Tenable SecurityCenter -Scan hinzufügen

Sie können einen Tenable SecurityCenter -Scanner hinzufügen, damit IBM QRadar Host-und Schwachstelleninformationen über die Tenable-API erfassen kann.

1. Klicken Sie auf die Registerkarte Verwaltung .
2. Klicken Sie auf das Symbol VA-Scanner und anschließend auf Add.
3. Geben Sie im Feld Scannername einen Namen zur Identifizierung des Scanners ein.
4. Wählen Sie in der Liste Verwalteter Host eine Option aus, die auf einer der folgenden Plattformen basiert:
   • Wählen Sie in QRadar Consoleden verwalteten Host aus, der für die Kommunikation mit der Scannereinheit verantwortlich ist.
   • Bei " QRadar on Cloud, wenn der Scanner in der Cloud gehostet wird, kann die QRadar® als verwalteter Host verwendet werden. Wählen Sie andernfalls das Datengateway aus, das für die Kommunikation mit der Scannereinheit verantwortlich ist.
5. Wählen Sie in der Liste Typ Tenable SecurityCenteraus.
6. Geben Sie im Feld Serveradresse die IP-Adresse des Tenable SecurityCenterein.
7. Geben Sie im Feld API-Position den Pfad zur API im Tenable SecurityCenterein.

   Der Standardpfad zur API-Datei für SecurityCenter Version 4 lautet sc4/request.php.

   Der Standardpfad zur API-Datei für SecurityCenter Version 5 lautet rest.

8. Wählen Sie in der Liste API-Version die Version für Ihr SecurityCenteraus.
   Tipp: Unterstützung für Tenable SecurityCenter (Tenable.sc) unter QRadar ist auf die von Tenable unterstützten Versionen beschränkt. Weitere Informationen finden Sie in der Tenable Software Release Lifecycle Matrixhttps://docs.tenable.com/security-center/best-practices/large-enterprise-deployment/Content/Lifecycle.htm.
9. Geben Sie im Feld Benutzername den Benutzernamen für den Zugriff auf die Tenable SecurityCenter -API ein.
10. Geben Sie im Feld Kennwort das Kennwort für den Zugriff auf die Tenable SecurityCenter -API ein.
11. Aktivieren oder inaktivieren Sie den Parameter Nicht vertrauenswürdige Zertifikate zulassen , der auf dem von Ihnen verwendeten Zertifikatstyp basiert.
    Wenn Sie den Parameter Ungesicherte Zertifikate zulassen aktivieren, kann der Scanner selbst signierte und ansonsten nicht vertrauenswürdige Zertifikate akzeptieren, die sich im Verzeichnis /opt/qradar/conf/trusted_certificates/ befinden. Wenn Sie den Parameter inaktivieren, erkennt der Scanner nur Zertifikate an, die von einem vertrauenswürdigen Unterzeichner signiert wurden.

    Tipp: Dieser Parameter ist standardmäßig für vorhandene Scanner aktiviert und für neue Scanner inaktiviert.
12. Konfigurieren Sie einen CIDR-Bereich für den Scanner.
    1. Geben Sie im Feld CIDR-Bereiche den CIDR-Bereich für den Scan ein oder klicken Sie auf Durchsuchen , um einen CIDR-Bereich aus der Netzliste auszuwählen.
    2. Klicken Sie auf Hinzufügen.
13. Optional: Wenn Sie Fehler aufgrund unzureichenden Speichers in den Fehlerprotokollen des Scanners erhalten, konfigurieren Sie den Parameter Vulnerability Flush Threshold , der die maximale Anzahl der im Speicher zu speichernden Schwachstellen festlegt. Dieser Wert kann an den verfügbaren Speicher angepasst werden, der den Scannern zugeordnet ist. Um diesen Parameter zu finden, klicken Sie auf das Pluszeichen (+) oben links auf der Konfigurationsseite des Scanners.

    Wenn die Anzahl der Sicherheitslücken hoch ist und der Scannerspeicher den Standardwert 500.000 nicht speichern kann, können Speicherprobleme behoben werden, indem der Wert auf 5000-25000 reduziert wird. Der Mindestwert ist 1.000 und der Maximalwert 500.000.

    Tipp: Wenn der Wert für Vulnerability Flush Threshold kleiner als der Standardwert ist, kann die Ausführung der Scans länger dauern.

    Tipp: Setzen Sie das Feld Alter auf einen Wert größer als 60 , um eine große Anzahl von Ereignissen oder Hosts zu empfangen. Setzen Sie das Feld Alter auf weniger als 10 , um weniger Ereignisse oder Hosts zu empfangen.
14. Klicken Sie auf Speichern.
15. Klicken Sie auf der Registerkarte Verwaltung auf Änderungen implementieren.