Puede añadir un explorador para recopilar datos de vulnerabilidad sobre SNMP con exploradores eEye REM o CS Retina.
Antes de empezar
Para utilizar identificadores y descripciones de CVE, debe copiar el archivo audits.xml del explorador eEye REM al host gestionado responsable de la escucha de datos de SNMP. Si el host gestionado está en un despliegue distribuido, debe copiar audits.xml a la consola en primer lugar y abrir una sesión de SSH para enviar el archivo a /opt/qradar/conf/audits.xml en el host gestionado. La ubicación predeterminada de audits.xml en el explorador eEye es %ProgramFiles(x86)%\eEye
Digital Security\Retina CS\Applications\RetinaManager\Database\audits.xml.Para recibir la información de CVE más actualizada, actualice periódicamente QRadar con el archivo audits.xml más reciente.
Procedimiento
- Pulse la pestaña Admin .
- Pulse el icono Exploradores VA .
- Pulse Añadir.
- En el campo Nombre de explorador , escriba un nombre para identificar el servidor SecureScout .
- En la lista Host gestionado , seleccione una opción que se base en una de las plataformas siguientes:
- En QRadar
Console, seleccione el host gestionado responsable de la comunicación con el dispositivo de explorador.
- En ' QRadar on Cloud, si el escáner está alojado en la nube, se puede utilizar la consola deQRadar® como host gestionado. De lo contrario, seleccione la pasarela de datos que es responsable de comunicarse con el dispositivo de escáner.
- En la lista Tipo , seleccione eEye REM Scanner.
- En la lista Tipo de importación , seleccione SNMP.
- En el campo Directorio base , escriba una ubicación para almacenar los archivos temporales que contienen los datos de exploración de REM eEye .
El directorio predeterminado es /store/tmp/vis/eEye/.
- En el campo Tamaño de memoria caché , escriba el número de transacciones que desea almacenar en la memoria caché antes de que los datos SNMP se graben en el archivo temporal. El valor predeterminado es 40.
El valor predeterminado es de 40 transacciones.
- En el campo Periodo de retención , escriba el periodo de tiempo, en días, en el que el sistema almacena la información de exploración.
Si una planificación de exploración no ha importado datos antes de que el periodo de retención caduque, la información de exploración de la memoria caché se suprime.
- Seleccione la casilla de verificación Utilizar datos de vulnerabilidad para correlacionar las vulnerabilidades de eEye con identificadores de CVE (Common Vulnerabilities and Exposiciones) e información de descripción.
.
- En el campo Archivo de datos de vulnerabilidad , escriba la vía de acceso del directorio al archivo eEye audits.xml .
- En el campo Puerto de escucha , escriba el número de puerto que se utiliza para supervisar la información de vulnerabilidad SNMP de entrada desde el explorador eEye REM.
El puerto predeterminado es el 1162.
- En el campo Host de origen , escriba la dirección IP del explorador eEye .
- En la lista Versión de SNMP , seleccione la versión del protocolo SNMP.
El protocolo predeterminado es SNMPv2.
- En el campo Serie de comunidad , escriba la serie de comunidad SNMP para el protocolo SNMPv2 , por ejemplo, Public.
- En la lista Protocolo de autenticación , seleccione el algoritmo para autenticar las condiciones de excepción SNMPv3 .
- En el campo Contraseña de autenticación , escriba la contraseña que desea utilizar para autenticar la comunicación SNMPv3 .
La contraseña debe contener un mínimo de ocho caracteres.
- En la lista Protocolo de cifrado , seleccione el algoritmo de descifrado SNMPv3 .
- En el campo Contraseña de cifrado , escriba la contraseña para descifrar las condiciones de excepción de SNMPv3 .
- Para configurar un rango de CIDR para su explorador:
- Escriba el rango de CIDR para la exploración o pulse Examinar para seleccionar un rango de CIDR en la lista de redes.
- Pulse Añadir.
- Pulse Guardar.
- En la pestaña Admin , pulse Desplegar cambios.
Qué hacer a continuación
Seleccione una de las opciones siguientes: