eEye REM-SNMP-Scan hinzufügen

Sie können einen Scanner hinzufügen, um Schwachstellendaten über SNMP von eEye REM-oder CS Retina-Scannern zu erfassen.

Vorbereitende Schritte

Zur Verwendung von CVE-IDs und -Beschreibungen müssen Sie die Datei audits.xml aus Ihrem eEye REM-Scanner auf den verwalteten Host kopieren, der für die Überwachung von SNMP-Daten verantwortlich ist. Wenn sich Ihr verwalteter Host in einer verteilten Implementierung befindet, müssen Sie zuerst die Datei audits.xml in die Konsole kopieren und die Datei über SSH an /opt/qradar/conf/audits.xml auf dem verwalteten Host übertragen. Die Standardposition von audits.xml im eEye -Scanner ist %ProgramFiles(x86)%\eEye Digital Security\Retina CS\Applications\RetinaManager\Database\audits.xml.

Um die neuesten CVE-Informationen zu erhalten, aktualisieren Sie QRadar in regelmäßigen Abständen mit der neuesten Datei audits.xml .

Vorgehensweise

  1. Klicken Sie auf die Registerkarte Verwaltung .
  2. Klicken Sie auf das Symbol VA-Scanner .
  3. Klicken Sie auf Hinzufügen.
  4. Geben Sie im Feld Scannername einen Namen für den SecureScout -Server ein.
  5. Wählen Sie in der Liste Verwalteter Host eine Option aus, die auf einer der folgenden Plattformen basiert:
    • Wählen Sie in QRadar Consoleden verwalteten Host aus, der für die Kommunikation mit der Scannereinheit verantwortlich ist.
    • Bei " QRadar on Cloud, wenn der Scanner in der Cloud gehostet wird, kann die QRadar® als verwalteter Host verwendet werden. Wählen Sie andernfalls das Datengateway aus, das für die Kommunikation mit der Scannereinheit verantwortlich ist.
  6. Wählen Sie in der Liste Typ eEye REM Scanneraus.
  7. Wählen Sie in der Liste Importtyp den Eintrag SNMPaus.
  8. Geben Sie im Feld Basisverzeichnis eine Position zum Speichern der temporären Dateien ein, die die eEye -REM-Scandaten enthalten.
    Das Standardverzeichnis ist /store/tmp/vis/eEye/.
  9. Geben Sie im Feld Cachegröße die Anzahl der Transaktionen ein, die im Cache gespeichert werden sollen, bevor die SNMP-Daten in die temporäre Datei geschrieben werden. Der Standardwert ist 40.
    Der Standardwert ist 40 Transaktionen.
  10. Geben Sie im Feld Aufbewahrungszeitraum den Zeitraum in Tagen ein, in dem das System Scaninformationen speichert.
    Wenn ein Scanzeitplan vor Ablauf des Aufbewahrungszeitraums keine Daten importiert hat, werden die Scaninformationen aus dem Cache gelöscht.
  11. Wählen Sie das Kontrollkästchen Schwachstellendaten verwenden aus, um eEye -Schwachstellen mit CVE-IDs (Common Vulnerabilities and Exposures) und Beschreibungsinformationen zu korrelieren.
    .
  12. Geben Sie im Feld Datei mit Schwachstellendaten den Verzeichnispfad zur Datei eEye audits.xml ein.
  13. Geben Sie im Feld Empfangsport die Portnummer ein, die zur Überwachung eingehender SNMP-Schwachstelleninformationen von Ihrem eEye REM-Scanner verwendet wird.
    Der Standardport ist 1162.
  14. Geben Sie im Feld Quellenhost die IP-Adresse des eEye -Scanners ein.
  15. Wählen Sie in der Liste SNMP-Version die SNMP-Protokollversion aus.
    Das Standardprotokoll ist SNMPv2.
  16. Geben Sie im Feld Community-Zeichenfolge die SNMP-Community-Zeichenfolge für das Protokoll SNMPv2 ein, z. B. Public.
  17. Wählen Sie in der Liste Authentifizierungsprotokoll den Algorithmus zur Authentifizierung von SNMPv3 -Traps aus.
  18. Geben Sie im Feld Authentifizierungskennwort das Kennwort ein, das Sie zur Authentifizierung der SNMPv3 -Kommunikation verwenden wollen.
    Das Kennwort muss mindestens 8 Zeichen umfassen.
  19. Wählen Sie in der Liste Verschlüsselungsprotokoll den Entschlüsselungsalgorithmus SNMPv3 aus.
  20. Geben Sie im Feld Verschlüsselungskennwort das Kennwort zum Entschlüsseln von SNMPv3 -Traps ein.
  21. So konfigurieren Sie einen CIDR-Bereich für Ihren Scanner:
    1. Geben Sie den CIDR-Bereich für den Scan ein oder klicken Sie auf Durchsuchen , um einen CIDR-Bereich aus der Netzliste auszuwählen.
    2. Klicken Sie auf Hinzufügen.
  22. Klicken Sie auf Speichern.
  23. Klicken Sie auf der Registerkarte Verwaltung auf Änderungen implementieren.

Nächste Schritte

Wählen Sie eine der folgenden Optionen aus:

  • Wenn Sie SNMPv3 oder die Low-Level-SNMP-Verschlüsselung nicht verwenden, können Sie jetzt einen Scanzeitplan erstellen. Siehe Schwachstellenscan planen.
  • Wenn in Ihrer SNMPv3 -Konfiguration die Verschlüsselung AES192 oder AES256 verwendet wird, müssen Sie die uneingeschränkte Java™ -Verschlüsselungserweiterung auf jeder Konsole oder jedem verwalteten Host installieren, die bzw. der SNMPv3 -Traps empfängt. Siehe Java Cryptography Extension unter QRadar.