Conector Qualys VM KnowledgeBase (usando o Azure Functions) para o Microsoft Sentinel
O conector da KnowledgeBase (KB) Qualys Vulnerability Management (VM) oferece a capacidade de ingerir os dados de vulnerabilidade mais recentes do Qualys KB no Microsoft Sentinel.
Esses dados podem ser usados para correlacionar e enriquecer as detecções de vulnerabilidade encontradas pelo conector de dados Qualys Vulnerability Management (VM).
Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | QualysKB_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Vulnerabilidades por categoria
QualysKB
| summarize count() by Category
Dez principais fornecedores de software
QualysKB
| summarize count() by SoftwareVendor
| top 10 by count_
Pré-requisitos
Para se integrar ao Qualys VM KnowledgeBase (usando o Azure Functions) verifique se você tem:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Chave da API do Qualys: um nome de usuário e uma senha da API de VM do Qualys são necessários. Confira a documentação para saber mais sobre a API de VM do Qualys.
Instruções de instalação do fornecedor
OBSERVAÇÃO: esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise o alias QualysVM Knowledgebase e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host de seus dispositivos QualysVM Knowledgebase e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para usar o alias da função do Kusto, QualysKB
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
ETAPA 1 – Etapas de configuração da API do Qualys
- Faça login no console do Qualys Vulnerability Management com uma conta de administrador, selecione a guia Usuários e a subguia Usuários.
- Clique no menu suspenso Novo e selecione Usuários.
- Crie um nome de usuário e uma senha para a conta de API.
- Na guia Funções de usuário, verifique se a função da conta está definida como Gerente e que haja permissão de acesso para a GUI e a API
- Faça logoff da conta de administrador e faça logon no console do com as novas credenciais de API para validação, depois faça logoff da conta de API.
- Faça logon novamente no console usando uma conta de administrador e modifique as Funções de Usuário das contas de API, removendo o acesso à GUI.
- Salvar todas as alterações.
ETAPA 2 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e o Azure Function associado
IMPORTANTE: antes de implantar o conector do Qualys KB, tenha em mãos a ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas a seguir), bem como o nome de usuário e senha da API do Qualys.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.