Microsoft Sentinel için Qualys Güvenlik Açığı Yönetimi (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Qualys Güvenlik Açığı Yönetimi (VM) veri bağlayıcısı, Qualys API aracılığıyla güvenlik açığı ana bilgisayar algılama verilerini Microsoft Sentinel'e alma olanağı sağlar. Bağlayıcı, kullanılabilirlik taramalarından konak algılama verilerine görünürlük sağlar. Bu bağlayıcı Microsoft Sentinel'e panoları görüntüleme, özel uyarılar oluşturma ve araştırmayı geliştirme olanağı sağlar

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Uygulama ayarları apiUsername
apiPassword
workspaceID
workspaceKey
uri
Filterparameters
timeInterval
logAnalyticsUri (isteğe bağlı)
Azure işlev uygulaması kodu https://aka.ms/sentinel-QualysVM-functioncodeV2
Log Analytics tabloları QualysHostDetectionV2_CL
QualysHostDetection_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

İlk 10 Qualys V2 Vulerabilities algılandı

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

İlk 10 Vulerabilities algılandı

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Önkoşullar

Qualys Güvenlik Açığı Yönetimi ile tümleştirmek için (Azure İşlevleri kullanarak) şunlara sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Qualys API Anahtarı: Qualys VM API'sinde kullanıcı adı ve parola gereklidir. Qualys VM API'si hakkında daha fazla bilgi edinmek için belgelere bakın.

Satıcı yükleme yönergeleri

Dekont

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere Qualys VM'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - Qualys VM API'sinin yapılandırma adımları

  1. Qualys Güvenlik Açığı Yönetimi konsolunda bir yönetici hesabıyla oturum açın, Kullanıcılar sekmesini ve Kullanıcılar alt sekmesini seçin.
  2. Yeni açılan menüsüne tıklayın ve Kullanıcılar'ı seçin.
  3. API hesabı için bir kullanıcı adı ve parola oluşturun.
  4. Kullanıcı Rolleri sekmesinde hesap rolünün Yönetici olarak ayarlandığından ve GUI ve API'ye erişime izin verildiğinden emin olun
  5. Yönetici hesabında oturumu kapatın ve doğrulama için yeni API kimlik bilgileriyle konsolda oturum açın, ardından API hesabında oturumu kapatın.
  6. Bir yönetici hesabı kullanarak konsolda yeniden oturum açın ve API hesaplarının Kullanıcı Rollerini değiştirerek GUI'ye erişimi kaldırır.
  7. Tüm değişiklikleri kaydedin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Qualys VM bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Qualys VM API Yetkilendirme Anahtarlarına (qualys VM API Yetkilendirme Anahtarları) sahip olun.

Dekont

Bu bağlayıcı güncelleştirildi, daha önce bir önceki sürümü dağıttıysanız ve güncelleştirmek istiyorsanız, bu sürümü yeniden dağıtmadan önce lütfen mevcut Qualys VM Azure İşlevini silin. Lütfen Qualys V2 sürüm Çalışma Kitabı, algılamaları kullanın.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Tempate kullanarak Qualys VM bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Kullanıcı Adı, API Parolası girin, URI'yi ve ek URI Filtresi Parametrelerini güncelleştirin (her filtre boşluk olmadan bir "&" simgesiyle ayrılmalıdır.)

  • Bölgenize karşılık gelen URI'yi girin. API Server URL'lerinin tam listesine buradan ulaşabilirsiniz. URI'ye zaman soneki eklemeniz gerekmez; İşlev Uygulaması Saat Değerini URI'ye doğru biçimde dinamik olarak ekler.
  • Varsayılan Zaman Aralığı , verilerin son beş (5) dakikasını çekecek şekilde ayarlanır. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'nin uygun şekilde değiştirilmesi önerilir (function.json dosyasında dağıtım sonrası).
  • Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Quayls VM bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Oluşturma

  1. Azure Portalı'ndan İşlev Uygulaması'na gidin ve + Ekle'yi seçin.
  2. Temel Bilgiler sekmesinde Çalışma zamanı yığınının Powershell Core olarak ayarlandığından emin olun.
  3. Barındırma sekmesinde Tüketim (Sunucusuz) plan türünün seçili olduğundan emin olun.
  4. Gerekirse diğer tercih edilebilir yapılandırma değişikliklerini yapın ve Oluştur'a tıklayın.

2. İşlev Uygulama Kodunu İçeri Aktarma

  1. Yeni oluşturulan İşlev Uygulamasında sol bölmedeki İşlevler'i seçin ve + Yeni İşlev'e tıklayın.
  2. Zamanlayıcı Tetikleyicisi'ne tıklayın.
  3. Benzersiz bir İşlev Adı girin ve her 5 dakikada bir varsayılan cron zamanlamasını bırakın, ardından Oluştur'a tıklayın.
  4. Sol bölmede Kod + Test'e tıklayın.
  5. İşlev Uygulama Kodu'nu kopyalayın ve İşlev Uygulaması run.ps1 düzenleyicisine yapıştırın.
  6. Kaydet'e tıklayın.

3. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki sekiz (8) uygulama ayarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (isteğe bağlı)
  • Bölgenize karşılık gelen URI'yi girin. API Server URL'lerinin tam listesine buradan ulaşabilirsiniz. Değerin uri aşağıdaki şemayı izlemesi gerekir: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- URI'ye zaman soneki eklemeniz gerekmez, İşlev Uygulaması saat değerini URI'ye doğru biçimde dinamik olarak ekler.
  • Değişkeni için filterParameters URI'ye eklenmesi gereken ek filtre parametrelerini ekleyin. Her parametre bir "&" simgesiyle ayrılmalı ve boşluk içermemelidir.
  • timeInterval değerini (dakika cinsinden) değerine 5 ayarlayarak her 5 dakikanın Zamanlayıcı Tetikleyicisine karşılık gelir. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'ni uygun şekilde değiştirmeniz önerilir.
  • Not: Azure Key Vault kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.
  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us. 4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

4. host.json dosyasını yapılandırın.

Büyük miktarda Qualys konak algılama verilerinin alımı nedeniyle, yürütme süresinin beş (5) dakikalık varsayılan İşlev Uygulaması zaman aşımını aşmasına neden olabilir. İşlev Uygulamasının yürütülmesi için daha fazla zaman sağlamak için Tüketim Planı'nın altında varsayılan zaman aşımı süresini en fazla on (10) dakika olacak şekilde artırın.

  1. İşlev Uygulaması'nda İşlev Uygulaması Adı'nı ve ardından App Service Düzenleyicisi dikey penceresini seçin.
  2. Düzenleyiciyi açmak için Git'e tıklayın, ardından wwwroot dizininin altındaki host.json dosyasını seçin.
  3. Satırın üstüne managedDependancy çizgi "functionTimeout": "00:10:00", ekleme
  4. KAYDET'in düzenleyicinin sağ üst köşesinde göründüğünden emin olun ve düzenleyiciden çıkın.

NOT: Daha uzun bir zaman aşımı süresi gerekiyorsa App Service Planına yükseltmeyi göz önünde bulundurun

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.