Łącznik qualys Vulnerability Management (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik danych rozwiązania Qualys Vulnerability Management (VM) zapewnia możliwość pozyskiwania danych wykrywania luk w zabezpieczeniach w usłudze Microsoft Sentinel za pośrednictwem interfejsu API Qualys. Łącznik zapewnia wgląd w dane wykrywania hosta ze skanowania w zakresie tolerancji. Ten łącznik zapewnia usłudze Microsoft Sentinel możliwość wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badania

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or	opis
Ustawienia aplikacji	apiUsername apiPassword identyfikator obszaru roboczego workspaceKey uri Filterparameters timeInterval logAnalyticsUri (opcjonalnie)
Kod aplikacji funkcji platformy Azure	https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabele usługi Log Analytics	QualysHostDetectionV2_CL QualysHostDetection_CL
Obsługa reguł zbierania danych	Obecnie nieobsługiwane
Obsługiwane przez	Microsoft Corporation

Przykłady zapytań

Wykryto 10 v2 vulerabilities qualys

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

Wykryto 10 pierwszych vulerabilities

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Wymagania wstępne

Aby zintegrować z rozwiązaniem Qualys Vulnerability Management (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

• Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
• Klucz interfejsu API qualys: wymagana jest nazwa użytkownika i hasło interfejsu API maszyny wirtualnej Qualys. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API maszyny wirtualnej firmy Qualys.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do łączenia się z maszyną wirtualną Qualys w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki konfiguracji interfejsu API maszyny wirtualnej qualys

1. Zaloguj się do konsoli zarządzania lukami w zabezpieczeniach qualys przy użyciu konta administratora, wybierz kartę Użytkownicy i podtabę Użytkownicy.
2. Kliknij menu rozwijane Nowy i wybierz pozycję Użytkownicy.
3. Utwórz nazwę użytkownika i hasło dla konta interfejsu API.
4. Na karcie Role użytkownika upewnij się, że rola konta jest ustawiona na Menedżer , a dostęp jest dozwolony dla graficznego interfejsu użytkownika i interfejsu API
5. Wyloguj się z konta administratora i zaloguj się do konsoli przy użyciu nowych poświadczeń interfejsu API w celu weryfikacji, a następnie wyloguj się z konta interfejsu API.
6. Zaloguj się z powrotem do konsoli przy użyciu konta administratora i zmodyfikuj konta użytkowników kont interfejsu API, usuwając dostęp do graficznego interfejsu użytkownika.
7. Zapisz wszystkie zmiany.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika maszyny wirtualnej Qualys należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API maszyny wirtualnej Qualys.

Uwaga

Ten łącznik został zaktualizowany, jeśli wcześniej wdrożono starszą wersję i chcesz je zaktualizować, usuń istniejącą funkcję platformy Azure maszyny wirtualnej Qualys przed ponownym wdrożeniem tej wersji. Użyj skoroszytu wersji Qualys v2, wykryć.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika maszyny wirtualnej Qualys przy użyciu szablonu usługi ARM.

1. Kliknij przycisk Wdróż na platformie Azure poniżej.

   

2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika interfejsu API, hasło interfejsu API, zaktualizuj identyfikator URI i wszelkie dodatkowe parametry filtru identyfikatora URI (każdy filtr powinien być oddzielony symbolem "&", bez spacji).

• Wprowadź identyfikator URI odpowiadający Regionowi. Pełną listę adresów URL serwera interfejsu API można znaleźć tutaj — nie ma potrzeby dodawania sufiksu czasu do identyfikatora URI. Aplikacja funkcji dynamicznie dołącza wartość czasu do identyfikatora URI w odpowiednim formacie.

• Domyślny interwał czasu jest ustawiony na ściągnięcie ostatnich pięciu (5) minut danych. Jeśli należy zmodyfikować interwał czasu, zaleca się odpowiednio zmianę wyzwalacza czasomierza aplikacji funkcji (w pliku function.json po wdrożeniu), aby zapobiec nakładające się pozyskiwaniu danych.

• Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault. 4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 5. Kliknij przycisk Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik maszyny wirtualnej Quayls za pomocą usługi Azure Functions.

1. Tworzenie aplikacji funkcji

1. W witrynie Azure Portal przejdź do pozycji Aplikacja funkcji i wybierz pozycję + Dodaj.
2. Na karcie Podstawowe upewnij się, że stos środowiska uruchomieniowego jest ustawiony na PowerShell Core.
3. Na karcie Hosting upewnij się, że wybrano typ planu Zużycie (bezserwerowe ).
4. W razie potrzeby wprowadź inne preferowane zmiany konfiguracji, a następnie kliknij przycisk Utwórz.

2. Importowanie kodu aplikacji funkcji

1. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje w okienku po lewej stronie i kliknij pozycję + Nowa funkcja.
2. Wybierz pozycję Wyzwalacz czasomierza.
3. Wprowadź unikatową nazwę funkcji i pozostaw domyślny harmonogram cron co 5 minut, a następnie kliknij przycisk Utwórz.
4. Kliknij pozycję Kod i testowanie w okienku po lewej stronie.
5. Skopiuj kod aplikacji funkcji i wklej go do edytora aplikacji run.ps1 funkcji.
6. Kliknij przycisk Zapisz.

3. Konfigurowanie aplikacji funkcji

1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj poszczególne z następujących ośmiu (8) ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): apiUsername apiPassword workspaceID workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (opcjonalnie)

• Wprowadź identyfikator URI odpowiadający Regionowi. Pełną listę adresów URL serwera INTERFEJSu API można znaleźć tutaj. Wartość musi być zgodna uri z następującym schematem: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= - Nie ma potrzeby dodawania sufiksu czasu do identyfikatora URI. Aplikacja funkcji dynamicznie dołącza wartość godziny do identyfikatora URI w odpowiednim formacie.
• Dodaj wszelkie dodatkowe parametry filtru dla zmiennej filterParameters , które należy dołączyć do identyfikatora URI. Każdy parametr powinien być oddzielony symbolem "&" i nie powinien zawierać żadnych spacji.
• timeInterval Ustaw wartość 5 (w minutach), aby odpowiadać wyzwalaczowi czasomierza co 5 minuty. Jeśli należy zmodyfikować interwał czasu, zaleca się zmianę wyzwalacza czasomierza aplikacji funkcji, aby zapobiec nakładające się pozyskiwaniu danych.
• Uwaga: w przypadku korzystania z usługi Azure Key Vault użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
• Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us. 4. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

4. Skonfiguruj host.json.

Ze względu na potencjalnie dużą ilość pozyskiwanych danych wykrywania hosta Qualys może to spowodować przekroczenie domyślnego limitu czasu wykonywania aplikacji funkcji wynoszącym pięć (5) minut. Zwiększ domyślny czas trwania limitu czasu do maksymalnie dziesięciu (10) minut w ramach planu zużycie, aby umożliwić wykonanie aplikacji funkcji więcej czasu.

1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz blok Edytor usługi App Service.
2. Kliknij przycisk Przejdź , aby otworzyć edytor, a następnie wybierz plik host.json w katalogu wwwroot .
3. Dodaj wiersz "functionTimeout": "00:10:00", powyżej managedDependancy wiersza
4. Upewnij się, że w prawym górnym rogu edytora jest wyświetlana wartość SAVED , a następnie zamknij edytor.

UWAGA: Jeśli wymagany jest dłuższy czas trwania limitu czasu, rozważ uaktualnienie do planu usługi App Service

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.