Conector Qualys Vulnerability Management (mediante Azure Function) para Microsoft Sentinel

  • Artículo

El conector de datos Qualys Vulnerability Management (VM) proporciona la capacidad de ingerir datos de detección de host de vulnerabilidades en Microsoft Sentinel mediante la API de Qualys. El conector proporciona visibilidad de los datos de detección de host de los exámenes de vulnerabilidad. Este conector proporciona a Microsoft Sentinel la funcionalidad de ver paneles, crear alertas personalizadas y mejorar la investigación.

Este contenido se genera automáticamente. En relación con los cambios, ponte en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Configuración de la aplicación apiUsername
apiPassword
workspaceID
workspaceKey
uri
filterParameters
timeInterval
logAnalyticsUri (opcional)
Código de la aplicación de funciones de Azure https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabla de Log Analytics QualysHostDetectionV2_CL
QualysHostDetection_CL
Soporte de reglas de recopilación de datos No se admite actualmente.
Compatible con Microsoft Corporation

Ejemplos de consultas

Principales 10 vulnerabilidades detectadas por Qualys V2

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

Principales 10 vulnerabilidades detectadas

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Requisitos previos

Para realizar la integración con Qualys Vulnerability Management (mediante Azure Function), asegúrese de que tiene:

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse a Qualys VM para extraer sus registros en Microsoft Sentinel. Esto podría generar costes adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de configuración para la API de Qualys VM

  1. Inicie sesión en la consola de administración de vulnerabilidades de Qualys con una cuenta de administrador, seleccione la pestaña Users (Usuarios) y la subpestaña Users (Usuarios).
  2. Haga clic en el menú desplegable Nuevo y seleccione Usuarios.
  3. Cree un nombre de usuario y una contraseña para la cuenta de API.
  4. En la pestaña User Roles (Roles de usuario), asegúrese de que el rol de la cuenta está establecido en Manager (Administrador) y de que se permite el acceso a GUI y API.
  5. Cierre la sesión de la cuenta de administrador, inicie sesión en la consola con las nuevas credenciales de API para la validación y, después, cierre la sesión de la cuenta de API.
  6. Vuelva a iniciar sesión en la consola con una cuenta de administrador y modifique las cuentas de API, los roles de usuario y quite el acceso a la GUI.
  7. Guarde todos los cambios.

PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de Qualys VM, tenga a mano el identificador y la clave principal del área de trabajo (se pueden copiar con las indicaciones siguientes), así como las claves de autorización de la API de Qualys VM.

Nota

Este conector se ha actualizado. Si ha implementó una versión anterior y quiere actualizarlo, elimine la función Qualys VM de Azure existente antes de volver a implementar esta versión. Use el libro de versiones de Qualys V2, detecciones.

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector Qualys VM mediante una instancia de ARM Tempate.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en AzureImplementar en Azure Gov

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Escribe el identificador del área de trabajo, la clave del área de trabajo, el nombre de usuario de la API, la contraseña de API, actualiza el URI y los Parámetros de filtro de URI adicionales (cada filtro debe estar separado por un símbolo "&", sin espacios).

  • Escriba el URI correspondiente a su región. La lista completa de direcciones URL del servidor de API se puede encontrar aquí: no es necesario agregar un sufijo de hora al URI, la aplicación de funciones anexará dinámicamente el valor de hora al URI en el formato adecuado.
  • El Intervalo de tiempo predeterminado se establece para extraer los últimos cinco (5) minutos de datos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de aplicación de funciones de forma correspondiente (en el archivo function.jsen, tras la implementación) para evitar la superposición en la ingesta de datos.
  • Nota: Si utiliza secretos de Azure Key Vault para cualquiera de los valores anteriores, use el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada. 4. Active la casilla de verificación Acepto los términos y condiciones establecidos anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones detalladas para implementar en conector de Qualys VM manualmente con Azure Functions.

1. Crear una aplicación de funciones

  1. En Azure Portal, vaya a Aplicación de funciones y seleccione + Agregar.
  2. En la pestaña Aspectos básicos, asegúrese de que la pila del entorno en tiempo de ejecución esté establecida en Powershell Core.
  3. En la pestaña Hospedaje, asegúrese de que el tipo de plan Consumo (sin servidor) está seleccionado.
  4. Realice otros cambios de configuración, si fuera necesario, y haga clic en Crear.

2. Importación del código de la aplicación de funciones

  1. En la aplicación de funciones recién creada, seleccione Funciones en el panel izquierdo y haga clic en + Nueva función.
  2. Seleccione Desencadenador de temporizador.
  3. Escriba un Nombre de función único y deje la programación cron predeterminada de cada 5 minutos y, a continuación, haga clic en Crear.
  4. Haga clic en Código y prueba en el panel izquierdo.
  5. Copie el Código de la aplicación de funciones y péguelo en el editor run.ps1 de la aplicación de funciones.
  6. Haga clic en Save(Guardar).

3. Configuración de la aplicación de funciones

  1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
  2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
  3. Agregue cada una de las ocho (8) configuraciones de aplicación siguientes individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas): apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (opcional)
  • Escriba el URI correspondiente a su región. La lista completa de direcciones URL del servidor de API se puede encontrar aquí. El valor uri debe seguir el esquema siguiente: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=. No es necesario agregar un sufijo de hora al URI, la aplicación de funciones anexará dinámicamente el valor de hora al URI en el formato adecuado.
  • Agregue los parámetros de filtro adicionales, para la variable filterParameters, que deben anexarse al URI. Cada parámetro debe estar separado por un símbolo "&" y no debe incluir ningún espacio.
  • Establezca timeInterval (en minutos) en el valor de 5 para que se corresponda con el desencadenador de temporizador de cada 5 minutos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de aplicación de funciones de forma correspondiente para evitar la superposición en la ingesta de datos.
  • Nota: Si utiliza Azure Key Vault, use el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para obtener información más detallada.
  • Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us. 4. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

4. Configure el archivo host.json.

Debido a la cantidad potencialmente grande de datos de detección de host de Qualys que se ingieren, puede hacer que el tiempo de ejecución supere el tiempo de espera predeterminado de la aplicación de funciones de cinco (5) minutos. Aumente la duración del tiempo de espera predeterminado hasta el máximo de diez (10) minutos, en el Plan de consumo, para permitir más tiempo para que se ejecute la aplicación de funciones.

  1. En la aplicación de funciones, seleccione el nombre y después el panel Editor de App Service.
  2. Haga clic en Ir para abrir el editor y después el archivo host.json en el directorio wwwroot.
  3. Agregue la línea "functionTimeout": "00:10:00", por encima de la línea managedDependancy.
  4. Asegúrese de que aparece GUARDADO en la esquina superior derecha del editor y, después, salga del editor.

NOTA: Si se necesita una tiempo de espera más largo, considere la posibilidad de actualizar a un plan de App Service.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.