Connettore Qualys VM KnowledgeBase (con Funzioni di Azure) per Microsoft Sentinel
Il connettore Qualys Vulnerability Management (VM) KnowledgeBase (KB) offre la possibilità di inserire i dati di vulnerabilità più recenti dalla Knowledge Base Qualys in Microsoft Sentinel.
Questi dati possono essere usati per correlare e arricchire i rilevamenti delle vulnerabilità rilevati dal connettore dati Qualys Vulnerability Management (VM).
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | QualysKB_CL |
| Supporto delle regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Vulnerabilità per categoria
QualysKB
| summarize count() by Category
Primi 10 fornitori di software
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Prerequisiti
Per eseguire l'integrazione con Qualys VM KnowledgeBase (usando Funzioni di Azure) assicurarsi di avere:
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
- Chiave API Qualys: è necessario un nome utente e una password dell'API della macchina virtuale Qualys. Vedere la documentazione per altre informazioni sull'API della macchina virtuale Qualys.
Istruzioni di installazione fornitore
NOTA: questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias QualysVM Knowledgebase e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query, immettere i nomi host dei dispositivi Della Knowledgebase QualysVM e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire la procedura per usare l'alias della funzione Kusto, QualysKB
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.
PASSAGGIO 1 - Passaggi di configurazione per l'API Qualys
- Accedere alla console qualys Vulnerability Management con un account amministratore, selezionare la scheda Utenti e la sottoscheda Utenti.
- Fare clic sul menu a discesa Nuovo e selezionare Utenti.
- Creare un nome utente e una password per l'account API.
- Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e che l'accesso sia consentito all'interfaccia utente grafica e all'API
- Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
- Accedere nuovamente alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso all'interfaccia utente grafica.
- Salvare tutte le modifiche.
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore Qualys KB, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dai seguenti), nonché il nome utente e la password dell'API Qualys, immediatamente disponibile.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.