Microsoft Sentinel için Qualys VM KnowledgeBase (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Qualys Güvenlik Açığı Yönetimi (VM) KnowledgeBase (KB) bağlayıcısı, Qualys KB'deki en son güvenlik açığı verilerini Microsoft Sentinel'e alma özelliği sağlar.

Bu veriler, Qualys Güvenlik Açığı Yönetimi (VM) veri bağlayıcısı tarafından bulunan güvenlik açığı algılamalarını ilişkilendirmek ve zenginleştirmek için kullanılabilir.

Bağlan or öznitelikleri

Bağlan or özniteliği Tanım
Log Analytics tabloları QualysKB_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

Kategoriye Göre Güvenlik Açıkları

QualysKB

| summarize count() by Category

İlk 10 Yazılım Satıcısı

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Ön koşullar

Qualys VM KnowledgeBase ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Qualys API Anahtarı: Qualys VM API'sinde kullanıcı adı ve parola gereklidir. Qualys VM API'si hakkında daha fazla bilgi edinmek için belgelere bakın.

Satıcı yükleme yönergeleri

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve QualysVM Bilgi Bankası diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın; sorgunun ikinci satırında QualysVM Knowledgebase cihazlarınızın konak adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto işlev diğer adı Olan QualysKB'yi kullanma adımlarını izleyin

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - Qualys API'sinin yapılandırma adımları

  1. Qualys Güvenlik Açığı Yönetimi konsolunda bir yönetici hesabıyla oturum açın, Kullanıcılar sekmesini ve Kullanıcılar alt sekmesini seçin.
  2. Yeni açılan menüsüne tıklayın ve Kullanıcılar'ı seçin.
  3. API hesabı için bir kullanıcı adı ve parola oluşturun.
  4. Kullanıcı Rolleri sekmesinde hesap rolünün Yönetici olarak ayarlandığından ve GUI ve API'ye erişime izin verildiğinden emin olun
  5. Yönetici hesabında oturumu kapatın ve doğrulama için yeni API kimlik bilgileriyle konsolda oturum açın, ardından API hesabında oturumu kapatın.
  6. Bir yönetici hesabı kullanarak konsolda yeniden oturum açın ve API hesaplarının Kullanıcı Rollerini değiştirerek GUI'ye erişimi kaldırır.
  7. Tüm değişiklikleri kaydedin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Qualys KB bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Qualys API kullanıcı adı ve parolasına sahip olun.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.