適用於 Microsoft Sentinel 的 Qualys Vulnerability Management (使用 Azure Functions) 連接器
Qualys Vulnerability Management (VM) 資料連接器提供透過 Qualys API 將弱點主機偵測資料內嵌至 Microsoft Sentinel 的功能。 此連接器可讓您查看弱點掃描中的主機偵測資料。 此連接器提供 Microsoft Sentinel 可檢視儀表板、建立自訂警示及改善調查的功能
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
應用程式設定 | apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (optional) |
Azure 函數應用程式程式碼 | https://aka.ms/sentinel-QualysVM-functioncodeV2 |
記錄分析資料表 | QualysHostDetectionV2_CL QualysHostDetection_CL |
資料收集規則支援 | 目前不支援 |
支援者: | Microsoft Corporation |
查詢範例
偵測到的前 10 大 Qualys V2 弱點
QualysHostDetectionV2_CL
| extend Vulnerability = tostring(QID_s)
| summarize count() by Vulnerability
| top 10 by count_
偵測到的前 10 大弱點
QualysHostDetection_CL
| mv-expand todynamic(Detections_s)
| extend Vulnerability = tostring(Detections_s.Results)
| summarize count() by Vulnerability
| top 10 by count_
必要條件
若要與 Qualys Vulnerability Management 整合 (使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- Qualys API 金鑰:需要 Qualys VM API 使用者名稱和密碼。 請參閱文件以深入了解 Qualys VM API。
廠商安裝指示
注意
此連接器會使用 Azure Functions 來連線至 Qualys VM,以將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - Qualys VM API 的設定步驟
- 使用管理員帳戶登入 Qualys 弱點管理主控台,選取 [使用者] 索引標籤和 [使用者] 子索引標籤。
- 按一下 [新增] 下拉式功能表,然後選取 [使用者]。
- 建立 API 帳戶的使用者名稱和密碼。
- 在 [使用者角色] 索引標籤中,確定帳戶角色已設定為 [管理員],並允許存取 GUI 和 API
- 登出管理員帳戶,並使用新的 API 認證登入主控台以進行驗證,然後登出 API 帳戶。
- 使用管理員帳戶重新登入主控台,並修改 API 帳戶使用者角色,移除 GUI 的存取權。
- 儲存所有變更。
步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure 函式
重要事項:部署 Qualys VM 連接器之前,請具有可供使用的工作區識別碼和工作區主索引鍵 (可從下列位置複製),以及 Qualys VM API 授權金鑰。
注意
此連接器已更新,如果您先前已部署舊版,且想要更新,請先刪除現有的 Qualys VM Azure 函式,再重新部署此版本。 請使用 Qualys V2 版本活頁簿進行偵測。
選項 1 - Azure Resource Manager (ARM) 範本
使用 ARM 範本透過此方法進行 Qualys VM 連接器的自動部署。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入 [工作區識別碼]、[工作區金鑰]、[API 使用者名稱]、[API 密碼],更新 [URI],以及任何其他 URI [篩選參數] (每個篩選都應該以 “&” 符號分隔,沒有空格)。
- 輸入對應至您區域的 URI。 您可以在這裏找到 API 伺服器 URL 的完整清單 -- 不需要將時間後綴新增至 URI,函式應用程式會以適當的格式將時間值動態附加至 URI。
- 預設時間間隔設為提取最後五 (5) 分鐘的資料。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式 (在function.json 檔案中,部署後) 以防止重疊的資料擷取。
- 若針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
結構描述以取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。 4.選取標示著 [我同意上述條款及條件] 的核取方塊。 5.按一下 [購買] 以部署。
選項 2 - Azure Functions 手動部署
遵循下列逐步指示,使用 Azure Functions 手動部署 Quayls VM 連接器。
1.建立函式應用程式
- 從 Azure 入口網站中,瀏覽至函式應用程式,然後選取 [+ 新增]。
- 在 [基本資料] 索引標籤中,確定執行階段堆疊設定為 [Powershell Core]。
- 在 [裝載] 索引標籤中,確定已選取 [使用量 (無伺服器)] 計畫類型。
- 如有需要,進行其他偏好的設定變更,然後按一下 [建立]。
2.匯入函式應用程式程式碼
- 在新建立的函式應用程式中,選取左窗格中的 [函式],然後按一下 [+ 新增函式]。
- 選取 [計時器觸發程序]。
- 輸入唯一的函式 [名稱],並保留每 5 分鐘的預設 cron 排程,然後按一下 [建立]。
- 按一下左窗格上的 [程式碼 + 測試]。
- 複製函式應用程式程式碼並貼到函式應用程式
run.ps1
編輯器中。 - 按一下 [檔案] 。
3.設定函數應用程式
- 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]。
- 在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]。
- 個別新增下列八個 (8) 個應用程式設定,其個別字串值 (區分大小寫):apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (選擇性)
- 輸入對應至您區域的 URI。 您可以在這裏找到 API 伺服器 URL 的完整清單。
uri
值必須遵循下列結構描述:https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=
-- 不需要將時間後綴新增至 URI,函式應用程式會以適當的格式動態將時間值附加至 URI。- 針對需要附加至 URI 的
filterParameters
變數,新增任何其他篩選參數。 每個參數都應該以 "&" 符號分隔,且不應包含任何空格。- 將
timeInterval
(以分鐘為單位) 設定為值5
,以對應至每5
分鐘的定時器觸發程序。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式,以防止重疊的資料擷取。- 注意:如果使用 Azure Key Vault,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
結構描述來取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,對於公用雲端,請將該值留空;對於 Azure GovUS 雲端環境,請依下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us
。 4.輸入所有應用程式設定之後,請按一下 [儲存]。
4.設定 host.json。
由於擷取的 Qualys 主機偵測資料數量可能很大,因此執行時間可能會超過預設的函數應用程式逾時五 (5) 分鐘。 在取用方案下,將預設逾時持續時間增加到最多十 (10) 分鐘,藉以允許函數應用程式有更多時間可以執行。
- 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [App Service 編輯器] 刀鋒視窗。
- 按一下 [移至] 以開啟編輯器,然後選取 wwwroot 目錄下的 host.json 檔案。
- 在
managedDependancy
行前面加入行"functionTimeout": "00:10:00",
- 確定 SAVED 會出現在編輯器右上角,然後結束編輯器。
注意:如果需要較長的逾時持續時間,請考慮升級至 App Service 方案。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。