Соединитель "Управление уязвимостями Qualys" (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных обнаружения узлов уязвимостей в Microsoft Sentinel через API Qualys. Соединитель обеспечивает видимость данных об обнаружении узлов из проверок вольверности. Этот соединитель предоставляет Microsoft Sentinel возможность просмотра панелей мониторинга, создания пользовательских оповещений и улучшения исследования

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Параметры приложения apiUsername
apiPassword
workspaceID
workspaceKey
uri
filterParameters
timeInterval
logAnalyticsUri (необязательно)
Код приложения-функции Azure https://aka.ms/sentinel-QualysVM-functioncodeV2
Таблицы Log Analytics QualysHostDetectionV2_CL
QualysHostDetection_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Обнаружены первые 10 Квалис V2 V2 Vulerabilities

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

Обнаружены первые 10 Vulerabilities

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с Qualys Vulnerability Management (с помощью Функции Azure), убедитесь, что у вас есть:

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к виртуальной машине Qualys для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке ДЛЯ API виртуальных машин Qualys

  1. Войдите в консоль Qualys Vulnerability Management с учетной записью администратора, выберите вкладку Users (Пользователи) и подчиненную вкладку Users (Пользователи).
  2. Щелкните раскрывающееся меню "Создать" и выберите "Пользователи".
  3. Создайте имя пользователя и пароль для учетной записи API.
  4. На вкладке User Roles (Роли пользователя) убедитесь, что для роли учетной записи задано значение Manager (Диспетчер) и разрешен доступ к GUI (графический пользовательский интерфейс) и API.
  5. Выйдите из учетной записи администратора и войдите в консоль с новыми учетными данными API для проверки, а затем выйдите из учетной записи API.
  6. Снова войдите в консоль с помощью учетной записи администратора и измените роли пользователя учетной записи API, удалив доступ к графическому пользовательскому интерфейсу.
  7. Сохраните все изменения.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя виртуальной машины Qualys укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API виртуальных машин Qualys.

Примечание.

Этот соединитель был обновлен, если вы ранее развернули более раннюю версию и хотите обновить, удалите существующую функцию Виртуальной машины Qualys, прежде чем повторно развернуть эту версию. Используйте книгу версии Qualys версии 2, обнаружения.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя виртуальных машин Qualys с помощью tempate ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в AzureРазвернуть в Azure Gov

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите идентификатор рабочей области, ключ рабочей области, имя пользователя API, пароль API, обновление URI и любые дополнительные параметры фильтра URI (каждый фильтр должен быть разделен символом "&", без пробелов).

  • Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов сервера API можно найти здесь . Нет необходимости добавлять суффикс времени в URI, приложение-функция будет динамически добавлять значение времени в URI в правильном формате.
  • Интервал времени по умолчанию устанавливается для извлечения последних пяти (5) минут данных. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить перекрытие приема данных.
  • Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Пометить проверка box с меткой я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя виртуальной машины Quayls вручную с помощью Функции Azure.

1. Создание приложения-функции

  1. На портале Azure перейдите в приложение-функцию и нажмите кнопку +Добавить.
  2. На вкладке "Основные сведения" убедитесь, что стек среды выполнения имеет значение PowerShell Core.
  3. На вкладке "Размещение" убедитесь, что выбран тип плана потребления (бессерверный).
  4. При необходимости внесите другие предпочитаемые изменения конфигурации, а затем нажмите кнопку "Создать".

2. Импорт кода приложения-функции

  1. В созданном приложении-функции выберите "Функции " на левой панели и нажмите кнопку "+ Создать функцию".
  2. Выберите Триггер таймера.
  3. Введите уникальное имя функции и оставьте расписание cron по умолчанию каждые 5 минут, а затем нажмите кнопку "Создать".
  4. Щелкните "Код и тест" на левой панели.
  5. Скопируйте код приложения-функции и вставьте его в редактор приложения-функцииrun.ps1.
  6. Нажмите кнопку Сохранить.

3. Настройка приложения-функции

  1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
  2. На вкладке Параметры приложения выберите +Новый параметр приложения.
  3. Добавьте каждый из следующих восьми (8) параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (необязательно)
  • Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов сервера API см . здесь. Значение uri должно соответствовать следующей схеме: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- Нет необходимости добавлять суффикс времени в URI, приложение-функция динамически добавит значение времени к URI в правильном формате.
  • Добавьте дополнительные параметры фильтра для переменной filterParameters , которые необходимо добавить в универсальный код ресурса (URI). Каждый параметр должен быть отделен символом "&" и не должен содержать пробелы.
  • timeInterval Задайте значение (в минутах), 5 чтобы соответствовать триггеру таймера каждые 5 минуты. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции соответствующим образом, чтобы предотвратить перекрытие приема данных.
  • Примечание. При использовании Azure Key Vault используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
  • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us 4. После ввода всех параметров приложения нажмите кнопку "Сохранить".

4. Настройка host.json.

Из-за потенциально большого количества данных обнаружения узла Qualys, которые принимаются, это может привести к превышению времени выполнения приложения-функции по умолчанию в течение пяти (5) минут. Увеличьте длительность ожидания по умолчанию до 10 минут в рамках плана потребления, чтобы разрешить выполнение приложения-функции больше времени.

  1. В приложении-функции выберите имя приложения-функции и выберите колонку редактора Служба приложений.
  2. Нажмите кнопку " Перейти ", чтобы открыть редактор, а затем выберите файл host.json в каталоге wwwroot .
  3. Добавление строки "functionTimeout": "00:10:00", над строкой managedDependancy
  4. Убедитесь, что сохраненные отображаются в правом верхнем углу редактора, а затем закройте редактор.

ПРИМЕЧАНИЕ. Если требуется более длительное время ожидания, рассмотрите возможность обновления до плана Служба приложений

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.