Konektor Qualys Vulnerability Management (menggunakan Azure Functions) untuk Microsoft Sentinel

Konektor data Qualys Vulnerability Management (VM) menyediakan kemampuan untuk menyerap data deteksi host kerentanan ke Microsoft Azure Sentinel melalui API Qualys. Konektor memberikan visibilitas ke dalam data deteksi host dari pemindaian kerentanan. Konektor ini menyediakan kemampuan Microsoft Azure Sentinel untuk melihat dasbor, membuat pemberitahuan kustom, dan meningkatkan penyelidikan

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor	Deskripsi
Pengaturan aplikasi	apiUsername apiPassword #workspaceid workspaceKey uri filterParameters timeInterval logAnalyticsUri (opsional)
Kode aplikasi fungsi Azure	https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabel Log Analytics	QualysHostDetectionV2_CL QualysHostDetection_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Microsoft Corporation

Kueri sampel

10 Vulerabilities Qualys V2 teratas terdeteksi

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

10 Vulerabilities teratas terdeteksi

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Prasyarat

Untuk berintegrasi dengan Qualys Vulnerability Management (menggunakan Azure Functions) pastikan Anda memiliki:

• Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
• Kunci API Qualys: Nama pengguna dan kata sandi API Qualys VM diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Qualys VM API.

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke Qualys VM untuk menarik lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

LANGKAH 1 - Langkah konfigurasi untuk Qualys VM API

1. Masuk ke konsol Qualys Vulnerability Management dengan akun admin, pilih tab Pengguna dan subtab Pengguna.
2. Klik menu drop-down Baru dan pilih Pengguna..
3. Buat nama pengguna dan kata sandi untuk akun API.
4. Di tab Peran Pengguna, pastikan peran pengguna ditetapkan sebagai Pengelola dan diizinkan mengakses GUI dan API
5. Keluar dari akun admin lalu masuk ke konsol dengan kredensial API baru untuk validasi, lalu keluar dari akun API.
6. Masuk lagi ke konsol menggunakan akun admin, lalu ubah Peran Pengguna akun API, untuk menghapus akses ke GUI.
7. Simpan semua perubahan.

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor Qualys VM, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta Kunci Otorisasi API Qualys VM, tersedia dengan mudah.

Catatan

Konektor ini telah diperbarui, jika sebelumnya Anda telah menyebarkan versi yang lebih lama, dan ingin memperbarui, hapus Fungsi Azure Qualys VM yang ada sebelum menyebarkan ulang versi ini. Silakan gunakan Buku Kerja versi Qualys V2, deteksi.

Opsi 1 - Templat Azure Resource Manager (ARM)

Gunakan metode ini untuk penyebaran otomatis konektor Qualys VM menggunakan ARM Tempate.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

3. Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Nama Pengguna API, Kata Sandi API, perbarui URI, dan Parameter Filter URI tambahan (setiap filter harus dipisahkan oleh simbol "&", tanpa spasi.)

• Masukkan URI yang sesuai dengan wilayah Anda. Daftar lengkap URL API Server dapat ditemukan di sini -- Tidak perlu menambahkan akhiran waktu ke URI, Aplikasi Fungsi akan secara dinamis menambahkan Nilai Waktu ke URI dalam format yang tepat.

• Interval Waktu default diatur untuk menarik lima (5) menit terakhir data. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai (dalam file function.json, pasca penyebaran) untuk mencegah penyerapan data yang tumpang tindih.

• Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut. 4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas. 5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor Quayls VM secara manual dengan Azure Functions.

1. Buat Aplikasi Fungsi

1. Dari Portal Microsoft Azure, navigasikan ke Aplikasi Fungsi, dan pilih + Tambahkan.
2. Di tab Dasar , pastikan Tumpukan Runtime diatur ke Powershell Core.
3. Di tab Hosting , pastikan jenis paket Konsumsi (Tanpa Server) dipilih.
4. Buat perubahan konfigurasi lain yang lebih disukai, jika diperlukan, lalu klik Buat.

2. Impor Kode Aplikasi Fungsi

1. Di Aplikasi Fungsi yang baru dibuat, pilih Fungsi di panel kiri dan klik + Fungsi Baru.
2. Pilih Pemicu Timer.
3. Masukkan Nama Fungsi unik dan biarkan jadwal cron default setiap 5 menit, lalu klik Buat.
4. Klik Kode + Uji di panel kiri.
5. Salin Kode Aplikasi Fungsi dan tempelkan ke editor Aplikasi run.ps1 Fungsi.
6. Klik Simpan.

3. Mengonfigurasi Aplikasi Fungsi

1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
3. Tambahkan masing-masing dari delapan (8) pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): apiUsername apiPassword workspaceID workspaceID filter uri uriKey filter TimeInterval logAnalyticsUri (opsional)

• Masukkan URI yang sesuai dengan wilayah Anda. Daftar lengkap URL API Server dapat ditemukan di sini. Nilai uri harus mengikuti skema berikut: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- Tidak perlu menambahkan akhiran waktu ke URI, Aplikasi Fungsi akan menambahkan Nilai Waktu secara dinamis ke URI dalam format yang tepat.
• Tambahkan parameter filter tambahan apa pun, untuk filterParameters variabel , yang perlu ditambahkan ke URI. Setiap parameter harus dipisahkan oleh simbol "&" dan tidak boleh menyertakan spasi apa pun.
• Atur timeInterval (dalam menit) ke nilai 5 yang sesuai dengan Pemicu Timer setiap 5 menit. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai untuk mencegah penyerapan data yang tumpang tindih.
• Catatan: Jika menggunakan Azure Key Vault, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.
• Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us. 4. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

4. Konfigurasikan host.json.

Karena jumlah data deteksi host Qualys yang terserap mungkin besar, ini dapat menyebabkan waktu eksekusi melampaui batas waktu Aplikasi Fungsi default yaitu lima (5) menit. Tingkatkan durasi batas waktu default hingga maksimal sepuluh (10) menit, di bagian Rencana Konsumsi, untuk memberikan waktu eksekusi yang lebih banyak untuk Aplikasi Fungsi.

1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi lalu pilih bilah Editor Layanan Aplikasi.
2. Klik Buka untuk membuka editor, lalu pilih file host.json di bawah direktori wwwroot .
3. Menambahkan baris "functionTimeout": "00:10:00", di atas managedDependancy baris
4. Pastikan DISIMPAN muncul di sudut kanan atas editor, lalu keluar dari editor.

CATATAN: Jika durasi batas waktu yang lebih lama diperlukan, pertimbangkan untuk meningkatkan ke Paket App Service

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.