Fernen NMap-Ergebnisimport hinzufügen

Ein ferner Ergebnisimport ruft abgeschlossene NMap-Scanberichte über SSH ab.

1. Klicken Sie auf die Registerkarte Verwaltung .
2. Klicken Sie auf das Symbol VA-Scanner .
3. Klicken Sie auf Hinzufügen.
4. Geben Sie im Feld Scannername einen Namen für Ihren NMap-Scanner ein.
5. Wählen Sie in der Liste Managed Host den verwalteten Host aus Ihrer QRadar -Implementierung aus, der den Scannerimport verwaltet.
6. Wählen Sie in der Liste Typ den Eintrag Nessus Scanneraus.
7. Wählen Sie in der Liste Sammlungstyp den Eintrag Ferner Ergebnisimport.
8. Geben Sie im Feld Server-Hostname den Hostnamen oder die IP-Adresse des fernen Systems ein, das den NMap-Client hostet. Administratoren sollten NMap auf einem UNIX-basierten System mit aktiviertem SSH hosten.
9. Wählen Sie eine der folgenden Authentifizierungsoptionen aus:

   Option	Beschreibung
   Anmeldebenutzername	Gehen Sie wie folgt vor, um die Authentifizierung mit einem Benutzernamen und einem Kennwort durchzuführen: Geben Sie im Feld Serverbenutzername den Benutzernamen ein, der für den Zugriff auf das ferne System erforderlich ist, das den NMap-Client hostet. Geben Sie im Feld Anmeldekennwort das Kennwort ein, das dem Benutzernamen zugeordnet ist. Das Kennwort darf das Zeichen! gesetzt. Dieses Zeichen kann Authentifizierungsfehler über SSH verursachen. Wenn der Scanner für die Verwendung eines Kennworts konfiguriert ist, muss der SSH-Scanner-Server, zu dem eine Verbindung zu QRadar hergestellt wird, die Kennwortauthentifizierung unterstützen. Ist dies nicht der Fall, schlägt die SSH-Authentifizierung für den Scanner fehl. Stellen Sie sicher, dass die folgende Zeile in Ihrer Datei /etc/ssh/sshd_config angezeigt wird: PasswordAuthentication yes Wenn Ihr Scanner-Server nicht ' OpenSSH, verwendet, finden Sie in der Dokumentation des Herstellers Informationen zur Konfiguration des Scanners.
   Schlüsselberechtigung aktivieren	Gehen Sie wie folgt vor, um sich mit einer schlüsselbasierten Authentifizierungsdatei zu authentifizieren: Wählen Sie das Kontrollkästchen Schlüsselauthentifizierung aktivieren aus. Geben Sie im Feld Private Schlüsseldatei den Verzeichnispfad zur Schlüsseldatei ein. Das Standardverzeichnis für die Schlüsseldatei ist /opt/qradar/conf/vis.ssh.key. Wenn keine Schlüsseldatei vorhanden ist, müssen Sie die Datei vis.ssh.key erstellen. Wichtig: Die Datei vis.ssh.key muss das Eigentumsrecht vis qradar haben. Beispiel: # ls -al /opt/qradar/conf/vis.ssh.key -rw ------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key

10. Geben Sie im Feld Ferner Ordner die Verzeichnisposition der Scanergebnisdateien ein.

    Linux® -Beispiel: /home/scans

    Beispiel für Windows: /c:/zenmap

11. Geben Sie im Feld Muster für ferne Dateien einen regulären Ausdruck (regulären Ausdruck) ein, der zum Filtern der Liste der Dateien erforderlich ist, die im fernen Ordner angegeben sind. Alle übereinstimmenden Dateien werden in die Verarbeitung eingeschlossen.
    Das Standardmuster für reguläre Ausdrücke zum Abrufen von NMap-Ergebnissen ist .*\.xml. Das Muster .*\.xml importiert alle XML-Ergebnisdateien in den fernen Ordner.
    Importierte und verarbeitete Scanberichte werden nicht aus dem fernen Ordner gelöscht. Sie sollten einen Cron-Job planen, um zuvor verarbeitete Scanberichte zu löschen.
12. So konfigurieren Sie einen CIDR-Bereich für Ihren Scanner:
    1. Geben Sie im Textfeld den CIDR-Bereich ein, den dieser Scanner berücksichtigen soll, oder klicken Sie auf Durchsuchen , um einen CIDR-Bereich aus der Netzliste auszuwählen.
    2. Klicken Sie auf Hinzufügen.
13. Klicken Sie auf Speichern.
14. Klicken Sie auf der Registerkarte Verwaltung auf Änderungen implementieren.