Microsoft Sentinel 用 Qualys Vulnerability Management (Azure Functions を使用) コネクタ

Qualys Vulnerability Management (VM) データ コネクタには、Qualys API を使用して脆弱性ホスト検出データを Microsoft Sentinel に取り込む機能が用意されています。 このコネクタを使用すると、脆弱性スキャンのホスト検出データを可視化できます。 このコネクタにより、Microsoft Sentinel でダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性	説明
アプリケーションの設定	apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (省略可能)
Azure 関数アプリのコード	https://aka.ms/sentinel-QualysVM-functioncodeV2
Log Analytics テーブル	QualysHostDetectionV2_CL QualysHostDetection_CL
データ収集ルールのサポート	現在、サポートされていません
サポートしているもの	Microsoft Corporation

クエリのサンプル

検出された上位 10 個の Qualys V2 の脆弱性

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

検出された上位 10 個の脆弱性

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

前提条件

Qualys Vulnerability Management (Azure Functions を使用) と統合するには、次のものがあることを確認します。

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
• Qualys API キー: Qualys VM API のユーザー名とパスワードが必要です。 Qualys VM API の詳細については、こちらのドキュメントを参照してください。

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使用して Qualys VM に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。

手順 1 - Qualys VM API の構成手順

1. 管理者アカウントを使用して Qualys Vulnerability Management コンソールにログインし、 [ユーザー] タブと [ユーザー] サブタブを選択します。
2. [新規] ドロップダウン メニューをクリックし、[ユーザー] を選択します。
3. API アカウントのユーザー名とパスワードを作成します。
4. [ユーザー ロール] タブで、アカウント ロールが [マネージャー] に設定され、GUI と API へのアクセスが許可されていることを確認します
5. 管理者アカウントからログアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからログアウトします。
6. 管理者アカウントを使用してコンソールにログインし直し、API アカウントのユーザー ロールを変更して、GUI へのアクセスを削除します。
7. すべての変更を保存します。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと、関連付けられている Azure 関数をデプロイする

重要: Qualys VM コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Qualys VM API の認可キーをすぐに使用できるようにしておいてください。

注意

このコネクタは更新されました。以前のバージョンをデプロイしていて、更新する場合は、このバージョンを再デプロイする前に、既存の Qualys VM Azure 関数を削除してください。 検出される Qualys V2 バージョンのブックを使用してください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM テンプレートを使用して Qualys VM データ コネクタを自動的にデプロイするには、この方法を使用します。

1. 下の [Azure へのデプロイ] ボタンをクリックします。

   

2. ご希望の [サブスクリプション]、[リソース グループ]、[場所] を選択します。

3. ワークスペース ID、ワークスペース キー、API のユーザー名、API のパスワード を入力し、URI を更新します。追加の URI フィルター パラメーターを入力します (各フィルターを "&" 記号で区切る必要があり、スペースを含めることはできません)。

• リージョンに対応する URI を入力します。 API Server URL の完全な一覧については、こちらを参照してください- URI に時刻サフィックスを追加する必要はありません。関数アプリは、適切な形式で URI に時間値を動的に追加します。

• 既定の [時間間隔] では、最後の 5 分間のデータをプルするように設定されています。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、(function.json ファイルのデプロイ後に) 関数アプリ タイマー トリガーを適宜変更することをお勧めします。

• 注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。 4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

次の詳細な説明に従い、Azure Functions を使用して Qualys VM コネクタを手動でデプロイします。

1. 関数アプリを作成する

1. Azure Portal から [関数アプリ] に移動し、[+ 追加] を選びます。
2. [基本] タブで、[ランタイム スタック] が [Powershell Core] に設定されていることを確認します。
3. [ホスティング] タブで、[従量課金 (サーバーレス)] のプランの種類が選ばれていることを確認します。
4. 必要に応じてその他の希望の構成変更を行い、[作成] をクリックします。

2. 関数アプリ コードをインポートする

1. 新しく作成した関数アプリの左側のペインで [関数] を選択し、[+ 新しい関数] をクリックします。
2. [タイマー トリガー] を選択します。
3. 一意の関数の [名前] を入力し、既定の cron スケジュールを 5 分ごとのままにして、[作成] をクリックします。
4. 左側のペインで [コードとテスト] をクリックします。
5. 関数アプリ コードをコピーし、関数アプリ run.ps1 エディターに貼り付けます。
6. [保存] をクリックします。

3. 関数アプリを構成する

1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
3. 次の 8 つの各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字を区別): apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (省略可能)

• リージョンに対応する URI を入力します。 API Server URL の完全な一覧については、こちらを参照してください。 uri の値は https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= のスキーマに従う必要があります。URI に時刻サフィックスを追加する必要はありません。関数アプリが適切な形式で URI に時間値を動的に追加します。
• URI に追加する必要がある、filterParameters 変数のフィルター パラメーターを追加します。 各パラメーターを "&" 記号で区切る必要があり、スペースを含めることはできません。
• timeInterval (分単位) を値 5 に設定します。これは、5 分ごとの時間トリガーに対応します。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、関数アプリ タイマー トリガーを適宜変更することをお勧めします。
• 注: Azure Key Vault を使用している場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。
• 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。 4. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

4. host.json ファイルを構成する。

大量の Qualys ホスト検出データが取り込まれる可能性があるため、実行時間が関数アプリの既定のタイムアウトである 5 分を超える可能性があります。 従量課金プランで、既定のタイムアウト時間を最大の 10 分に増やして、関数アプリを実行できる時間を増やします。

1. 関数アプリで、関数アプリ名を選択し、 [App Service Editor] ブレードを選択します。
2. [移動] をクリックしてエディターを開いた後、wwwroot ディレクトリの host.json ファイルを選択します。
3. 行 managedDependancy の前に行 "functionTimeout": "00:10:00", を追加します
4. [保存済み] がエディターの右上隅に表示されたことを確認してから、エディターを終了します。

注: より長いタイムアウト時間が必要な場合は、App Service プランへのアップグレードを検討してください

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。