Соединитель KnowledgeBase виртуальных машин Qualys (с помощью Функции Azure) для Microsoft Sentinel
Соединитель KnowledgeBase (КБ) Qualys Vulnerability Management (VM) предоставляет возможность приема последних данных об уязвимостях из qualys КБ в Microsoft Sentinel.
Эти данные могут использоваться для сопоставления и обогащения обнаружения уязвимостей, обнаруженных соединителем данных Qualys Management (VM).
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | QualysKB_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Уязвимости по категориям
QualysKB
| summarize count() by Category
Лучшие 10 поставщиков программного обеспечения
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с Qualys VM KnowledgeBase (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Ключ API Qualys: требуется имя пользователя и пароль API виртуальных машин Qualys. Дополнительные сведения об API виртуальных машин Qualys см. в документации.
Инструкции по установке поставщика
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним QualysVM Knowledgebase и загрузите код функции или щелкните здесь, во второй строке запроса введите имя узла для устройств Базы знаний QualysVM и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните действия, чтобы использовать псевдоним функции Kusto, Qualys КБ
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке ДЛЯ API Qualys
- Войдите в консоль Qualys Vulnerability Management с учетной записью администратора, выберите вкладку Users (Пользователи) и подчиненную вкладку Users (Пользователи).
- Щелкните раскрывающееся меню "Создать" и выберите "Пользователи".
- Создайте имя пользователя и пароль для учетной записи API.
- На вкладке User Roles (Роли пользователя) убедитесь, что для роли учетной записи задано значение Manager (Диспетчер) и разрешен доступ к GUI (графический пользовательский интерфейс) и API.
- Выйдите из учетной записи администратора и войдите в консоль с новыми учетными данными API для проверки, а затем выйдите из учетной записи API.
- Снова войдите в консоль с помощью учетной записи администратора и измените роли пользователя учетной записи API, удалив доступ к графическому пользовательскому интерфейсу.
- Сохраните все изменения.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Прежде чем развертывать соединитель Qualys КБ, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела), а также имя пользователя и пароль API Qualys.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.