適用於 Microsoft Sentinel 的 Qualys 弱點管理 (使用 Azure Functions) 連接器
Qualys 弱點管理 (VM) 資料連接器提供透過Qualys API將弱點主機偵測資料內嵌至 Microsoft Sentinel 的功能。 連接器可讓您從可擷取性掃描中查看主機偵測數據。 此連接器提供 Microsoft Sentinel 檢視儀錶板、建立自定義警示及改善調查的功能
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
應用程式設定 | apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (選擇性) |
Azure 函式應用程式程式代碼 | https://aka.ms/sentinel-QualysVM-functioncodeV2 |
Log Analytics 數據表(s) | QualysHostDetectionV2_CL QualysHostDetection_CL |
數據收集規則支援 | 目前不支援 |
支援者: | Microsoft Corporation |
查詢範例
偵測到前 10 名 Qualys V2 V2 Vulerabilities
QualysHostDetectionV2_CL
| extend Vulnerability = tostring(QID_s)
| summarize count() by Vulnerability
| top 10 by count_
偵測到的前 10 個 Vulerabilities
QualysHostDetection_CL
| mv-expand todynamic(Detections_s)
| extend Vulnerability = tostring(Detections_s.Results)
| summarize count() by Vulnerability
| top 10 by count_
必要條件
若要與 Qualys 弱點管理整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Qualys API 金鑰:需要 Qualys VM API 使用者名稱和密碼。 請參閱檔以深入瞭解 Qualys VM API。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Qualys VM,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
步驟 1 - Qualys VM API 的設定步驟
- 使用系統管理員帳戶登入 Qualys 弱點管理控制台,選取 [ 使用者 ] 索引卷標和 [使用者] 子索引標籤。
- 單擊 [ 新增 ] 下拉功能表,然後選取 [使用者]。
- 建立 API 帳戶的使用者名稱和密碼。
- 在 [ 使用者角色] 索引標籤中,確定帳戶角色已設定為 [管理員 ],並允許存取 GUI 和 API
- 註銷系統管理員帳戶,並使用新的 API 認證登入主控台以進行驗證,然後登入 API 帳戶。
- 使用系統管理員帳戶重新登入控制台,並修改 API 帳戶使用者角色,移除 GUI 的存取權。
- 儲存所有變更。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 Qualys VM 連接器之前,請具有工作區標識碼和工作區主要密鑰(可從下列內容複製),以及 Qualys VM API 授權金鑰(s),可供使用。
注意
如果您先前已部署舊版,而且想要更新此連接器,請先刪除現有的 Qualys VM Azure 函式,再重新部署此版本。 請使用 Qualys V2 版本活頁簿,偵測。
選項 1 - Azure Resource Manager (ARM) 範本
使用這個方法來使用ARM Tempate自動部署Qualys VM連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入工作區標識碼、工作區密鑰、API 用戶名稱、API 密碼、更新 URI 和任何其他 URI 篩選參數(每個篩選都應該以 “&” 符號分隔,沒有空格。
- 輸入對應至您區域的 URI。 您可以在這裡找到 API 伺服器 URL 的完整清單 -- 不需要將時間後綴新增至 URI,函式應用程式會以適當的格式動態將時間值附加至 URI。
- 默認 的時間間隔 設定為提取最後五分鐘的數據。 如果需要修改時間間隔,建議您據以變更函式應用程式定時器觸發程式(在function.json檔案中,部署后)以防止重疊的數據擷取。
- 注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。 4.將標示為 [我同意上述條款及條件] 的複選框標示。 5.按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,以 Azure Functions 手動部署 Quayls VM 連接器。
1.建立函式應用程式
- 從 Azure 入口網站流覽至 [函式應用程式],然後選取 [ + 新增]。
- 在 [ 基本] 索引 標籤中,確定運行時間堆疊已設定為 Powershell Core。
- 在 [ 裝載] 索引標籤中,確定已選取 [ 取用][無伺服器] 方案類型。
- 視需要進行其他偏好的組態變更,然後按兩下 [ 建立]。
2.匯入函式應用程式程式代碼
- 在新建立的函式應用程式中,選取 左窗格中的 [函 式],然後按兩下 [ + 新增函式]。
- 選取 [ 定時器觸發程式]。
- 輸入唯一的函式 名稱 ,並保留每 5 分鐘的預設 cron 排程,然後按兩下 [ 建立]。
- 按兩下左窗格上的 [ 程序代碼+ 測試 ]。
- 複製函 式應用程式程式代碼 並貼到函式應用程式
run.ps1
編輯器中。 - 按一下 [檔案] 。
3.設定函式應用程式
- 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
- 在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定]。
- 個別新增下列八個 (8) 個應用程式設定,其個別字串值(區分大小寫):apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (選擇性)
- 輸入對應至您區域的 URI。 您可以 在這裡找到 API 伺服器 URL 的完整清單。 值
uri
必須遵循下列架構:https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=
-- 不需要將時間後綴新增至 URI,函式應用程式會以適當的格式動態將時間值附加至 URI。- 為
filterParameters
變數新增任何需要附加至 URI 的其他篩選參數。 每個參數都應該以 「&」 符號分隔,且不應包含任何空格。- 將
timeInterval
(以分鐘為單位) 設定為 的值5
,以對應至每5
分鐘定時器觸發程式的值。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式,以防止重疊的數據擷取。- 注意:如果使用 Azure 金鑰保存庫,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us
。 4.輸入所有應用程式設定後,按兩下 [ 儲存]。
4.設定host.json。
由於擷取的Qualys主機偵測數據可能很大,因此可能會使運行時間超過預設函式應用程式逾時五(5)分鐘。 在取用方案下,將預設逾時持續時間增加到最多 10 分鐘,以允許函式應用程式執行更多時間。
- 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ App Service 編輯器] 刀鋒視窗。
- 按兩下 [移至] 以開啟編輯器,然後選取 wwwroot 目錄下的host.json檔案。
- 在行上方
managedDependancy
新增這一行"functionTimeout": "00:10:00",
- 確定 SAVED 會出現在編輯器右上角,然後結束編輯器。
注意:如果需要較長的逾時持續時間,請考慮升級至 App Service 方案
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。