Connecteur Qualys VM KnowledgeBase (avec Azure Functions) pour Microsoft Sentinel
Le connecteur Qualys Vulnerability Management (VM) KnowledgeBase (base de connaissances) permet d’ingérer les dernières données de vulnérabilité de la base de connaissances Qualys dans Microsoft Sentinel.
Ces données peuvent être utilisées pour mettre en corrélation et enrichir les détections de vulnérabilités trouvées par le connecteur de données Qualys Vulnerability Management (VM).
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | QualysKB_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Vulnérabilités par catégorie
QualysKB
| summarize count() by Category
10 principaux fournisseurs de logiciels
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Prérequis
Pour intégrer à Qualys VM KnowledgeBase (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Clé API Qualys : un nom d’utilisateur et un mot de passe d’API Qualys VM sont requis. Consultez la documentation pour en savoir plus sur l’API Qualys VM.
Instructions d’installation du fournisseur
REMARQUE : ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu et qui est déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias QualysVM Knowledgebase et chargez le code de fonction ou cliquez ici, sur la deuxième ligne de la requête, entrez le ou les noms d’hôte de vos appareils QualysVM Knowledgebase et tous les autres identificateurs uniques du flux de journal. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Suivez les étapes pour utiliser l’alias de fonction Kusto, QualysKB
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 - Étapes de configuration pour l’API Qualys
- Connectez-vous à la console Qualys Vulnerability Management avec un compte administrateur, sélectionnez l’onglet Utilisateurs, puis le sous-onglet Utilisateurs.
- Cliquez sur le menu déroulant Nouveau, puis sélectionnez Utilisateurs.
- Créez un nom d’utilisateur et un mot de passe pour le compte d’API.
- Dans l’onglet Rôles d'utilisateur, assurez-vous que le rôle de compte est défini sur Manager et que l’accès à la GUI et à l’API est autorisé
- Déconnectez-vous du compte administrateur et connectez-vous à la console avec les nouvelles informations d’identification de l’API pour validation, puis déconnectez-vous du compte d’API.
- Reconnectez-vous à la console à l’aide d’un compte administrateur et modifiez les rôles d’utilisateur de comptes d’API, en supprimant l’accès à GUI.
- Enregistrez toutes les modifications.
ÉTAPE 2 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : avant de déployer le connecteur de données Qualys KB, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que le nom d'utilisateur et le mot de passe d’API Qualys, déjà disponibles.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.