Conector Qualys VM KnowledgeBase (usando o Azure Functions) para Microsoft Sentinel
O conector Qualys Vulnerability Management (VM) KnowledgeBase (KB) fornece a capacidade de ingerir os dados de vulnerabilidade mais recentes do Qualys KB no Microsoft Sentinel.
Esses dados podem ser usados para correlacionar e enriquecer as deteções de vulnerabilidade encontradas pelo conector de dados do Qualys Vulnerability Management (VM).
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | QualysKB_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Vulnerabilidades por categoria
QualysKB
| summarize count() by Category
Os 10 principais fornecedores de software
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Pré-requisitos
Para integrar com o Qualys VM KnowledgeBase (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Chave da API do Qualys: um nome de usuário e uma senha da API da VM do Qualys são necessários. Consulte a documentação para saber mais sobre a API de VM do Qualys.
Instruções de instalação do fornecedor
NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar como esperado, que é implementado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias QualysVM Knowledgebase e carregue o código da função ou clique aqui, na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) da Base de Conhecimento QualysVM e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para usar o alias de função Kusto, QualysKB
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
PASSO 1 - Etapas de configuração para a API do Qualys
- Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários .
- Clique no menu suspenso Novo e selecione Usuários.
- Crie um nome de usuário e senha para a conta da API.
- Na guia Funções de Usuário, verifique se a função de conta está definida como Gerente e se o acesso é permitido à GUI e à API
- Termine sessão na conta de administrador e inicie sessão na consola com as novas credenciais da API para validação e, em seguida, termine sessão na conta da API.
- Faça login novamente no console usando uma conta de administrador e modifique as funções de usuário das contas de API, removendo o acesso à GUI.
- Salve todas as alterações.
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector KB do Qualys, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados do seguinte), bem como o nome de usuário e a senha da API do Qualys, prontamente disponíveis.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.