適用於 Microsoft Sentinel 的 Qualys 弱點管理 (使用 Azure Functions) 連接器

  • 發行項

Qualys 弱點管理 (VM) 資料連接器提供透過Qualys API將弱點主機偵測資料內嵌至 Microsoft Sentinel 的功能。 連接器可讓您從可擷取性掃描中查看主機偵測數據。 此連接器提供 Microsoft Sentinel 檢視儀錶板、建立自定義警示及改善調查的功能

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
應用程式設定 apiUsername
apiPassword
workspaceID
workspaceKey
uri
filterParameters
timeInterval
logAnalyticsUri (選擇性)
Azure 函式應用程式程式代碼 https://aka.ms/sentinel-QualysVM-functioncodeV2
Log Analytics 數據表(s) QualysHostDetectionV2_CL
QualysHostDetection_CL
數據收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

偵測到前 10 名 Qualys V2 V2 Vulerabilities

QualysHostDetectionV2_CL

| extend Vulnerability = tostring(QID_s)

| summarize count() by Vulnerability

| top 10 by count_

偵測到的前 10 個 Vulerabilities

QualysHostDetection_CL

| mv-expand todynamic(Detections_s)

| extend Vulnerability = tostring(Detections_s.Results)

| summarize count() by Vulnerability

| top 10 by count_

必要條件

若要與 Qualys 弱點管理整合(使用 Azure Functions),請確定您有:

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Qualys VM,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

步驟 1 - Qualys VM API 的設定步驟

  1. 使用系統管理員帳戶登入 Qualys 弱點管理控制台,選取 [ 使用者 ] 索引卷標和 [使用者] 子索引標籤。
  2. 單擊 [ 新增 ] 下拉功能表,然後選取 [使用者]。
  3. 建立 API 帳戶的使用者名稱和密碼。
  4. 在 [ 使用者角色] 索引標籤中,確定帳戶角色已設定為 [管理員 ],並允許存取 GUIAPI
  5. 註銷系統管理員帳戶,並使用新的 API 認證登入主控台以進行驗證,然後登入 API 帳戶。
  6. 使用系統管理員帳戶重新登入控制台,並修改 API 帳戶使用者角色,移除 GUI存取權。
  7. 儲存所有變更。

步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式

重要事項: 部署 Qualys VM 連接器之前,請具有工作區標識碼和工作區主要密鑰(可從下列內容複製),以及 Qualys VM API 授權金鑰(s),可供使用。

注意

如果您先前已部署舊版,而且想要更新此連接器,請先刪除現有的 Qualys VM Azure 函式,再重新部署此版本。 請使用 Qualys V2 版本活頁簿,偵測。

選項 1 - Azure Resource Manager (ARM) 範本

使用這個方法來使用ARM Tempate自動部署Qualys VM連接器。

  1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

    部署至 Azure部署至 Azure Gov

  2. 選取慣用 的訂用帳戶資源群組位置

  3. 輸入工作區標識碼工作區密鑰、API 用戶名稱、API 密碼、更新 URI 和任何其他 URI 篩選參數(每個篩選都應該以 “&” 符號分隔,沒有空格。

  • 輸入對應至您區域的 URI。 您可以在這裡找到 API 伺服器 URL 的完整清單 -- 不需要將時間後綴新增至 URI,函式應用程式會以適當的格式動態將時間值附加至 URI。
  • 默認 的時間間隔 設定為提取最後五分鐘的數據。 如果需要修改時間間隔,建議您據以變更函式應用程式定時器觸發程式(在function.json檔案中,部署后)以防止重疊的數據擷取。
  • 注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。 4.將標示為 [我同意上述條款及條件] 的複選框標示。 5.按兩下 [ 購買 ] 以部署。

選項 2 - 手動部署 Azure Functions

使用下列逐步指示,以 Azure Functions 手動部署 Quayls VM 連接器。

1.建立函式應用程式

  1. 從 Azure 入口網站流覽至 [函式應用程式],然後選取 [ + 新增]。
  2. 在 [ 基本] 索引 標籤中,確定運行時間堆疊已設定為 Powershell Core
  3. 在 [ 裝載] 索引標籤中,確定已選取 [ 取用][無伺服器] 方案類型。
  4. 視需要進行其他偏好的組態變更,然後按兩下 [ 建立]。

2.匯入函式應用程式程式代碼

  1. 在新建立的函式應用程式中,選取 左窗格中的 [函 式],然後按兩下 [ + 新增函式]。
  2. 選取 [ 定時器觸發程式]。
  3. 輸入唯一的函式 名稱 ,並保留每 5 分鐘的預設 cron 排程,然後按兩下 [ 建立]。
  4. 按兩下左窗格上的 [ 程序代碼+ 測試 ]。
  5. 複製函 式應用程式程式代碼 並貼到函式應用程式 run.ps1 編輯器中。
  6. 按一下 [檔案] 。

3.設定函式應用程式

  1. 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
  2. 在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定]。
  3. 個別新增下列八個 (8) 個應用程式設定,其個別字串值(區分大小寫):apiUsername apiPassword workspaceID workspaceKey uri filterParameters timeInterval logAnalyticsUri (選擇性)
  • 輸入對應至您區域的 URI。 您可以 在這裡找到 API 伺服器 URL 的完整清單。 值 uri 必須遵循下列架構: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= -- 不需要將時間後綴新增至 URI,函式應用程式會以適當的格式動態將時間值附加至 URI。
  • filterParameters 變數新增任何需要附加至 URI 的其他篩選參數。 每個參數都應該以 「&」 符號分隔,且不應包含任何空格。
  • timeInterval (以分鐘為單位) 設定為 的值 5 ,以對應至每 5 分鐘定時器觸發程式的值。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式,以防止重疊的數據擷取。
  • 注意:如果使用 Azure 金鑰保存庫,請使用@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔
  • 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值: https://<CustomerId>.ods.opinsights.azure.us。 4.輸入所有應用程式設定後,按兩下 [ 儲存]。

4.設定host.json

由於擷取的Qualys主機偵測數據可能很大,因此可能會使運行時間超過預設函式應用程式逾時五(5)分鐘。 在取用方案下,將預設逾時持續時間增加到最多 10 分鐘,以允許函式應用程式執行更多時間。

  1. 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ App Service 編輯器] 刀鋒視窗。
  2. 按兩下 [移至] 以開啟編輯器,然後選取 wwwroot 目錄下的host.json檔案。
  3. 在行上方managedDependancy新增這一行"functionTimeout": "00:10:00",
  4. 確定 SAVED 會出現在編輯器右上角,然後結束編輯器。

注意:如果需要較長的逾時持續時間,請考慮升級至 App Service 方案

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案