Conector Qualys VM KnowledgeBase (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector de KnowledgeBase (KB) de Administración de vulnerabilidad de Qualys (VM) proporciona la capacidad de ingerir los datos de vulnerabilidad más recientes de Qualys KB en Microsoft Sentinel.

Estos datos se pueden usar para correlacionar y enriquecer las detecciones de vulnerabilidades que encuentra el conector de datos Qualys Vulnerability Management (VM).

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics QualysKB_CL
Soporte de reglas de recopilación de datos No se admite actualmente.
Compatible con Microsoft Corporation

Ejemplos de consultas

Vulnerabilidades por categoría

QualysKB

| summarize count() by Category

Principales 10 proveedores de software

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Requisitos previos

Para realizar la integración con Qualys VM KnowledgeBase (mediante Azure Functions), asegúrese de que tiene:

Instrucciones de instalación del proveedor

NOTA: este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementa como parte de la solución. Para ver el código de función en Log Analytics, abra la hoja Log Analytics/Microsoft Sentinel Logs, haz clic en Funciones y busca el alias QualysVM Knowledgebase y carga el código de función o haz clic aquí, en la segunda línea de la consulta, ingrese los nombres de host de tus dispositivos QualysVM Knowledgebase y cualquier otro identificador único para el flujo de registro. La función normalmente tardará entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto. Siga los pasos para usar el alias de función de Kusto, QualysKB

(Paso opcional) Almacene de forma segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de configuración para la API de Qualys

  1. Inicie sesión en la consola de administración de vulnerabilidades de Qualys con una cuenta de administrador, seleccione la pestaña Users (Usuarios) y la subpestaña Users (Usuarios).
  2. Haga clic en el menú desplegable Nuevo y seleccione Usuarios.
  3. Cree un nombre de usuario y una contraseña para la cuenta de API.
  4. En la pestaña User Roles (Roles de usuario), asegúrese de que el rol de la cuenta está establecido en Manager (Administrador) y de que se permite el acceso a GUI y API.
  5. Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.
  6. Vuelva a iniciar sesión en la consola con una cuenta de administrador y modifique las cuentas de API, los roles de usuario y quite el acceso a la GUI.
  7. Guarde todos los cambios.

PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de Qualys KB, tenga a mano el identificador y la clave principal del área de trabajo (se pueden copiar con las indicaciones siguientes), así como el nombre de usuario y la contraseña de la API de Qualys.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.