Microsoft Sentinel 用 Qualys VM KnowledgeBase コネクタ (Azure Functions を使用)

  • [アーティクル]

Qualys Vulnerability Management (VM) ナレッジベース (KB) コネクタには、Qualys KB から Microsoft Sentinel に最新の脆弱性データを取り込む機能が用意されています。

このデータは、Qualys Vulnerability Management (VM) データ コネクタによって検出された脆弱性検出を関連付け、強化するために使用できます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル QualysKB_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

脆弱性 (カテゴリ別)

QualysKB

| summarize count() by Category

上位 10 社のソフトウェア ベンダー

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

前提条件

(Azure Functions を使用して) Qualys VM KnowledgeBase と統合するには、次のことを確認してください。

ベンダーのインストール手順

注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックしてエイリアス QualysVM Knowledgebase を検索し、関数コードを読み込むか ここをクリックします。クエリの 2 行目で、QualysVM Knowledgebase デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 Kusto 関数のエイリアス QualysKB を使用するには、こちらの手順に従ってください

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

手順 1 - Qualys API の構成手順

  1. 管理者アカウントを使用して Qualys Vulnerability Management コンソールにログインし、 [ユーザー] タブと [ユーザー] サブタブを選択します。
  2. [新規] ドロップダウン メニューをクリックし、[ユーザー] を選択します。
  3. API アカウントのユーザー名とパスワードを作成します。
  4. [ユーザー ロール] タブで、アカウント ロールが [マネージャー] に設定され、GUIAPI へのアクセスが許可されていることを確認します
  5. 管理者アカウントからログアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからログアウトします。
  6. 管理者アカウントを使用してコンソールにログインし直し、API アカウントのユーザー ロールを変更して、GUI へのアクセスを削除します。
  7. すべての変更を保存します。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと、関連付けられている Azure 関数をデプロイする

重要: Qualys KB コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Qualys API のユーザー名とパスワードをすぐに使用できるようにしておいてください。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。