你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Microsoft Sentinel 的 Qualys Vulnerability Management（使用 Azure Functions）连接器

项目
05/02/2024

Qualys 漏洞管理 (VM) 数据连接器提供通过 Qualys API 将漏洞主机检测数据引入 Microsoft Sentinel 的功能。此连接器为漏洞扫描中的主机检测数据提供可见性。通过此连接器，Microsoft Sentinel 可以查看仪表板、创建自定义警报和改进调查

这是自动生成的内容。有关更改，请联系解决方案提供商。

连接器属性

连接器属性	说明
应用程序设置	apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri（可选）
Azure 函数应用代码	https://aka.ms/sentinel-QualysVM-functioncodeV2
Log Analytics 表	QualysHostDetectionV2_CL QualysHostDetection_CL
数据收集规则支持	目前不支持
支持的服务	Microsoft Corporation

查询示例

检测到的 10 大 Qualys V2 漏洞

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

检测到的 10 大漏洞

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

先决条件

若要与 Qualys Vulnerability Management（使用 Azure Functions）集成，请确保满足以下条件：

Microsoft.Web/sites 权限：必须对 Azure Functions 拥有读写权限才能创建函数应用。请参阅文档以详细了解 Azure Functions。
Qualys API 密钥：需要 Qualys VM API 用户名和密码。请参阅文档详细了解 Qualys VM API。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Qualys VM，以将其日志拉取到 Microsoft Sentinel。这可能会导致额外的数据引入成本。有关详细信息，请参阅 Azure Functions 定价页。

（可选步骤）将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。按照这些说明，将 Azure Key Vault 与 Azure 函数应用结合使用。

步骤 1 - Qualys VM API 的配置步骤

使用管理员帐户登录 Qualys Vulnerability Management 控制台，依次选择“用户”选项卡和“用户”子选项卡。
单击“新建”下拉菜单，然后选择“用户”。
为 API 帐户创建用户名和密码。
在“用户角色”选项卡中，确保帐户角色设置为“管理员”，并且允许访问 GUI 和 API
注销管理员帐户，再使用新的 API 凭据登录控制台进行验证，然后注销 API 帐户。
使用管理员帐户重新登录到控制台，然后修改 API 帐户的“用角色”，移除对 GUI 的访问权限。
保存所有更改。

步骤 2：从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明：部署 Qualys VM 连接器前，请准备好工作区 ID 和工作区主密钥（可从以下位置复制），以及随时可用的 Qualys VM API 授权密钥。

注意

此连接器已更新。如果你之前部署过更低的版本并且想要更新，请在重新部署此版本之前删除现有的 Qualys VM 函数。请使用 Qualys V2 版本工作簿、检测。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法利用 ARM 模板自动部署 Qualys VM 连接器。

单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入“工作区 ID”、“工作区密钥”、“API 用户名”、“API 密码”、更新“URI”以及任何其他 URI 筛选器参数（每个筛选器应用“&”符号分隔，不要使用空格。）

输入与你所在区域对应的 URI。可以在此处找到 API 服务器 URL 的完整列表 - 无需向 URI 添加时间后缀，函数应用会以正确的格式将时间值动态追加到 URI。

默认时间间隔设置为拉取最后五 (5) 分钟的数据。如果需要修改时间间隔，建议相应地更改函数应用计时器触发器（部署后在 function.json 文件中），以防数据引入重叠。

注意：如果针对以上任何值使用 Azure 密钥保管库机密，请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来取代字符串值。有关更多详细信息，请参阅密钥保管库参考文档。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

请按照以下分步说明操作，以通过 Azure Functions 手动部署 Quayls VM 连接器。

1.创建函数应用

在 Azure 门户中导航到函数应用，然后选择“+ 添加”。
在“基本信息”选项卡中，确保“运行时堆栈”设置为“Powershell Core”。
在“托管”选项卡中，确保选中“消耗(无服务器)”计划类型。
根据需要进行其他首选配置更改，然后单击“创建”。

2. 导入函数应用代码

在新创建的函数应用中，选择左窗格中的“函数”，然后单击“+ 新建函数”。
选择“计时器触发器”。
输入唯一的函数名称，每 5 分钟保留默认 cron 计划，然后单击“创建”。
单击左侧窗格中的“代码 + 测试”。
复制函数应用代码并将其粘贴到函数应用 run.ps1 编辑器中。
单击“ 保存”。

3. 配置函数应用

在函数应用中选择“函数应用名称”，然后选择“配置”。
在“应用程序设置”选项卡中，选择“+ 新建应用程序设置” 。
分别添加以下八 (8) 个应用程序设置，及其各自的字符串值（区分大小写）：apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri（可选）

输入与你所在区域对应的 URI。可以在此处找到 API 服务器 URL 的完整列表。 uri 值必须遵循以下架构：https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= - 无需向 URI 添加时间后缀，函数应用会以正确的格式将时间值动态追加到 URI。

为 filterParameters 变量添加需要追加到 URI 的任何其他筛选器参数。每个参数都应使用“&”符号分隔，不应包含任何空格。

将 timeInterval（以分钟为单位）设置为值 5，以对应于每 5 分钟的计时器触发器。如需修改时间间隔，建议相应地更改函数应用计时器触发器，以防数据引入重叠。

注意：如果使用 Azure 密钥保管库，请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来代替字符串值。有关更多详细信息，请参阅密钥保管库参考文档。

使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。例如，如果使用的是公有云，将值留空；如果使用的是 Azure GovUS 云环境，则指定以下格式的值：https://<CustomerId>.ods.opinsights.azure.us。 4. 输入所有应用程序设置后，单击“保存”。

4. 配置 host.json。

由于可能会引入大量的 Qualys 主机检测数据，这可能导致执行时间超过 5 分钟这一默认的函数应用超时。在消耗计划下将默认超时持续时间调高到最长 10 分钟，让函数应用有更多的时间来执行。

在函数应用中，选择函数应用名称，然后选择“应用服务编辑器”边栏选项卡。
单击“转到”以打开编辑器，然后选择 wwwroot 目录下的 host.json 文件。
在 managedDependancy 行的上面添加 "functionTimeout": "00:10:00", 行
确保编辑器右上角显示“已保存”，然后退出编辑器。

注意：如果需要更长的超时持续时间，请考虑升级到应用服务计划

后续步骤

有关详细信息，请转到 Azure 市场中的相关解决方案。