Connettore per la gestione delle vulnerabilità Qualys (che utilizza Funzioni di Azure) per Microsoft Sentinel

Il connettore dati Qualys Vulnerability Management (VM) offre la possibilità di inserire dati di rilevamento host di vulnerabilità in Microsoft Sentinel tramite l'API Qualys. Il connettore offre visibilità sui dati di rilevamento host dalle analisi di vulerability. Questo connettore offre a Microsoft Sentinel la possibilità di visualizzare dashboard, creare avvisi personalizzati e migliorare l'analisi

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore	Descrizione
Impostazioni delle applicazioni	apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (facoltativo)
Codice dell'app per le funzioni di Azure	https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabelle Log Analytics	QualysHostDetectionV2_CL QualysHostDetection_CL
Supporto regole di raccolta dati	Non è al momento supportato
Supportata da:	Microsoft Corporation

Esempi di query

Prime 10 vulnerabilità di Qualys V2 rilevate

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

Prime 10 vulnerabilità rilevate

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Prerequisiti

Per l'integrazione con Qualys Vulnerability Management (con Funzioni di Azure) assicurarsi di avere:

• autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
• Chiave API Qualys: è necessario un nome utente e una password dell'API della VM Qualys. Vedere la documentazione per altre informazioni sull'API VM Qualys.

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi alla VM Qualys per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API VM Qualys

1. Accedere alla console di gestione delle vulnerabilità Qualys con un account amministratore, selezionare la scheda Utenti e la sottoscheda Utenti...
2. Fare clic sul menu a discesa Nuovo e selezionare Utenti....
3. Creare un nome utente e una password per l'account API.
4. Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e l'accesso sia concesso a GUI e API
5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
6. Accedere nuovamente alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso all'interfaccia utente grafica.
7. Salvare tutte le modifiche.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore VM Qualys, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (è possibile copiarli da quanto segue), nonché le chiavi di autorizzazione API VM Qualys immediatamente disponibili.

Nota

Questo connettore è stato aggiornato. Se è stata distribuita in precedenza una versione meno recente e si desidera eseguire l'aggiornamento, eliminare la funzione VM Qualys di Azure prima di ridistribuire questa versione. Usare la cartella di lavoro Qualys V2, rilevamenti.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore di VM Qualys usando un modello ARM.

1. Fare clic sul pulsante Distribuisci in Azure sotto.

   

2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

3. Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, il nome utente dell'API, la password dell'API, aggiornare l'URI ed eventuali parametri di filtro URI aggiuntivi (ogni filtro dovrebbe essere separato da un simbolo "&", senza spazi).

• Immettere l'URI corrispondente all'area. L'elenco completo degli URL del server API è disponibile qui : non è necessario aggiungere un suffisso time all'URI, l'App per le funzioni aggiungerà dinamicamente il valore ora all'URI nel formato corretto.

• L'Intervallo di tempo predefinito è impostato per eseguire il pull degli ultimi cinque (5) minuti di dati. Se è necessario modificare l'intervallo di tempo, è consigliabile modificare il trigger Timer dell'App per le funzioni come pertinente (nel file di function.json post-distribuzione) per impedire la sovrapposizione dell'inserimento di dati.

• Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo schema@Microsoft.KeyVault(SecretUri={Security Identifier})al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault. 4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra. 5. Fare clic su Acquista per effettuare la distribuzione.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore di Quayls VM con Funzioni di Azure.

1. Creare un'App per le funzioni

1. Nel portale di Azure andare App per le funzioni e selezionare + Aggiungi.
2. Nella scheda Dati principali verificare che lo Stack di runtime sia impostato su PowerShell Core.
3. Nella scheda Hosting verificare che sia selezionato il tipo di piano A consumo (serverless).
4. Apportare altre modifiche di configurazione preferite, se necessario, quindi fare clic su Crea.

2. Importa codice dell'App per le funzioni

1. Nell'App per le funzioni appena creata selezionare Funzioni nel riquadro sinistro e fare clic su + Nuova funzione.
2. Selezionare Trigger Timer.
3. Immettere una funzione univoca Nome e lasciare la pianificazione cron predefinita di ogni 5 minuti, quindi fare clic su Crea.
4. Fare clic su Codice + test nel riquadro sinistro.
5. Copiare il codice dell'App per le funzioni e incollarlo nell'editor run.ps1 dell'App per le funzioni.
6. Fare clic su Salva.

3. Configurare l'App per le funzioni

1. Nell'App per le funzioni selezionare Nome App per le funzioni seguito da Configurazione.
2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione
3. Aggiungere singolarmente ognuna delle otto (8) impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): apiUsername apiPassword workspaceID workspaceId filter uriParameters timeInterval logAnalyticsUri (facoltativo)

• Immettere l'URI corrispondente all'area. L'elenco completo degli URL del server API è disponibile qui. Il valore uri deve seguire lo schema seguente: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- non è necessario aggiungere un suffisso time all'URI, l'App per le funzioni aggiungerà dinamicamente il valore ora all'URI nel formato corretto.
• Aggiungere eventuali parametri di filtro aggiuntivi, per la variabile filterParameters, che devono essere aggiunti all'URI. Ogni parametro dovrebbe essere separato da un simbolo "&" e non dovrebbe includere spazi.
• Impostare timeInterval (in minuti) sul valore di 5 in modo che corrisponda al trigger Timer di ogni 5 minuti. Se è necessario modificare l'intervallo di tempo, è consigliabile modificare il trigger Timer dell'App per le funzioni come pertinente per impedire la sovrapposizione dell'inserimento di dati.
• Nota: se si usa Azure Key Vault, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.
• Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us. 4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

4. Configurare il host.json.

A causa della quantità potenzialmente elevata di dati di rilevamento host Qualys inseriti, può causare il superamento del timeout predefinito dell'App per le funzioni di cinque (5) minuti. Aumentare la durata predefinita del timeout fino al massimo di dieci (10) minuti, in base al piano a consumo, per consentire più tempo per l'esecuzione dell'App per le funzioni.

1. Nell'App per le funzioni selezionare il nome dell'App per le funzioni quindi selezionare il pannello Editor del Servizio app.
2. Fare clic su Vai per aprire l'editor, quindi selezionare il file host.json nella directory wwwroot.
3. Aggiungere la riga "functionTimeout": "00:10:00", sopra la riga managedDependancy
4. Assicurarsi che SALVATO venga visualizzato nell'angolo superiore destro dell'editor, quindi uscire dall'editor.

NOTA: se è necessaria una durata di timeout più lunga, prendere in considerazione l'aggiornamento a un Piano di Servizio app

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.