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us. 4. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

4. Skonfiguruj host.json.

Ze względu na potencjalnie dużą ilość pozyskiwanych danych wykrywania hosta Qualys może to spowodować przekroczenie domyślnego limitu czasu wykonywania aplikacji funkcji wynoszącym pięć (5) minut. Zwiększ domyślny czas trwania limitu czasu do maksymalnie dziesięciu (10) minut w ramach planu zużycie, aby umożliwić wykonanie aplikacji funkcji więcej czasu.

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz blok Edytor usługi App Service.
  2. Kliknij przycisk Przejdź , aby otworzyć edytor, a następnie wybierz plik host.json w katalogu wwwroot .
  3. Dodaj wiersz "functionTimeout": "00:10:00", powyżej managedDependency wiersza
  4. Upewnij się, że w prawym górnym rogu edytora jest wyświetlana wartość SAVED , a następnie zamknij edytor.

UWAGA: Jeśli wymagany jest dłuższy czas trwania limitu czasu, rozważ uaktualnienie do planu usługi App Service

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.