موصل Qualys Vulnerability Management (باستخدام Azure Functions) ل Microsoft Sentinel

يوفر موصل بيانات Qualys Vulnerability Management (VM) القدرة على استيعاب بيانات الكشف عن مضيف الثغرات الأمنية في Microsoft Sentinel من خلال Qualys API. يوفر الموصل رؤية لبيانات الكشف عن المضيف من عمليات فحص قابلية الوصول إلى المضيف. يوفر هذا الموصل ل Microsoft Sentinel القدرة على عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل	‏‏الوصف
إعدادات التطبيق	apiUsername apiPassword workspaceID workspaceKey URI عوامل التصفية timeInterval logAnalyticsUri (اختياري)
التعليمات البرمجية لتطبيق وظائف Azure	https://aka.ms/sentinel-QualysVM-functioncodeV2
جدول (جداول) Log Analytics	QualysHostDetectionV2_CL QualysHostDetection_CL
دعم قواعد جمع البيانات	غير مدعوم حاليًا
مدعومة من قبل	Microsoft Corporation

عينات الاستعلام

تم الكشف عن أفضل 10 Qualys V2 Vulerabilities

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

تم الكشف عن أفضل 10 قدرات Vuler

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

المتطلبات الأساسية

للتكامل مع Qualys Vulnerability Management (باستخدام Azure Functions) تأكد من أن لديك:

• أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
• Qualys API Key: مطلوب اسم مستخدم وكلمة مرور Qualys VM API. راجع الوثائق لمعرفة المزيد حول Qualys VM API.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب Qualys VM لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Qualys VM

1. سجل الدخول إلى وحدة تحكم Qualys Vulnerability Management باستخدام حساب مسؤول، وحدد علامة التبويب المستخدمون وعلامة التبويب المستخدمون الفرعية .
2. انقر فوق القائمة المنسدلة New وحدد Users..
3. إنشاء اسم مستخدم وكلمة مرور لحساب واجهة برمجة التطبيقات.
4. في علامة التبويب أدوار المستخدم، تأكد من تعيين دور الحساب إلى Manager ويسمح بالوصول إلى واجهة المستخدم الرسومية وواجهة برمجة التطبيقات
5. سجل الخروج من حساب المسؤول وسجل الدخول إلى وحدة التحكم باستخدام بيانات اعتماد واجهة برمجة التطبيقات الجديدة للتحقق من الصحة، ثم قم بتسجيل الخروج من حساب واجهة برمجة التطبيقات.
6. قم بتسجيل الدخول مرة أخرى إلى وحدة التحكم باستخدام حساب مسؤول وتعديل حسابات واجهة برمجة التطبيقات أدوار المستخدم، وإزالة الوصول إلى واجهة المستخدم الرسومية.
7. احفظ جميع التغييرات

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل Qualys VM، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل واجهة برمجة تطبيقات Qualys VM، المتوفرة بسهولة.

إشعار

تم تحديث هذا الموصل، إذا كنت قد نشرت إصدارا سابقا، وتريد التحديث، فيرجى حذف دالة Azure لجهاز Qualys الظاهري الموجودة قبل إعادة نشر هذا الإصدار. يرجى استخدام مصنف إصدار Qualys V2، عمليات الكشف.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل Qualys VM باستخدام ARM Tempate.

1. انقر فوق الزر Deploy to Azure أدناه.

   

2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

3. أدخل معرف مساحة العمل ومفتاح مساحة العمل واسم مستخدم واجهة برمجة التطبيقات وكلمة مرور واجهة برمجة التطبيقات وتحديث URI وأي معلمات عامل تصفية URI إضافية (يجب فصل كل عامل تصفية برموز "&" دون مسافات.)

• أدخل URI الذي يتوافق مع منطقتك. يمكن العثور على القائمة الكاملة لعناوين URL لخادم API هنا -- ليست هناك حاجة لإضافة لاحقة وقت إلى URI، سيقوم تطبيق الوظائف بإلحاق قيمة الوقت ديناميكيا ب URI بالتنسيق المناسب.

• يتم تعيين الفاصل الزمني الافتراضي لسحب آخر خمس (5) دقائق من البيانات. إذا كان الفاصل الزمني يحتاج إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك (في ملف function.json، نشر النشر) لمنع استيعاب البيانات المتداخلة.

• ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل Quayls VM يدويا باستخدام Azure Functions.

1. إنشاء تطبيق وظائف

1. من مدخل Microsoft Azure، انتقل إلى Function App، وحدد + Add.
2. في علامة التبويب Basics ، تأكد من تعيين مكدس وقت التشغيل إلى Powershell Core.
3. في علامة التبويب Hosting ، تأكد من تحديد نوع خطة Consumption (Serverless ).
4. قم بإجراء تغييرات تكوين أخرى مفضلة، إذا لزم الأمر، ثم انقر فوق إنشاء.

2. استيراد التعليمات البرمجية لتطبيق الوظائف

1. في تطبيق الوظائف الذي تم إنشاؤه حديثا، حدد Functions في الجزء الأيمن وانقر فوق + New Function.
2. حدد Timer Trigger.
3. أدخل اسم دالة فريدا واترك جدول cron الافتراضي كل 5 دقائق، ثم انقر فوق إنشاء.
4. انقر فوق Code + Test في الجزء الأيمن.
5. انسخ Function App Code والصقه في محرر Function App run.ps1 .
6. انقر فوق حفظ.

3. تكوين تطبيق الوظائف

1. في Function App، حدد Function App Name وحدد Configuration.
2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
3. أضف كل من إعدادات التطبيق الثمانية التالية (8) بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (اختياري)

• أدخل URI الذي يتوافق مع منطقتك. يمكن العثور على القائمة الكاملة لعناوين URL لخادم API هنا. uri يجب أن تتبع القيمة المخطط التالي: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- ليست هناك حاجة لإضافة لاحقة وقت إلى URI، سيقوم تطبيق الدالة بإلحاق قيمة الوقت ديناميكيا ب URI بالتنسيق المناسب.
• أضف أي معلمات عامل تصفية إضافية، للمتغير filterParameters ، والتي تحتاج إلى إلحاقها ب URI. يجب فصل كل معلمة بواسطة رمز "&" ويجب ألا تتضمن أي مسافات.
• timeInterval قم بتعيين (بالدقائق) إلى قيمة 5 لتتوافق مع مشغل المؤقت لكل 5 دقيقة. إذا كان الفاصل الزمني يحتاج إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك لمنع استيعاب البيانات المتداخلة.
• ملاحظة: إذا كنت تستخدم Azure Key Vault، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل.
• استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us. 4. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

4. تكوين host.json.

نظرا للكمية الكبيرة المحتملة من بيانات اكتشاف مضيف Qualys التي يتم استيعابها، يمكن أن يتسبب في تجاوز وقت التنفيذ مهلة Function App الافتراضية البالغة خمس دقائق (5). قم بزيادة مدة المهلة الافتراضية إلى عشر (10) دقائق كحد أقصى، ضمن خطة الاستهلاك، للسماح بمزيد من الوقت لتنفيذ Function App.

1. في Function App، حدد Function App Name وحدد جزء App Service Editor .
2. انقر فوق Go لفتح المحرر، ثم حدد ملف host.json ضمن دليل wwwroot .
3. إضافة السطر "functionTimeout": "00:10:00", أعلى managedDependancy السطر
4. تأكد من ظهور SAVED في الزاوية العلوية اليسرى من المحرر، ثم قم بإنهاء المحرر.

ملاحظة: إذا كانت هناك حاجة إلى مدة مهلة أطول، ففكر في الترقية إلى خطة App Service

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.