Qualys VM KnowledgeBase-Connector (über Azure-Funktionen) für Microsoft Sentinel

  • Artikel

Der KnowledgeBase (KB)-Connector von Qualys Vulnerability Management (VM) bietet die Möglichkeit zum Erfassen der neuesten Sicherheitsrisikodaten aus der Qualys KB in Microsoft Sentinel.

Mithilfe dieser Daten können Sicherheitsrisikoerkennungen, die vom Qualys Vulnerability Management (VM)-Datenconnector gefunden wurden, korreliert und angereichert werden.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen QualysKB_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Sicherheitsrisiken nach Kategorie

QualysKB

| summarize count() by Category

Wichtigste 10 Softwareanbieter

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Voraussetzungen

Stellen Sie für die Integration in Qualys VM KnowledgeBase (über Azure-Funktionen) sicher, dass Folgendes vorhanden ist:

Installationsanweisungen des Anbieters

HINWEIS: Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „QualysVM KnowledgeBase“, und laden Sie den Funktionscode, oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage den/die Hostnamen Ihrer QualysVM KnowledgeBase-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Folgen Sie diesen Schritten zur Verwendung des Kusto-Funktions-Alias QualysKB.

(Optionaler Schritt) Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder Token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Qualys-API

  1. Melden Sie sich mit einem Administratorkonto an der Qualys Vulnerability Management-Konsole an, und wählen Sie die Registerkarte Users (Benutzer) und die Unterregisterkarte Users (Benutzer) aus.
  2. Klicken Sie auf das Dropdownmenü Neu, und wählen Sie Benutzer aus.
  3. Erstellen Sie einen Benutzernamen und ein Kennwort für das API-Konto.
  4. Stellen Sie auf der Registerkarte Benutzerrollen sicher, dass die Kontorolle auf Manager festgelegt ist und dass der Zugriff auf GUI und API zulässig ist.
  5. Melden Sie sich beim Administratorkonto ab, und melden Sie sich zur Überprüfung mit den neuen API-Anmeldeinformationen an der Konsole an. Melden Sie sich nach der Überprüfung beim API-Konto ab.
  6. Melden Sie sich wieder mit einem Administratorkonto an der Konsole an, und ändern Sie die Benutzerrollen der API-Konten, indem Sie den Zugriff auf die GUI (grafische Benutzeroberfläche) entfernen.
  7. Speichern Sie alle Änderungen.

SCHRITT 2: Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Halten Sie vor der Bereitstellung des Qualys KB-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie den Benutzernamen und das Kennwort für die Qualys-API bereit.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.