Conector Qualys Vulnerability Management (mediante Azure Function) para Microsoft Sentinel

Artículo
30/04/2024

El conector de datos Qualys Vulnerability Management (VM) proporciona la capacidad de ingerir datos de detección de host de vulnerabilidades en Microsoft Sentinel mediante la API de Qualys. El conector proporciona visibilidad de los datos de detección de host de los exámenes de vulnerabilidad. Este conector proporciona a Microsoft Sentinel la funcionalidad de ver paneles, crear alertas personalizadas y mejorar la investigación.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector	Descripción
Configuración de la aplicación	apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (opcional)
Código de la aplicación de funciones de Azure	https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabla de Log Analytics	QualysHostDetectionV2_CL QualysHostDetection_CL
Soporte de reglas de recopilación de datos	No se admite actualmente.
Compatible con	Microsoft Corporation

Ejemplos de consultas

10 vulnerabilidades principales detectadas por Qualys V2

Kusto

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

10 vulnerabilidades principales detectadas

Kusto

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Requisitos previos

Para realizar la integración con Qualys Vulnerability Management (mediante Azure Function), asegúrese de que tiene:

Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
Clave de API de Qualys: se requiere un nombre de usuario y una contraseña de la API de Qualys VM. Consulte la documentación para obtener más información sobre la API de Qualys VM.

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse a Qualys VM para extraer sus registros en Microsoft Sentinel. Esto podría generar costes adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de configuración para la API de Qualys VM

Inicie sesión en la consola de administración de vulnerabilidades de Qualys con una cuenta de administrador, seleccione la pestaña Users (Usuarios) y la subpestaña Users (Usuarios).
Haga clic en el menú desplegable Nuevo y seleccione Usuarios.
Cree un nombre de usuario y una contraseña para la cuenta de API.
En la pestaña User Roles (Roles de usuario), asegúrese de que el rol de la cuenta está establecido en Manager (Administrador) y de que se permite el acceso a GUI y API.
Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.
Vuelva a iniciar sesión en la consola con una cuenta de administrador y modifique las cuentas de API, los roles de usuario y quite el acceso a la GUI.
Guarde todos los cambios.

PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de Qualys VM, tenga a mano el identificador y la clave principal del área de trabajo (se pueden copiar con las indicaciones siguientes), así como las claves de autorización de la API de Qualys VM.

Nota

Este conector se ha actualizado. Si ha implementó una versión anterior y quiere actualizarlo, elimine la función Qualys VM de Azure existente antes de volver a implementar esta versión. Use el libro de versiones de Qualys V2, detecciones.

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de máquina virtual de Qualys mediante una plantilla de ARM.

Haga clic en el botón Implementar en Azure que aparece a continuación.
Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.
Escribe el identificador del área de trabajo, la clave del área de trabajo, el nombre de usuario de la API, la contraseña de API, actualiza el URI y los Parámetros de filtro de URI adicionales (cada filtro debe estar separado por un símbolo "&", sin espacios).

Escriba el URI correspondiente a su región. La lista completa de direcciones URL del servidor de API se puede encontrar aquí: no es necesario agregar un sufijo de hora al URI, la aplicación de funciones anexará dinámicamente el valor de hora al URI en el formato adecuado.

El Intervalo de tiempo predeterminado se establece para extraer los últimos cinco (5) minutos de datos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de aplicación de funciones de forma correspondiente (en el archivo function.jsen, tras la implementación) para evitar la superposición en la ingesta de datos.

Nota: Si utiliza secretos de Azure Key Vault para cualquiera de los valores anteriores, use el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada. 4. Active la casilla de verificación Acepto los términos y condiciones establecidos anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones detalladas para implementar en conector de Qualys VM manualmente con Azure Functions.

1. Crear una aplicación de funciones

En Azure Portal, vaya a Aplicación de funciones y seleccione + Agregar.
En la pestaña Aspectos básicos, asegúrese de que la pila del entorno en tiempo de ejecución esté establecida en Powershell Core.
En la pestaña Hospedaje, asegúrese de que el tipo de plan Consumo (sin servidor) está seleccionado.
Realice otros cambios de configuración preferibles; si es necesario, haga clic en Crear.

2. Importación del código de la aplicación de funciones

En la aplicación de funciones recién creada, seleccione Funciones en el panel izquierdo y haga clic en + Nueva función.
Seleccione Desencadenador de temporizador.
Escriba un Nombre de función único y deje la programación cron predeterminada de cada 5 minutos y, a continuación, haga clic en Crear.
Haga clic en Código y prueba en el panel izquierdo.
Copie el Código de la aplicación de funciones y péguelo en el editor run.ps1 de la aplicación de funciones.
Haga clic en Save(Guardar).

3. Configuración de la aplicación de funciones

En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
Agregue cada una de las ocho (8) configuraciones de aplicación siguientes individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas): apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (opcional)

Escriba el URI correspondiente a su región. La lista completa de direcciones URL del servidor de API se puede encontrar aquí. El valor uri debe seguir el esquema siguiente: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=. No es necesario agregar un sufijo de hora al URI, la aplicación de funciones anexará dinámicamente el valor de hora al URI en el formato adecuado.

Agregue los parámetros de filtro adicionales, para la variable filterParameters, que deben anexarse al URI. Cada parámetro debe estar separado por un símbolo "&" y no debe incluir ningún espacio.

Establezca timeInterval (en minutos) en el valor de 5 para que se corresponda con el desencadenador de temporizador de cada 5 minutos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de aplicación de funciones de forma correspondiente para evitar la superposición en la ingesta de datos.

Nota: Si utiliza Azure Key Vault, use el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para obtener información más detallada.

Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us. 4. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

4. Configure el archivo host.json.

Debido a la cantidad potencialmente grande de datos de detección de host de Qualys que se ingieren, puede hacer que el tiempo de ejecución supere el tiempo de espera predeterminado de la aplicación de funciones de cinco (5) minutos. Aumente la duración del tiempo de espera predeterminado hasta el máximo de diez (10) minutos, en el Plan de consumo, para permitir más tiempo para que se ejecute la aplicación de funciones.

En la aplicación de funciones, seleccione el nombre y después el panel Editor de App Service.
Haga clic en Ir para abrir el editor y después el archivo host.json en el directorio wwwroot.
Agregue la línea "functionTimeout": "00:10:00", por encima de la línea managedDependency.
Asegúrese de que aparece GUARDADO en la esquina superior derecha del editor y, después, salga del editor.

NOTA: Si se necesita una tiempo de espera más largo, considere la posibilidad de actualizar a un plan de App Service.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.

Recursos adicionales

Documentación

Ingesta de alertas basadas en la suscripción de Microsoft Defender for Cloud en Microsoft Sentinel

Aprenda a conectar alertas de seguridad de Microsoft Defender for Cloud y transmitirlas a Microsoft Sentinel.
Búsqueda del conector de datos de Microsoft Sentinel

Obtenga información sobre los pasos de configuración específicos de los conectores de datos de Microsoft Sentinel.
Conector Qualys VM KnowledgeBase (mediante Azure Functions) para Microsoft Sentinel

Aprenda a instalar el conector Qualys VM KnowledgeBase (mediante Azure Functions) para conectar el origen de datos a Microsoft Sentinel.
Conector de Administración de vulnerabilidades Tenable (mediante Azure Functions) para Microsoft Sentinel

Aprenda a instalar el conector Tenable Administración de vulnerabilidades (mediante Azure Functions) para conectar el origen de datos a Microsoft Sentinel.
Conector Cribl para Microsoft Sentinel

Aprenda a instalar el conector Cribl para conectar su origen de datos a Microsoft Sentinel.
Conector Rapid7 Insight Platform Vulnerability Management Reports (mediante Azure Functions) para Microsoft Sentinel

Aprenda a instalar el conector Rapid7 Insight Platform Vulnerability Management Reports (mediante Azure Functions) para conectar el origen de datos a Microsoft Sentinel.
Administración del ciclo de vida completo de las soluciones en desuso en Microsoft Sentinel

Este artículo le guía por el proceso de identificación de soluciones en desuso en Microsoft Sentinel y la administración del ciclo de vida de estas soluciones.
Conector Forcepoint DLP para Microsoft Sentinel

Aprenda a instalar el conector Forcepoint DLP para conectar su origen de datos a Microsoft Sentinel.

Cursos

Módulo

Conexión de hosts de Windows a Microsoft Sentinel - Training

Conexión de hosts de Windows a Microsoft Sentinel

Certificación

Microsoft Certified: Security Operations Analyst Associate - Certifications

Investigue, busque y mitigue amenazas mediante Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft 365 Defender.

Compartir a través de