Microsoft Sentinel용 Qualys Vulnerability Management(Azure Functions 사용) 커넥터

Qualys Vulnerability Management(VM) 데이터 커넥터는 Qualys API를 통해 취약성 호스트 검색 데이터를 Microsoft Sentinel에 수집하는 기능을 제공합니다. 커넥터는 취약성 검사에서 호스트 탐지 데이터에 대한 가시성을 제공합니다. 이 커넥터는 Microsoft Sentinel에 대시보드 보기, 사용자 지정 경고 만들기, 조사 개선 기능을 제공합니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성	설명
애플리케이션 설정	apiUsername apiPassword workspaceID workspaceKey uri filterParameters TimeInterval logAnalyticsUri(선택 사항)
Azure 함수 앱 코드	https://aka.ms/sentinel-QualysVM-functioncodeV2
Log Analytics 테이블	QualysHostDetectionV2_CL QualysHostDetection_CL
데이터 수집 규칙 지원	현재 지원되지 않음
다음에서 지원	Microsoft Corporation

쿼리 샘플

Qualys V2 Vulerabilities 상위 10개 검색됨

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

검색된 상위 10개 불레라 능력

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

필수 조건

Qualys Vulnerability Management(Azure Functions 사용)와 통합하려면 다음을 확인합니다.

• Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
• Qualys API 키: Qualys VM API 사용자 이름과 암호가 필요합니다. Qualys VM API에 대해 자세히 알아보려면 설명서를 참조하세요.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 Qualys VM에 연결하여 해당 로그를 Microsoft Sentinel로 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - Qualys VM API 구성 단계

1. 관리자 계정으로 Qualys 취약성 관리 콘솔에 로그인하고 사용자 탭과 사용자 하위 탭을 선택합니다.
2. 새로 만들기 드롭다운 메뉴를 클릭하고 사용자..를 선택합니다.
3. API 계정의 사용자 이름과 암호를 만듭니다.
4. 사용자 역할 탭에서 계정 역할이 관리자로 설정되어 있고 GUI 및 API에 대한 액세스가 허용되어 있는지 확인합니다.
5. 관리자 계정에서 로그아웃하고 유효성 검사를 위해 새 API 자격 증명으로 콘솔에 로그인한 다음 API 계정에서 로그아웃합니다.
6. 관리자 계정을 사용하여 콘솔에 다시 로그인하고 API 계정 사용자 역할을 수정하여 GUI에 대한 액세스 권한을 제거합니다.
7. 모든 변경 내용을 저장합니다.

2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수 배포

중요: Qualys VM 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론 Qualys VM API 권한 부여 키도 즉시 사용할 수 있어야 합니다.

참고 항목

이 커넥터는 업데이트되었습니다. 이전에 이전 버전을 배포했고 업데이트하려는 경우 이 버전을 다시 배포하기 전에 기존 Qualys VM Azure 함수를 삭제하세요. Qualys V2 버전 통합 문서, 검색을 사용하세요.

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Qualys VM 커넥터를 자동으로 배포하려면 이 방법을 사용합니다.

1. 아래에서 Azure에 배포 단추를 클릭합니다.

   

2. 선호하는 구독, 리소스 그룹 및 위치를 선택합니다.

3. 작업 영역 ID, 작업 영역 키, API 사용자 이름, API 암호를 입력하고 URI 및 추가 URI 필터 매개 변수를 업데이트합니다(각 필터는 공백 없이 "&" 기호로 구분되어야 함).

• 해당 지역에 해당하는 URI를 입력합니다. API 서버 URL의 전체 목록은 여기에서 확인할 수 있습니다. -- URI에 시간 접미사를 추가할 필요가 없습니다. 함수 앱은 적절한 형식으로 URI에 시간 값을 동적으로 추가합니다.

• 기본 시간 간격은 마지막 5분 동안의 데이터를 가져오도록 설정되어 있습니다. 시간 간격을 수정해야 하는 경우 데이터 수집이 겹치는 것을 방지하기 위해 그에 따라 배포 후 function.json 파일에서 함수 앱 타이머 트리거를 변경하는 것이 좋습니다.

• 참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier})스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요. 4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다. 5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

Azure Functions를 사용하여 Quayls VM 커넥터를 수동으로 배포하려면 다음 단계별 지침을 따르세요.

1. 함수 앱 만들기

1. Azure Portal에서 함수 앱으로 이동하고 + 추가를 선택합니다.
2. 기본 사항 탭에서 런타임 스택이 Powershell Core로 설정되어 있는지 확인합니다.
3. 호스팅 탭에서 사용량(서버리스) 플랜 유형이 선택되어 있는지 확인합니다.
4. 필요한 경우 다른 원하는 구성을 변경한 다음 만들기를 클릭합니다.

2. 함수 앱 코드 가져오기

1. 새로 만들어진 함수 앱의 왼쪽 창에서 함수를 선택하고 + 새 함수를 클릭합니다.
2. 타이머 트리거를 선택합니다.
3. 고유한 함수 이름을 입력하고 기본 크론 일정을 5분마다 유지한 다음 만들기를 클릭합니다.
4. 왼쪽 창에서 코드 + 테스트를 클릭합니다.
5. 함수 앱 코드를 복사하여 함수 앱 run.ps1 편집기에 붙여넣습니다.
6. 저장을 클릭합니다.

3. 함수 앱 구성

1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
3. 다음 8개의 애플리케이션 설정을 해당 문자열 값(대/소문자 구분)을 사용하여 개별적으로 추가: apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri(선택 사항)

• 해당 지역에 해당하는 URI를 입력합니다. API 서버 URL의 전체 목록은 여기에서 확인할 수 있습니다. uri 값은 다음 스키마를 따라야 함: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- URI에 시간 접미사를 추가할 필요가 없습니다. 함수 앱은 시간 값을 적절한 형식으로 URI에 동적으로 추가합니다.
• URI에 추가해야 하는 filterParameters 변수에 대한 추가 필터 매개 변수를 추가합니다. 각 매개 변수는 "&" 기호로 구분되어야 하며 공백을 포함하면 안 됩니다.
• 5분마다 타이머 트리거에 해당하도록 timeInterval(분 단위)을 5 값으로 설정합니다. 시간 간격을 수정해야 하는 경우 데이터 수집이 겹치는 것을 방지하기 위해 그에 따라 함수 앱 타이머 트리거를 변경하는 것이 좋습니다.
• 참고: Azure Key Vault를 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier})스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
• logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 https://<CustomerId>.ods.opinsights.azure.us 형식으로 값을 지정합니다. 4. 모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.

4. Host.json을 구성합니다.

잠재적으로 많은 양의 Qualys 호스트 탐지 데이터가 수집되기 때문에 실행 시간이 기본 기능 앱 제한 시간인 5분을 초과할 수 있습니다. 기능 앱이 실행되는 데 더 많은 시간을 허용하려면 소비 계획에서 기본 시간 제한을 최대 10분으로 늘립니다.

1. 함수 앱에서 함수 앱 이름을 선택하고 App Service 편집기 블레이드를 선택합니다.
2. 이동을 클릭하여 편집기를 연 다음 wwwroot 디렉터리에서 host.json 파일을 선택합니다.
3. managedDependancy 줄 위에 "functionTimeout": "00:10:00", 줄 추가
4. 편집기의 오른쪽 상단에 저장됨이 표시되는지 확인한 다음 편집기를 종료합니다.

참고: 더 긴 시간 초과 기간이 필요한 경우 App Service 계획으로 업그레이드하는 것이 좋습니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.