Adición de una exploración en tiempo real remota de Nmap

QRadar supervisa el estado de la exploración activa en curso y espera a que el servidor Nmap complete la exploración. Cuando la exploración finaliza, los resultados de vulnerabilidad se descargan a través de SSH.

Acerca de esta tarea

Varios tipos de exploraciones de puerto de Nmap requieren que Nmap se ejecute como usuario root. Por lo tanto, QRadar debe tener acceso como root o debe desmarcar el recuadro de selección OS Detection . Para ejecutar exploraciones Nmap con OS Detection habilitado, debe proporcionar credenciales de acceso root a QRadar cuando añada el explorador. Como alternativa, puede hacer que el administrador configure el archivo binario de Nmap con el setuid root. Consulte al administrador de Nmap para obtener más información.

Restricción: Aunque hay un binario NMap en cada host QRadar , está reservado sólo para uso interno de QRadar . La configuración de un explorador de vulnerabilidades NMap para utilizar un host gestionado QRadar Console o QRadar como explorador NMap remoto no está soportado y puede provocar inestabilidades.

Procedimiento

Pulse la pestaña Admin .
Pulse el icono Exploradores VA .
Pulse Añadir.
En el campo Nombre de explorador , escriba un nombre para identificar el explorador Nmap .
En la lista Host gestionado , seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.
En la lista Tipo , seleccione Nmap Scanner.
En la lista Tipo de exploración , seleccione Exploración activa remota.
En el campo Nombre de host del servidor , escriba la dirección IP o el nombre de host del servidor Nmap .

Elija una de las opciones de autenticación siguientes:

Opción Descripción

Server Username

Opción	Descripción
Server Username	Para la autenticación con un nombre de usuario y una contraseña: En el campo Server Username, escriba el nombre de usuario necesario para acceder al sistema remoto que aloja el cliente de Nmap mediante SSH. En el campo Login Password, escriba la contraseña que está asociada con el nombre de usuario. Si la casilla de verificación OS Detection está seleccionada, el nombre de usuario debe tener privilegios de usuario root.
Enable Key Authorization	Para la autenticación con un archivo de autenticación basado en clave: Seleccione la casilla de verificación Enable Key Authentication. En el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves. El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh.key. Si no existe un archivo de claves, debe crear el archivo vis.ssh.key. Importante: El archivo vis.ssh.key debe tener la propiedad `vis qradar` . Por ejemplo: # ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key Si el explorador está configurado para utilizar una contraseña, el servidor de explorador SSH al que se conecta QRadar debe dar soporte a la autenticación de contraseña. Si no es así, la autenticación SSH para el explorador falla. Asegúrese de que la línea siguiente aparece en el archivo /etc/ssh/sshd_config: `PasswordAuthentication yes`. Si el servidor de exploración no utiliza OpenSSH, consulte la documentación del proveedor para obtener información sobre la configuración del explorador.

Para la autenticación con un nombre de usuario y una contraseña:

En el campo Server Username, escriba el nombre de usuario necesario para acceder al sistema remoto que aloja el cliente de Nmap mediante SSH.
En el campo Login Password, escriba la contraseña que está asociada con el nombre de usuario.

Si la casilla de verificación OS Detection está seleccionada, el nombre de usuario debe tener privilegios de usuario root.

Enable Key Authorization

Para la autenticación con un archivo de autenticación basado en clave:

Seleccione la casilla de verificación Enable Key Authentication.
En el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves.

El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh.key. Si no existe un archivo de claves, debe crear el archivo vis.ssh.key.

Importante: El archivo vis.ssh.key debe tener la propiedad vis qradar . Por ejemplo:

# ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key

Si el explorador está configurado para utilizar una contraseña, el servidor de explorador SSH al que se conecta QRadar debe dar soporte a la autenticación de contraseña.

Si no es así, la autenticación SSH para el explorador falla. Asegúrese de que la línea siguiente aparece en el archivo /etc/ssh/sshd_config: PasswordAuthentication yes.

Si el servidor de exploración no utiliza OpenSSH, consulte la documentación del proveedor para obtener información sobre la configuración del explorador.

En el campo Nmap Ejecutable , escriba la vía de acceso completa del directorio y el nombre de archivo del archivo binario Nmap .
La vía de acceso del directorio predeterminada del archivo binario es /usr/bin/Nmap.
Seleccione una opción para el recuadro de selección Inhabilitar ping .
En algunas redes, el protocolo ICMP está inhabilitado parcial o totalmente. En los casos en los que ICMP no está habilitado, puede seleccionar esta casilla de verificación para inhabilitar los ping de ICMP para mejorar la precisión de la exploración. De forma predeterminada, la casilla de verificación no está seleccionada.
Seleccione una opción para el recuadro de selección Detección de SO :
- Seleccione esta casilla de verificación para habilitar la detección del sistema operativo en Nmap. Debe proporcionar al explorador privilegios de usuario root para utilizar esta opción.
- Deseleccione esta casilla de verificación para recibir los resultados de Nmap sin la detección de sistema operativo.
En la lista Tiempo de espera de RTT máximo , seleccione un valor de tiempo de espera.
El valor de tiempo de espera determina si una exploración debe detenerse o volverse a emitir debido a la latencia entre el explorador y el destino de exploración. El valor predeterminado es de 300 milisegundos (ms). Si especifica un periodo de tiempo de espera de 50 milisegundos, le recomendamos que los dispositivos que se exploran estén en la red local. Los dispositivos de las redes remotas pueden utilizar un valor de tiempo de espera de 1 segundo.
Seleccione una opción de la lista Plantilla de temporización . Las opciones son:
- Paranoid: Esta opción genera una evaluación lenta, no intrusiva.
- Sneaky: Esta opción genera una evaluación lenta, no intrusiva, pero espera 15 segundos entre una exploración y la siguiente.
- Polite: Esta opción es más lenta de lo normal y está pensada para aliviar la carga en la red.
- Normal: Esta opción es el comportamiento de exploración estándar.
- Aggressive: Esta opción es más rápida que una exploración normal y utiliza más recursos.
- Insane: Esta opción no es tan precisa como las exploraciones lentas y solamente es apta para las redes muy rápidas.
En el campo Máscara de CIDR , escriba el tamaño de la subred explorada.
El valor especificado para la máscara representa la parte más grande de la subred que el explorador puede explorar de una sola vez. La máscara segmenta la exploración para optimizar el rendimiento de la exploración.
Para configurar un rango de CIDR para su explorador:
1. En el campo de texto, escriba el rango de CIDR que desea que este explorador tenga en cuenta o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.
2. Pulse Añadir.
Pulse Guardar.
En la pestaña Admin , pulse Desplegar cambios.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración. Consulte Planificación de una exploración de vulnerabilidades