Konektor Qualys Vulnerability Management (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor Qualys Vulnerability Management (VM) poskytuje možnost ingestovat data detekce hostitelů ohrožení zabezpečení do Microsoft Sentinelu prostřednictvím rozhraní Qualys API. Konektor poskytuje přehled o datech detekce hostitelů z kontrol vulerability. Tento konektor poskytuje službě Microsoft Sentinel možnost zobrazovat řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Nastavení aplikace apiUsername
apiPassword
workspaceID
workspaceKey
uri
Filterparameters
timeInterval
LogAnalyticsUri (volitelné)
Kód aplikace funkcí Azure https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabulky Log Analytics QualysHostDetectionV2_CL
QualysHostDetection_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

10 10 zjištěných závazků qualys V2

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

Zjistilo se 10 nejdůležitějších závazků vuleru

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Požadavky

Pokud chcete provést integraci se správou ohrožení zabezpečení Qualys (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Klíč rozhraní API Qualys: Vyžaduje se uživatelské jméno a heslo rozhraní API virtuálního počítače Qualys. Další informace o rozhraní API virtuálních počítačů Qualys najdete v dokumentaci.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k virtuálnímu počítači Qualys k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 – Kroky konfigurace pro rozhraní API virtuálních počítačů Qualys

  1. Přihlaste se ke konzole pro správu ohrožení zabezpečení Qualys pomocí účtu správce, vyberte kartu Uživatelé a podtabuť Uživatelé .
  2. Klikněte na rozevírací nabídku Nový a vyberte Uživatelé.
  3. Vytvořte uživatelské jméno a heslo pro účet rozhraní API.
  4. Na kartě Role uživatele se ujistěte, že je role účtu nastavená na Správce a přístup k grafickému uživatelskému rozhraní a rozhraní API.
  5. Odhlaste se z účtu správce a přihlaste se ke konzole pomocí nových přihlašovacích údajů rozhraní API k ověření a pak se odhlaste z účtu rozhraní API.
  6. Přihlaste se zpět ke konzole pomocí účtu správce a upravte uživatelské role účtů rozhraní API a odeberte přístup k grafickému uživatelskému rozhraní.
  7. Uložte všechny změny.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením konektoru virtuálního počítače Qualys použijte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také snadno dostupné autorizační klíče rozhraní API virtuálních počítačů Qualys.

Poznámka:

Tento konektor byl aktualizován, pokud jste dříve nasadili starší verzi a chcete ho aktualizovat, před opětovným nasazením této verze odstraňte stávající funkci Azure Functions virtuálního počítače Qualys. Použijte sešit verze Qualys V2 a detekci.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru virtuálních počítačů Qualys pomocí tempate ARM.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do AzureDeploy to Azure Gov

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, uživatelské jméno rozhraní API, heslo rozhraní API, aktualizujte identifikátor URI a všechny další parametry filtru identifikátorů URI (každý filtr by měl být oddělený symbolem "&", bez mezer.)

  • Zadejte identifikátor URI, který odpovídá vaší oblasti. Úplný seznam adres URL serveru API najdete tady – není nutné přidávat k identifikátoru URI časovou příponu, aplikace funkcí dynamicky připojí hodnotu času k identifikátoru URI ve správném formátu.
  • Výchozí časový interval je nastavený tak, aby načítá posledních pět (5) minut dat. Pokud je potřeba upravit časový interval, doporučujeme odpovídajícím způsobem změnit trigger časovače aplikace funkcí (v souboru function.json, po nasazení), aby se zabránilo překrývání dat.
  • Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault. 4. Označte zaškrtávací políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 5. Kliknutím na tlačítko Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte konektor virtuálního počítače Quayls ručně se službou Azure Functions.

1. Vytvoření aplikace funkcí

  1. Na webu Azure Portal přejděte do aplikace funkcí a vyberte + Přidat.
  2. Na kartě Základy se ujistěte, že je zásobník modulu runtime nastavený na PowerShell Core.
  3. Na kartě Hostování se ujistěte, že je vybraný typ plánu Consumption (bez serveru).
  4. V případě potřeby proveďte další upřednostňované změny konfigurace a potom klikněte na Vytvořit.

2. Import kódu aplikace funkcí

  1. V nově vytvořené aplikaci Funkcí vyberte v levém podokně funkce a klikněte na + Nová funkce.
  2. Vyberte aktivační událost časovače.
  3. Zadejte jedinečný název funkce a nechejte výchozí plán cron každých 5 minut a potom klikněte na Vytvořit.
  4. V levém podokně klikněte na Kód + Test .
  5. Zkopírujte kód aplikace funkcí a vložte ho do editoru aplikace run.ps1 funkcí.
  6. Klikněte na Uložit.

3. Konfigurace aplikace funkcí

  1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
  2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
  3. Přidejte každou z následujících osmi (8) nastavení aplikace jednotlivě s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (volitelné)
  • Zadejte identifikátor URI, který odpovídá vaší oblasti. Úplný seznam adres URL serveru API najdete tady. Hodnota uri musí následovat podle následujícího schématu: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- K identifikátoru URI není nutné přidávat časovou příponu, aplikace funkcí dynamicky připojí hodnotu Času k identifikátoru URI ve správném formátu.
  • Přidejte všechny další parametry filtru pro filterParameters proměnnou, které je potřeba připojit k identifikátoru URI. Každý parametr by měl být označen symbolem "&" a neměl by obsahovat žádné mezery.
  • timeInterval Nastavte hodnotu (v minutách) tak5, aby odpovídala triggeru časovače každé 5 minuty. Pokud je potřeba upravit časový interval, doporučujeme odpovídajícím způsobem změnit trigger časovače aplikace funkcí, aby se zabránilo překrývajícímu se příjmu dat.
  • Poznámka: Pokud používáte Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault.
  • K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us. 4. Po zadání všech nastavení aplikace klepněte na tlačítko Uložit.

4. Nakonfigurujte host.json.

Vzhledem k potenciálně velkému množství ingestovaných dat detekce hostitelů Qualys může dojít k překročení výchozího časového limitu aplikace funkcí po pěti (5) minutách. Zvyšte výchozí dobu časového limitu na maximálně deset (10) minut v rámci plánu Consumption, abyste umožnili spuštění aplikace funkcí více času.

  1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte okno Editor služby App Service.
  2. Kliknutím na Tlačítko Přejít otevřete editor a pak v adresáři wwwroot vyberte soubor host.json.
  3. Přidání řádku "functionTimeout": "00:10:00", nad čáru managedDependancy
  4. Ujistěte se, že se v pravém horním rohu editoru zobrazí funkce SAVED , a ukončete editor.

POZNÁMKA: Pokud se vyžaduje delší doba časového limitu, zvažte upgrade na plán služby App Service.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.