Connettore Qualys VM KnowledgeBase (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore Qualys Vulnerability Management (VM) KnowledgeBase (KB) offre la possibilità di inserire i dati di vulnerabilità più recenti dalla Knowledge Base Qualys in Microsoft Sentinel.

Questi dati possono essere usati per correlare e arricchire i rilevamenti delle vulnerabilità rilevati dal connettore dati Qualys Vulnerability Management (VM).

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics QualysKB_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

Vulnerabilità per categoria

QualysKB

| summarize count() by Category

Primi 10 fornitori di software

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Prerequisiti

Per eseguire l'integrazione con Qualys VM KnowledgeBase (usando Funzioni di Azure) assicurarsi di avere:

Istruzioni di installazione fornitore

NOTA: questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias QualysVM Knowledgebase e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query, immettere i nomi host dei dispositivi Della Knowledgebase QualysVM e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire la procedura per usare l'alias della funzione Kusto, QualysKB

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API Qualys

  1. Accedere alla console qualys Vulnerability Management con un account amministratore, selezionare la scheda Utenti e la sottoscheda Utenti.
  2. Fare clic sul menu a discesa Nuovo e selezionare Utenti.
  3. Creare un nome utente e una password per l'account API.
  4. Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e che l'accesso sia consentito all'interfaccia utente grafica e all'API
  5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
  6. Accedere nuovamente alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso all'interfaccia utente grafica.
  7. Salvare tutte le modifiche.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore Qualys KB, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dai seguenti), nonché il nome utente e la password dell'API Qualys, immediatamente disponibile.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.