Conector do Qualys Vulnerability Management (usando o Azure Functions) para o Microsoft Sentinel

O conector de dados do Qualys Vulnerability Management (VM) fornece a capacidade de ingerir dados de deteção de host de vulnerabilidade no Microsoft Sentinel por meio da API do Qualys. O conector fornece visibilidade dos dados de deteção do hospedeiro a partir de verificações de vulnerabilidade. Esse conector fornece ao Microsoft Sentinel a capacidade de exibir painéis, criar alertas personalizados e melhorar a investigação

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector	Descrição
Configurações do aplicativo	apiUsername apiPassword ID do espaço de trabalho chave do espaço de trabalho uri parâmetros de filtro intervalo de tempo logAnalyticsUri (opcional)
Código do aplicativo de função do Azure	https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabelas do Log Analytics	QualysHostDetectionV2_CL QualysHostDetection_CL
Suporte a regras de coleta de dados	Não é suportado atualmente
Apoiado por	Corporação Microsoft

Exemplo de consultas

As 10 principais vulnerabilidades do Qualys V2 detetadas

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

As 10 principais vulnerabilidades detetadas

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Pré-requisitos

Para integrar com o Gerenciamento de Vulnerabilidades do Qualys (usando o Azure Functions), verifique se você tem:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
• Chave da API do Qualys: um nome de usuário e uma senha da API da VM do Qualys são necessários. Consulte a documentação para saber mais sobre a API de VM do Qualys.

Instruções de instalação do fornecedor

Nota

Esse conector utiliza o Azure Functions para ligar à VM do Qualys e transferir os seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

ETAPA 1 - Etapas de configuração para a API da VM do Qualys

1. Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários .
2. Clique no menu suspenso Novo e selecione Utilizadores...
3. Crie um nome de usuário e senha para a conta da API.
4. Na guia Funções de Usuário, verifique se a função de conta está definida como Gerente e se o acesso é permitido à GUI e à API
5. Termine sessão na conta de administrador e inicie sessão na consola com as novas credenciais da API para validação e, em seguida, termine sessão na conta da API.
6. Faça login novamente no console usando uma conta de administrador e modifique as funções de usuário das contas de API, removendo o acesso à GUI.
7. Salve todas as alterações.

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector de VM do Qualys, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (que podem ser copiadas do seguinte), bem como a(s) chave(s) de autorização da API da VM do Qualys, prontamente disponíveis.

Nota

Este conector foi atualizado. Se tiver implementado anteriormente uma versão anterior e quiser atualizar, elimine a Função do Azure da VM Qualys existente antes de voltar a implementar esta versão. Por favor, use a versão Qualys V2 do Workbook, deteções.

Opção 1 - Modelo do Azure Resource Manager (ARM)

Use esse método para implantação automatizada do conector Qualys VM usando um modelo ARM.

1. Clique no botão Implantar no Azure abaixo.

   

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

3. Insira o ID do espaço de trabalho, a chave do espaço de trabalho, o nome de usuário da API, a senha da API, atualize o URI e quaisquer parâmetros de filtro de URI adicionais (cada filtro deve ser separado por um símbolo "&", sem espaços.)

• Insira o URI que corresponde à sua região. A lista completa de URLs do Servidor de API pode ser encontrada aqui -- Não há necessidade de adicionar um sufixo de tempo ao URI, o Aplicativo de Função acrescentará dinamicamente o Valor de Tempo ao URI no formato adequado.

• O intervalo de tempo padrão é definido para extrair os últimos cinco (5) minutos de dados. Se o intervalo de tempo precisar ser modificado, é recomendável que o gatilho do temporizador da app de função seja alterado de acordo (no arquivo function.json após a implantação) para evitar a ingestão de dados sobrepostos.

• Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes. 4. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 5. Clique em Comprar para implantar.

Opção 2 - Implantação manual do Azure Functions

Use as instruções passo a passo a seguir para implantar o conector de VM Quayls manualmente com o Azure Functions.

1. Crie um aplicativo de função

1. No Portal do Azure, navegue até Aplicativo de Função e selecione + Adicionar.
2. Na guia Noções básicas, verifique se o stack de tempo de execução está devidamente definido como PowerShell Core.
3. Na guia Hospedagem, verifique se o tipo de plano Consumo (sem servidor) está selecionado.
4. Faça outras alterações de configuração preferíveis, se necessário, e clique em Criar.

2. Importar código do aplicativo de função

1. No aplicativo de função recém-criado, selecione Funções no painel esquerdo e clique em + Nova função.
2. Selecione Disparador de Temporizador.
3. Insira um Nome de Função exclusivo e deixe a agenda cron padrão a cada 5 minutos e clique em Criar.
4. Clique em Código + Teste no painel esquerdo.
5. Copie o código do aplicativo de função e cole no editor do aplicativo run.ps1 de função.
6. Clique em Guardar.

3. Configurar o aplicativo de função

1. No Aplicativo de Função, selecione o Nome do Aplicativo de Função e selecione Configuração.
2. Na guia Configurações do aplicativo, selecione + Nova configuração do aplicativo.
3. Adicione cada uma das seguintes oito (8) configurações de aplicação individualmente, com os seus respetivos valores de string (sensível a maiúsculas e minúsculas): apiUsername, apiPassword, workspaceID, workspaceKey, uri, filterParameters, timeInterval, logAnalyticsUri opcional

• Insira o URI que corresponde à sua região. A lista completa de URLs do Servidor de API pode ser encontrada aqui. O uri valor deve seguir o seguinte esquema: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- Não há necessidade de adicionar um sufixo de tempo ao URI, o aplicativo de função acrescentará dinamicamente o valor de tempo ao URI no formato adequado.
• Adicione quaisquer parâmetros de filtro adicionais, para a filterParameters variável, que precisam ser acrescentados ao URI. Cada parâmetro deve ser separado por um símbolo "&" e não deve incluir espaços.
• Defina o timeInterval (em minutos) para o valor de 5 para corresponder ao disparo do temporizador a cada 5 minutos. Se for necessário modificar o intervalo de tempo, recomenda-se alterar o gatilho do temporizador da aplicação de função de forma a evitar a ingestão sobreposta de dados.
• Observação: se estiver usando o Cofre da Chave do Azure, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores da cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.
• Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de log para nuvem dedicada. Por exemplo, para nuvem pública, deixe o valor vazio; para o ambiente de nuvem Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us. 4. Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar.

4. Configure host.json.

Devido à potencialmente grande quantidade de dados de deteção de host do Qualys a serem ingeridos, isto pode fazer com que o tempo de execução ultrapasse o tempo limite padrão da Function App de cinco (5) minutos. Aumente a duração do tempo limite padrão para o máximo de dez (10) minutos, de acordo com o Plano de Consumo, para permitir mais tempo para a execução do Aplicativo de Função.

1. Na Aplicação de Função, selecione o Nome da Aplicação de Função e selecione o painel Editor do Serviço de Aplicações.
2. Clique em Ir para abrir o editor e, em seguida, selecione o arquivo host.json no diretório wwwroot .
3. Adicionar a linha "functionTimeout": "00:10:00", acima da managedDependency linha
4. Verifique se SALVO aparece no canto superior direito do editor e saia do editor.

NOTA: Se for necessária uma duração de tempo limite mais longa, considere atualizar para um Plano do Serviço de Aplicativo

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.