Nmap -Scanner-Übersicht

QRadar verwendet SSH für die Kommunikation mit dem Nmap -Server, um ferne Nmap -Scans zu starten oder die abgeschlossenen Nmap -Scanergebnisse herunterzuladen.

Einschränkung: Obwohl es auf jedem QRadar -Host eine NMap-Binärdatei gibt, ist sie nur für die interne Verwendung durch QRadar reserviert. Die Konfiguration eines NMap-Schwachstellenscanners zur Verwendung eines verwalteten QRadar Console -oder QRadar -Hosts als ferner NMap-Scanner wird nicht unterstützt und kann zu Instabilitäten führen.

Wenn Administratoren einen Nmap -Scan konfigurieren, kann für das QRadar -System ein bestimmtes Nmap -Benutzerkonto erstellt werden. Ein eindeutiger Benutzeraccount stellt sicher, dass QRadar über die Berechtigungsnachweise verfügt, die für die Anmeldung und Kommunikation mit dem Nmap -Server erforderlich sind. Nachdem die Erstellung des Benutzeraccounts abgeschlossen ist, können Administratoren die Verbindung zwischen QRadar und dem Nmap -Client mit SSH testen, um die Benutzerberechtigungsnachweise zu überprüfen. Dieser Test stellt sicher, dass jedes System kommunizieren kann, bevor das System versucht, Schwachstellenscandaten herunterzuladen oder einen Live-Scan zu starten.

Die folgenden Optionen sind für die Datenerfassung von Schwachstelleninformationen von Nmap -Scannern verfügbar:

Ferner Live-Scan. Live-Scans verwenden die Binärdatei Nmap , um Scans über Fernzugriff zu starten. Nach Abschluss des Live-Scans werden die Daten über SSH importiert. Siehe Fernen Live-Scan von Nmap hinzufügen.
Import ferner Ergebnisse. Die Ergebnisdaten eines zuvor abgeschlossenen Scans werden über SSH importiert. Siehe Import ferner NMap-Ergebnisse hinzufügen