Megosztás a következőn keresztül:

Qualys VM KnowledgeBase (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Qualys Biztonságirés-kezelési (VM) Tudásbázis (KB) összekötő lehetővé teszi a Qualys KB legújabb biztonságirés-adatainak a Microsoft Sentinelbe való betöltését.

Ezek az adatok a Qualys Biztonságirés-kezelési (VM-) adatösszekötő által talált biztonságirés-észlelések korrelációjához és bővítéséhez használhatók.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) QualysKB_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Biztonsági rések kategória szerint

QualysKB

| summarize count() by Category

A 10 legjobb szoftverszállító

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Előfeltételek

Ha a Qualys virtuálisgép-tudásbázissal (az Azure Functions használatával) szeretne integrálni, győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Qualys API-kulcs: Egy Qualys VM API-felhasználónévre és jelszóra van szükség. A Qualys VM API-val kapcsolatos további információkért tekintse meg a dokumentációt.

Szállító telepítési útmutatója

MEGJEGYZÉS: Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Logs panelt, kattintson a Functions elemre, és keresse meg a QualysVM Tudásbázis aliast, és töltse be a függvénykódot, vagy kattintson ide, a lekérdezés második sorában adja meg a QualysVM Tudásbázis eszköz(ek) állomásnevét és a naplóstream egyéb egyedi azonosítóit. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön. Kövesse az alábbi lépéseket a Kusto függvény aliasának, a QualysKB-nek a használatához

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A Qualys API konfigurációs lépései

  1. Jelentkezzen be a Qualys biztonságirés-kezelési konzolba egy rendszergazdai fiókkal, válassza a Felhasználók lapot és a Felhasználók allapot.
  2. Kattintson az Új legördülő menüre, és válassza a Felhasználók lehetőséget.
  3. Hozzon létre egy felhasználónevet és jelszót az API-fiókhoz.
  4. A Felhasználói szerepkörök lapon győződjön meg arról, hogy a fiókszerepkör managerre van állítva, és a hozzáférés engedélyezve van a GUI-hoz és az API-hoz
  5. Jelentkezzen ki a rendszergazdai fiókból, és jelentkezzen be a konzolra az új API-hitelesítő adatokkal az ellenőrzéshez, majd jelentkezzen ki az API-fiókból.
  6. Jelentkezzen be a konzolra egy rendszergazdai fiókkal, és módosítsa az API-fiókok felhasználói szerepkörét, és távolítsa el a felhasználói felülethez való hozzáférést.
  7. Mentse az összes módosítást.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A Qualys KB-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a Qualys API felhasználónévvel és jelszóval, amely könnyen elérhető.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.