Conector do Qualys Vulnerability Management (usando o Azure Functions) para o Microsoft Sentinel

O conector de dados do Qualys Vulnerability Management (VM) fornece a capacidade de ingerir dados de deteção de host de vulnerabilidade no Microsoft Sentinel por meio da API do Qualys. O conector fornece visibilidade dos dados de deteção do host a partir de varreduras de vulerabilidade. Esse conector fornece ao Microsoft Sentinel a capacidade de exibir painéis, criar alertas personalizados e melhorar a investigação

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector	Description
Configurações do aplicativo	apiUsername apiPassword ID do espaço de trabalho chave do espaço de trabalho uri filterParameters timeInterval logAnalyticsUri (opcional)
Código do aplicativo de função do Azure	https://aka.ms/sentinel-QualysVM-functioncodeV2
Tabela(s) do Log Analytics	QualysHostDetectionV2_CL QualysHostDetection_CL
Suporte a regras de coleta de dados	Não é suportado atualmente
Apoiado por	Corporação Microsoft

Exemplos de consulta

Top 10 Qualys V2 Vulerabilities detetadas

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

Top 10 Vulerabilidades detetadas

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

Pré-requisitos

Para integrar com o Gerenciamento de Vulnerabilidades do Qualys (usando o Azure Functions), verifique se você tem:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
• Chave da API do Qualys: um nome de usuário e uma senha da API da VM do Qualys são necessários. Consulte a documentação para saber mais sobre a API de VM do Qualys.

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar à VM do Qualys para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

ETAPA 1 - Etapas de configuração para a API da VM do Qualys

1. Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários .
2. Clique no menu suspenso Novo e selecione Usuários..
3. Crie um nome de usuário e senha para a conta da API.
4. Na guia Funções de Usuário, verifique se a função de conta está definida como Gerente e se o acesso é permitido à GUI e à API
5. Termine sessão na conta de administrador e inicie sessão na consola com as novas credenciais da API para validação e, em seguida, termine sessão na conta da API.
6. Faça login novamente no console usando uma conta de administrador e modifique as funções de usuário das contas de API, removendo o acesso à GUI.
7. Salve todas as alterações.

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector de VM do Qualys, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (que podem ser copiadas do seguinte), bem como a(s) chave(s) de autorização da API da VM do Qualys, prontamente disponíveis.

Nota

Este conector foi atualizado, se você tiver implantado anteriormente uma versão anterior e quiser atualizar, exclua a Função do Azure da VM Qualys existente antes de reimplantar esta versão. Por favor, use Qualys V2 versão Workbook, deteções.

Opção 1 - Modelo do Azure Resource Manager (ARM)

Use esse método para implantação automatizada do conector Qualys VM usando um ARM Tempate.

1. Clique no botão Implantar no Azure abaixo.

   

2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

3. Insira o ID do espaço de trabalho, a chave do espaço de trabalho, o nome de usuário da API, a senha da API, atualize o URI e quaisquer parâmetros de filtro de URI adicionais (cada filtro deve ser separado por um símbolo "&", sem espaços.)

• Insira o URI que corresponde à sua região. A lista completa de URLs do Servidor de API pode ser encontrada aqui -- Não há necessidade de adicionar um sufixo de tempo ao URI, o Aplicativo de Função acrescentará dinamicamente o Valor de Tempo ao URI no formato adequado.

• O intervalo de tempo padrão é definido para extrair os últimos cinco (5) minutos de dados. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo (no arquivo function.json, pós-implantação) para evitar a ingestão de dados sobrepostos.

• Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes. 4. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 5. Clique em Comprar para implantar.

Opção 2 - Implantação manual do Azure Functions

Use as instruções passo a passo a seguir para implantar o conector de VM Quayls manualmente com o Azure Functions.

1. Crie um aplicativo de função

1. No Portal do Azure, navegue até Aplicativo de Função e selecione + Adicionar.
2. Na guia Noções básicas, verifique se a pilha de tempo de execução está definida como Powershell Core.
3. Na guia Hospedagem, verifique se o tipo de plano Consumo (sem servidor) está selecionado.
4. Faça outras alterações de configuração preferíveis, se necessário, e clique em Criar.

2. Importar código do aplicativo de função

1. No aplicativo de função recém-criado, selecione Funções no painel esquerdo e clique em + Nova função.
2. Selecione Gatilho de temporizador.
3. Insira um Nome de Função exclusivo e deixe a agenda cron padrão a cada 5 minutos e clique em Criar.
4. Clique em Código + Teste no painel esquerdo.
5. Copie o código do aplicativo de função e cole no editor do aplicativo run.ps1 de função.
6. Clique em Guardar.

3. Configurar o aplicativo de função

1. No Aplicativo de Função, selecione o Nome do Aplicativo de Função e selecione Configuração.
2. Na guia Configurações do aplicativo, selecione + Nova configuração do aplicativo.
3. Adicione cada uma das seguintes oito (8) configurações de aplicativo individualmente, com seus respetivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas): apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (opcional)

• Insira o URI que corresponde à sua região. A lista completa de URLs do Servidor de API pode ser encontrada aqui. O uri valor deve seguir o seguinte esquema: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- Não há necessidade de adicionar um sufixo de tempo ao URI, o aplicativo de função acrescentará dinamicamente o valor de tempo ao URI no formato adequado.
• Adicione quaisquer parâmetros de filtro adicionais, para a filterParameters variável, que precisam ser acrescentados ao URI. Cada parâmetro deve ser separado por um símbolo "&" e não deve incluir espaços.
• Defina o timeInterval (em minutos) para o valor de para corresponder ao gatilho do 5 temporizador de cada 5 minuto. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo para evitar a ingestão de dados sobrepostos.
• Observação: se estiver usando o Cofre da Chave do Azure, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores da cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.
• Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de log para nuvem dedicada. Por exemplo, para nuvem pública, deixe o valor vazio; para o ambiente de nuvem Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us. 4. Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar.

4. Configure o host.json.

Devido à quantidade potencialmente grande de dados de deteção de host Qualys sendo ingeridos, isso pode fazer com que o tempo de execução ultrapasse o tempo limite padrão do aplicativo de função de cinco (5) minutos. Aumente a duração do tempo limite padrão para o máximo de dez (10) minutos, de acordo com o Plano de Consumo, para permitir mais tempo para a execução do Aplicativo de Função.

1. No Aplicativo de Função, selecione o Nome do Aplicativo de Função e selecione a folha Editor do Serviço de Aplicativo.
2. Clique em Ir para abrir o editor e, em seguida, selecione o arquivo host.json no diretório wwwroot .
3. Adicionar a linha "functionTimeout": "00:10:00", acima da managedDependancy linha
4. Verifique se SALVO aparece no canto superior direito do editor e saia do editor.

NOTA: Se for necessária uma duração de tempo limite mais longa, considere atualizar para um Plano do Serviço de Aplicativo

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.