Megosztás a következőn keresztül:

A Qualys sebezhetőségi kezelése (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Qualys biztonságirés-kezelési (VM-) adatösszekötő lehetővé teszi a biztonságirés-gazda észlelési adatainak betöltését a Microsoft Sentinelbe a Qualys API-n keresztül. Az összekötő betekintést nyújt a vulerability vizsgálatokból származó gazdagépészlelési adatokba. Ez az összekötő lehetővé teszi a Microsoft Sentinel számára az irányítópultok megtekintését, egyéni riasztások létrehozását és a vizsgálat javítását

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Alkalmazásbeállítások apiUsername
apiPassword
workspaceID
workspaceKey
Uri
filterParameters
timeInterval
logAnalyticsUri (nem kötelező)
Azure-függvényalkalmazás kódja https://aka.ms/sentinel-QualysVM-functioncodeV2
Log Analytics-tábla(ok) QualysHostDetectionV2_CL
QualysHostDetection_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Top 10 Qualys V2 Vulerabilities észlelt

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

A 10 leggyakoribb vulerabilitás észlelhető

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Előfeltételek

A Qualys sebezhetőségi kezelésével (az Azure Functions használatával) való integrációhoz győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Qualys API-kulcs: Egy Qualys VM API-felhasználónévre és jelszóra van szükség. A Qualys VM API-val kapcsolatos további információkért tekintse meg a dokumentációt.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Qualys virtuális géphez, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A Qualys VM API konfigurációs lépései

  1. Jelentkezzen be a Qualys biztonságirés-kezelési konzolba egy rendszergazdai fiókkal, válassza a Felhasználók lapot és a Felhasználók allapot.
  2. Kattintson az Új legördülő menüre, és válassza a Felhasználók lehetőséget.
  3. Hozzon létre egy felhasználónevet és jelszót az API-fiókhoz.
  4. A Felhasználói szerepkörök lapon győződjön meg arról, hogy a fiókszerepkör managerre van állítva, és a hozzáférés engedélyezve van a GUI-hoz és az API-hoz
  5. Jelentkezzen ki a rendszergazdai fiókból, és jelentkezzen be a konzolra az új API-hitelesítő adatokkal az ellenőrzéshez, majd jelentkezzen ki az API-fiókból.
  6. Jelentkezzen be a konzolra egy rendszergazdai fiókkal, és módosítsa az API-fiókok felhasználói szerepkörét, és távolítsa el a felhasználói felülethez való hozzáférést.
  7. Mentse az összes módosítást.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A Qualys virtuálisgép-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a Qualys VM API engedélyezési kulcs(ok) könnyen elérhető.

Feljegyzés

Ez az összekötő frissült, ha korábban telepített egy korábbi verziót, és frissíteni szeretne, a verzió ismételt üzembe helyezése előtt törölje a meglévő Qualys virtuális gép Azure-függvényét. Használja a Qualys V2-es verziójú munkafüzetet, észleléseket.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető a Qualys virtuálisgép-összekötő ARM Tempate használatával.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban Üzembe helyezés az Azure Governmentben

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a munkaterület azonosítóját, munkaterületkulcsát, API-felhasználónevét, API-jelszavát , frissítse az URI-t és minden további URI szűrőparamétert (minden szűrőt "&" szimbólummal kell elválasztani, szóköz nélkül).)

  • Adja meg a régiónak megfelelő URI-t. Az API Server URL-címeinek teljes listája itt található – Nincs szükség idő utótag hozzáadására az URI-hoz, a függvényalkalmazás dinamikusan hozzáfűzi az időértéket az URI-hoz a megfelelő formátumban.
  • Az alapértelmezett időintervallum az utolsó öt (5) perc adat lekérésére van beállítva. Ha módosítani kell az időintervallumot, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját (a function.json fájlban, az üzembe helyezés után), hogy megakadályozza az átfedésben lévő adatbetöltést.
  • Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját . 4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fenti feltételeket és feltételeket. 5. Az üzembe helyezéshez kattintson a Vásárlás gombra.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

A Quayls virtuálisgép-összekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat az Azure Functions használatával.

1. Függvényalkalmazás létrehozása

  1. Az Azure Portalon lépjen a Függvényalkalmazásra, és válassza a + Hozzáadás lehetőséget.
  2. Az Alapok lapon győződjön meg arról, hogy a Futtatókörnyezet verem PowerShell Core-ra van állítva.
  3. Az Üzemeltetés lapon győződjön meg arról, hogy a Használat (Kiszolgáló nélküli) csomagtípus van kiválasztva.
  4. Szükség esetén végezze el az egyéb előnyben részesíthető konfigurációs módosításokat, majd kattintson a Létrehozás gombra.

2. Függvényalkalmazás kódjának importálása

  1. Az újonnan létrehozott függvényalkalmazásban válassza a Függvények lehetőséget a bal oldali panelen, és kattintson az + Új függvény elemre.
  2. Válassza az Időzítő eseményindítót.
  3. Adjon meg egy egyedi függvénynevet, és hagyja meg az alapértelmezett cron-ütemezést 5 percenként, majd kattintson a Létrehozás gombra.
  4. Kattintson a kód + teszt elemre a bal oldali panelen.
  5. Másolja ki a függvényalkalmazás kódját , és illessze be a függvényalkalmazás-szerkesztőbe run.ps1 .
  6. Kattintson a Mentés gombra.

3. A függvényalkalmazás konfigurálása

  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
  2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
  3. Adja hozzá egyenként a következő nyolc (8) alkalmazásbeállítást a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetésével): apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (nem kötelező)
  • Adja meg a régiónak megfelelő URI-t. Az API Server URL-címeinek teljes listája itt található. Az uri értéknek a következő sémát kell követnie: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= - Nincs szükség idő utótag hozzáadására az URI-hoz, a függvényalkalmazás dinamikusan hozzáfűzi az időértéket az URI-hoz a megfelelő formátumban.
  • Adjon hozzá további szűrőparamétereket a filterParameters változóhoz, amelyeket hozzá kell fűzni az URI-hoz. Minden paramétert "&" szimbólummal kell elválasztani, és nem tartalmazhat szóközöket.
  • Állítsa a timeInterval (percekben megadott) értéket 5 úgy, hogy az megfeleljen az egyes 5 percek időzítő eseményindítójának. Ha az időintervallumot módosítani kell, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját az átfedésben lévő adatbetöltés megakadályozása érdekében.
  • Megjegyzés: Az Azure Key Vault használata esetén a sztringértékek@Microsoft.KeyVault(SecretUri={Security Identifier})helyett használja a sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .
  • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us. 4. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

4. Konfigurálja a host.json.

A Qualys-gazdagép észlelési adatainak betöltése miatt a végrehajtási idő meghaladhatja az öt (5) perces alapértelmezett függvényalkalmazás-időtúllépést. Növelje az alapértelmezett időtúllépési időtartamot legfeljebb tíz (10) percre a Használati terv alatt, hogy több idő hasson a függvényalkalmazás végrehajtására.

  1. A függvényalkalmazásban válassza a függvényalkalmazás nevét, majd az App Service-szerkesztő panelt.
  2. Kattintson az Ugrás gombra a szerkesztő megnyitásához, majd válassza ki a host.json fájlt a wwwroot könyvtárban.
  3. A sor fölötti managedDependancy sor "functionTimeout": "00:10:00", hozzáadása
  4. Győződjön meg arról, hogy a MENTETT elem megjelenik a szerkesztő jobb felső sarkában, majd lépjen ki a szerkesztőből.

MEGJEGYZÉS: Ha hosszabb időtúllépési időtartamra van szükség, fontolja meg az App Service-csomagra való frissítést

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.