Поделиться через


Соединитель KnowledgeBase виртуальных машин Qualys (с помощью Функции Azure) для Microsoft Sentinel

Соединитель KnowledgeBase (КБ) Qualys Vulnerability Management (VM) предоставляет возможность приема последних данных об уязвимостях из qualys КБ в Microsoft Sentinel.

Эти данные могут использоваться для сопоставления и обогащения обнаружения уязвимостей, обнаруженных соединителем данных Qualys Management (VM).

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics QualysKB_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Уязвимости по категориям

QualysKB

| summarize count() by Category

Лучшие 10 поставщиков программного обеспечения

QualysKB

| summarize count() by SoftwareVendor 

| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с Qualys VM KnowledgeBase (с помощью Функции Azure), убедитесь, что у вас есть:

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним QualysVM Knowledgebase и загрузите код функции или щелкните здесь, во второй строке запроса введите имя узла для устройств Базы знаний QualysVM и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните действия, чтобы использовать псевдоним функции Kusto, Qualys КБ

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке ДЛЯ API Qualys

  1. Войдите в консоль Qualys Vulnerability Management с учетной записью администратора, выберите вкладку Users (Пользователи) и подчиненную вкладку Users (Пользователи).
  2. Щелкните раскрывающееся меню "Создать" и выберите "Пользователи".
  3. Создайте имя пользователя и пароль для учетной записи API.
  4. На вкладке User Roles (Роли пользователя) убедитесь, что для роли учетной записи задано значение Manager (Диспетчер) и разрешен доступ к GUI (графический пользовательский интерфейс) и API.
  5. Выйдите из учетной записи администратора и войдите в консоль с новыми учетными данными API для проверки, а затем выйдите из учетной записи API.
  6. Снова войдите в консоль с помощью учетной записи администратора и измените роли пользователя учетной записи API, удалив доступ к графическому пользовательскому интерфейсу.
  7. Сохраните все изменения.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Прежде чем развертывать соединитель Qualys КБ, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела), а также имя пользователя и пароль API Qualys.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.