Łącznik qualys VM KnowledgeBase (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik bazy wiedzy KnowledgeBase (KB) qualys vulnerability Management (VM) zapewnia możliwość pozyskiwania najnowszych danych luk w zabezpieczeniach z bazy wiedzy Qualys do usługi Microsoft Sentinel.
Te dane mogą służyć do korelowania i wzbogacania wykrywania luk w zabezpieczeniach wykrytych przez łącznik danych rozwiązania Qualys Vulnerability Management (VM).
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | QualysKB_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Luki w zabezpieczeniach według kategorii
QualysKB
| summarize count() by Category
10 najlepszych dostawców oprogramowania
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Wymagania wstępne
Aby zintegrować aplikację Qualys VM KnowledgeBase (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Klucz interfejsu API qualys: wymagana jest nazwa użytkownika i hasło interfejsu API maszyny wirtualnej Qualys. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API maszyny wirtualnej firmy Qualys.
Instrukcje instalacji dostawcy
UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias QualysVM Knowledgebase i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń Bazy wiedzy QualysVM i inne unikatowe identyfikatory strumienia dzienników. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Wykonaj kroki, aby użyć aliasu funkcji Kusto QualysKB
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
KROK 1. Kroki konfiguracji dla interfejsu API Qualys
- Zaloguj się do konsoli zarządzania lukami w zabezpieczeniach qualys przy użyciu konta administratora, wybierz kartę Użytkownicy i podtabę Użytkownicy.
- Kliknij menu rozwijane Nowy i wybierz pozycję Użytkownicy.
- Utwórz nazwę użytkownika i hasło dla konta interfejsu API.
- Na karcie Role użytkownika upewnij się, że rola konta jest ustawiona na Menedżer , a dostęp jest dozwolony dla graficznego interfejsu użytkownika i interfejsu API
- Wyloguj się z konta administratora i zaloguj się do konsoli przy użyciu nowych poświadczeń interfejsu API w celu weryfikacji, a następnie wyloguj się z konta interfejsu API.
- Zaloguj się z powrotem do konsoli przy użyciu konta administratora i zmodyfikuj konta użytkowników kont interfejsu API, usuwając dostęp do graficznego interfejsu użytkownika.
- Zapisz wszystkie zmiany.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika Qualys KB należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także nazwę użytkownika i hasło interfejsu API Qualys, łatwo dostępne.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.