Compartilhar via


Conector Qualys VM KnowledgeBase (usando o Azure Functions) para o Microsoft Sentinel

O conector da KnowledgeBase (KB) Qualys Vulnerability Management (VM) oferece a capacidade de ingerir os dados de vulnerabilidade mais recentes do Qualys KB no Microsoft Sentinel.

Esses dados podem ser usados para correlacionar e enriquecer as detecções de vulnerabilidade encontradas pelo conector de dados Qualys Vulnerability Management (VM).

Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics QualysKB_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Microsoft Corporation

Exemplos de consulta

Vulnerabilidades por categoria

QualysKB

| summarize count() by Category

Dez principais fornecedores de software

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Pré-requisitos

Para se integrar ao Qualys VM KnowledgeBase (usando o Azure Functions) verifique se você tem:

Instruções de instalação do fornecedor

OBSERVAÇÃO: esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise o alias QualysVM Knowledgebase e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host de seus dispositivos QualysVM Knowledgebase e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para usar o alias da função do Kusto, QualysKB

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

ETAPA 1 – Etapas de configuração da API do Qualys

  1. Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários.
  2. Clique no menu suspenso Novo e selecione Usuários.
  3. Crie um nome de usuário e uma senha para a conta de API.
  4. Na guia Funções de usuário, verifique se a função da conta está definida como Gerente e que haja permissão de acesso para a GUI e a API
  5. Faça logoff da conta de administrador e faça logon no console do com as novas credenciais de API para validação, depois faça logoff da conta de API.
  6. Faça logon novamente no console usando uma conta de administrador e modifique as Funções de Usuário das contas de API, removendo o acesso à GUI.
  7. Salvar todas as alterações.

ETAPA 2 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e o Azure Function associado

IMPORTANTE: antes de implantar o conector do Qualys KB, tenha em mãos a ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas a seguir), bem como o nome de usuário e senha da API do Qualys.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.