你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Qualys VM KnowledgeBase(使用 Azure Functions)连接器
Qualys 漏洞管理 (VM) 知识库 (KB) 连接器提供将最新漏洞数据从 Qualys KB 引入 Microsoft Sentinel 的功能。
此数据可用于关联和扩充 Qualys 漏洞管理 (VM) 数据连接器发现的漏洞检测。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | QualysKB_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
按类别列出的漏洞
QualysKB
| summarize count() by Category
前 10 大软件供应商
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
先决条件
若要与 Qualys VM KnowledgeBase(使用 Azure Functions)集成,请确保拥有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Qualys API 密钥:需要 Qualys VM API 用户名和密码。 请参阅文档详细了解 Qualys VM API。
供应商安装说明
注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 PQualysVM Knowledgebase 并加载函数代码,或单击此处,在查询的第二行输入 QualysVM Knowledgebase 设备的主机名,以及日志流的任何其他唯一标识符。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。
此数据连接器依赖于基于 Kusto 函数的分析程序来按预期方式工作。 按照步骤使用 Kusto 函数别名 QualysKB
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - Qualys API 的配置步骤
- 使用管理员帐户登录 Qualys Vulnerability Management 控制台,依次选择“用户”选项卡和“用户”子选项卡 。
- 单击“新建”下拉菜单,然后选择“用户”。
- 为 API 帐户创建用户名和密码。
- 在“用户角色”选项卡中,确保帐户角色设置为“管理员”,并且允许访问 GUI 和 API
- 注销管理员帐户,再使用新的 API 凭据登录控制台进行验证,然后注销 API 帐户。
- 使用管理员帐户重新登录到控制台,然后修改 API 帐户的“用角色”,移除对 GUI 的访问权限。
- 保存所有更改。
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要说明:部署 Qualys KB 连接器前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Qualys API 用户名和密码。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。