Partager via

Connecteur Qualys VM KnowledgeBase (avec Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur Qualys Vulnerability Management (VM) KnowledgeBase (base de connaissances) permet d’ingérer les dernières données de vulnérabilité de la base de connaissances Qualys dans Microsoft Sentinel.

Ces données peuvent être utilisées pour mettre en corrélation et enrichir les détections de vulnérabilités trouvées par le connecteur de données Qualys Vulnerability Management (VM).

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics QualysKB_CL
Prise en charge des règles de collecte des données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

Vulnérabilités par catégorie

QualysKB

| summarize count() by Category

10 principaux fournisseurs de logiciels

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Prérequis

Pour intégrer à Qualys VM KnowledgeBase (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

Instructions d’installation du fournisseur

REMARQUE : ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu et qui est déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias QualysVM Knowledgebase et chargez le code de fonction ou cliquez ici, sur la deuxième ligne de la requête, entrez le ou les noms d’hôte de vos appareils QualysVM Knowledgebase et tous les autres identificateurs uniques du flux de journal. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Suivez les étapes pour utiliser l’alias de fonction Kusto, QualysKB

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 - Étapes de configuration pour l’API Qualys

  1. Connectez-vous à la console Qualys Vulnerability Management avec un compte administrateur, sélectionnez l’onglet Utilisateurs, puis le sous-onglet Utilisateurs.
  2. Cliquez sur le menu déroulant Nouveau, puis sélectionnez Utilisateurs.
  3. Créez un nom d’utilisateur et un mot de passe pour le compte d’API.
  4. Dans l’onglet Rôles d'utilisateur, assurez-vous que le rôle de compte est défini sur Manager et que l’accès à la GUI et à l’API est autorisé
  5. Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification de l’API pour validation, puis déconnectez-vous du compte d’API.
  6. Reconnectez-vous à la console à l’aide d’un compte administrateur et modifiez les rôles d’utilisateur de comptes d’API, en supprimant l’accès à GUI.
  7. Enregistrez toutes les modifications.

ÉTAPE 2 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : avant de déployer le connecteur de données Qualys KB, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que le nom d'utilisateur et le mot de passe d’API Qualys, déjà disponibles.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.