Konektor Qualys VM KnowledgeBase (pomocí Azure Functions) pro Microsoft Sentinel
Konektor KnowledgeBase (KB) Qualys Vulnerability Management (VM) poskytuje možnost ingestovat nejnovější data ohrožení zabezpečení z znalostní báze Qualys do Microsoft Sentinelu.
Tato data se dají použít ke korelaci a obohacení detekcí ohrožení zabezpečení nalezených datovým konektorem Qualys Vulnerability Management (VM).
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | QualysKB_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Ohrožení zabezpečení podle kategorie
QualysKB
| summarize count() by Category
Top 10 Software Vendors
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Požadavky
Pokud chcete integrovat znalostní bázi virtuálních počítačů Qualys (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Klíč rozhraní API Qualys: Vyžaduje se uživatelské jméno a heslo rozhraní API virtuálního počítače Qualys. Další informace o rozhraní API virtuálních počítačů Qualys najdete v dokumentaci.
Pokyny k instalaci dodavatele
POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias QualysVM KnowledgeBase a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení QualysVM KnowledgeBase a všechny další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Postupujte podle kroků pro použití aliasu funkce Kusto, QualysKB.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
KROK 1 – Kroky konfigurace pro rozhraní Qualys API
- Přihlaste se ke konzole pro správu ohrožení zabezpečení Qualys pomocí účtu správce, vyberte kartu Uživatelé a podtabuť Uživatelé .
- Klikněte na rozevírací nabídku Nový a vyberte Uživatelé.
- Vytvořte uživatelské jméno a heslo pro účet rozhraní API.
- Na kartě Role uživatele se ujistěte, že je role účtu nastavená na Správce a přístup k grafickému uživatelskému rozhraní a rozhraní API.
- Odhlaste se z účtu správce a přihlaste se ke konzole pomocí nových přihlašovacích údajů rozhraní API k ověření a pak se odhlaste z účtu rozhraní API.
- Přihlaste se zpět ke konzole pomocí účtu správce a upravte uživatelské role účtů rozhraní API a odeberte přístup k grafickému uživatelskému rozhraní.
- Uložte všechny změny.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením konektoru Qualys KB zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také uživatelské jméno a heslo rozhraní Qualys API, které je snadno dostupné.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.