다음을 통해 공유

Microsoft Sentinel용 Qualys VM KnowledgeBase(Azure Functions 사용) 커넥터

  • 아티클

Qualys VM(Vulnerability Management) KB(KnowledgeBase) 커넥터는 Qualys KB에서 Microsoft Sentinel로 최신 취약성 데이터를 수집하는 기능을 제공합니다.

이 데이터를 사용하여 Qualys VM(Vulnerability Management) 데이터 커넥터로 검색된 취약성 검색의 상관 관계를 지정하고 보강할 수 있습니다.

자동 생성된 콘텐츠입니다. 변경하려면 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 QualysKB_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Microsoft Corporation

쿼리 샘플

범주별 취약성

QualysKB

| summarize count() by Category

상위 10개의 소프트웨어 공급업체

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

필수 조건

Qualys VM KnowledgeBase(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.

공급업체 설치 지침

참고: 이 데이터 커넥터는 솔루션의 일부로 배포되는 Kusto 함수 기반 파서에 따라 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel Logs 블레이드를 열고 Functions를 클릭한 후 QualysVM Knowledgebase 별칭을 검색하고 함수 코드를 로드하거나 여기를 클릭하고, 쿼리의 두 번째 줄에서 QualysVM Knowledgebase 디바이스의 호스트 이름과 로그 스트림의 기타 고유 식별자를 입력합니다. 솔루션 설치/업데이트 후 함수가 활성화되는 데 일반적으로 10~15분이 소요됩니다.

이 데이터 커넥터는 정상적으로 작동하기 위해 Kusto 함수를 기반으로 하는 파서를 사용합니다. 단계에 따라 Kusto 함수 별칭, QualysKB를 사용합니다.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - Qualys API에 대한 구성 단계

  1. 관리자 계정으로 Qualys 취약성 관리 콘솔에 로그인하고 사용자 탭과 사용자 하위 탭을 선택합니다.
  2. 새로 만들기 드롭다운 메뉴를 클릭하고 사용자를 선택합니다.
  3. API 계정의 사용자 이름과 암호를 만듭니다.
  4. 사용자 역할 탭에서 계정 역할이 관리자로 설정되어 있고 GUIAPI에 대한 액세스가 허용되어 있는지 확인합니다.
  5. 관리자 계정에서 로그아웃하고 유효성 검사를 위해 새 API 자격 증명으로 콘솔에 로그인한 다음 API 계정에서 로그아웃합니다.
  6. 관리자 계정을 사용하여 콘솔에 다시 로그인하고 API 계정 사용자 역할을 수정하여 GUI에 대한 액세스 권한을 제거합니다.
  7. 모든 변경 내용을 저장합니다.

2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure Function 배포

중요: Qualys KB 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Qualys API 사용자 이름 및 암호를 쉽게 사용할 수 있도록 합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.