Las importaciones de API permiten a QRadar importar datos de informes ad hoc para vulnerabilidades en los sitios desde exploradores Rapid7 Nexponer. Los datos de sitio que la exploración importa dependen del nombre del sitio.
Antes de empezar
Antes de añadir este explorador, debe tener un certificado de servidor compatible con conexiones HTTPS. QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio
/opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:
- Copie manualmente el certificado en el directorio /opt/qradar/conf/trusted_certificates utilizando SCP o SFTP.
- Ejecute SSH en la consola o el host gestionado y recupere el certificado utilizando el mandato siguiente: /opt/qradar/bin/getcert.sh <IP or Hostname> <optional port - 443
default>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.
Procedimiento
- Pulse .
- Pulse el icono Exploradores de VA y, a continuación, pulse Añadir.
- Escriba un Nombre de explorador para identificar el explorador Rapid7 Nexponer.
- En la lista Host gestionado , seleccione una opción que se base en una de las plataformas siguientes:
- En QRadar
Console, seleccione el host gestionado responsable de la comunicación con el dispositivo de explorador.
- En ' QRadar on Cloud, si el escáner está alojado en la nube, se puede utilizar la consola deQRadar® como host gestionado. De lo contrario, seleccione la pasarela de datos que es responsable de comunicarse con el dispositivo de escáner.
- Seleccione Rapid7 Nexponer Scanner en la lista Tipo .
- En la lista Tipo de importación , seleccione una de las opciones siguientes:
- Import Site Data - Asset and Vulnerability data via SQL API - Opción predeterminada y sugerida para importar resultados.
- Importar datos de sitio-Informe ad hoc a través de la API
- En el campo Nombre de host remoto , escriba la dirección IP o el nombre de host del explorador Rapid7 Nexponer.
- En el campo Nombre de usuario de inicio de sesión , escriba el nombre de usuario que se utiliza para acceder al explorador Rapid7 Nexponer.
El nombre de inicio de sesión debe ser un usuario válido. El nombre de usuario puede obtenerse en la interfaz de usuario de Rapid7 Nexpose o se puede solicitar al administrador de Rapid7 Nexpose.
- En el campo Contraseña de inicio de sesión , escriba la contraseña para acceder al explorador Rapid7 Nexponer.
- En el campo Puerto , escriba el puerto que se utiliza para conectarse a la consola de seguridad de Rapid7 Nexponer.
El número de puerto es el mismo puerto que se utiliza para conectarse a la interfaz de usuario de Rapid7 Nexpose.
- En el campo Patrón de nombre de sitio , escriba la expresión regular (regex) para determinar qué sitios de Rapid7 Nexponer deben incluirse en el escaneo. Se incluyen todos los sitios que coinciden con el patrón cuando se inicia la planificación de exploración.
La expresión regular predeterminada es .* para importar todos los nombres de sitio.
- En el campo Tiempo de espera de memoria caché (minutos) , escriba el tiempo que los datos del último informe de exploración generado se almacenan en la memoria caché.
Si el límite de tiempo de espera de caché caduca, se solicitan nuevos datos de vulnerabilidad a la API cuando la exploración planificada se inicia.
- Especifique la vía de acceso al directorio local para almacenar los informes XML descargados.
- Para configurar un rango de CIDR para el explorador, siga estos pasos:
- En el campo, escriba el rango de CIDR para la exploración o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.
- Pulse Añadir.
- Pulse Guardar.
- En la pestaña Admin , pulse Desplegar cambios.
Qué hacer a continuación
Ya está preparado para crear una planificación de exploración. Consulte Planificación de una exploración de vulnerabilidades.