Adición de una importación de resultados remota de NMap
Una importación de resultados remota recupera los informes de exploración de NMap completados a través de SSH.
Acerca de esta tarea
Las exploraciones deben generarse en formato XML utilizando la opción -oX en el explorador NMap. Después de añadir el explorador NMap, debe asignar una planificación de exploración para especificar la frecuencia con la que los datos de vulnerabilidad se importan del explorador.
Procedimiento
- Pulse la pestaña Admin .
- Pulse el icono Exploradores VA .
- Pulse Añadir.
- En el campo Nombre de explorador , escriba un nombre para identificar el explorador NMap.
- En la lista Host gestionado , seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.
- En la lista Tipo , seleccione Explorador de Nessus.
- En la lista Tipo de colección , seleccione Importación de resultados remota.
- En el campo Nombre de host de servidor , escriba el nombre de host o la dirección IP del sistema remoto que aloja el cliente NMap. Los administradores deben alojar NMap en un sistema basado en UNIX con SSH habilitado.
- Elija una de las opciones de autenticación siguientes:
Opción Descripción Login Username Para la autenticación con un nombre de usuario y una contraseña:- En el campo Server Username, escriba el nombre de usuario necesario para acceder al sistema remoto que aloja el cliente de NMap.
- En el campo Login Password, escriba la contraseña que está asociada con el nombre de usuario.
La contraseña no debe contener el carácter! . Este carácter podría provocar errores de autenticación a través de SSH.
Si el explorador está configurado para utilizar una contraseña, el servidor de explorador SSH al que se conecta QRadar debe dar soporte a la autenticación de contraseña.
Si no es así, la autenticación SSH para el explorador falla. Asegúrese de que la línea siguiente aparece en el archivo /etc/ssh/sshd_config: PasswordAuthentication yes.
Si el servidor de exploración no utiliza OpenSSH, consulte la documentación del proveedor para obtener información sobre la configuración del explorador.
Enable Key Authorization Para la autenticación con un archivo de autenticación basado en clave:- Seleccione la casilla de verificación Enable Key Authentication.
- En el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves.
El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh.key. Si no existe un archivo de claves, debe crear el archivo vis.ssh.key.Importante: El archivo vis.ssh.key debe tener la propiedadvis qradar. Por ejemplo:# ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key
- En el campo Carpeta remota , escriba la ubicación del directorio de los archivos de resultados de la exploración.
Ejemplo de Linux® : /home/scans
Ejemplo de Windows: /c:/zenmap
- En el campo Patrón de archivo remoto , escriba una expresión regular (regex) que sea necesaria para filtrar la lista de archivos especificados en la carpeta remota. Todos los archivos coincidentes se incluyen en el proceso.El patrón de expresión regular predeterminado para recuperar resultados de NMap es .*\.xml. El patrón .*\.xml importa todos los archivos de resultados xml de la carpeta remota.Los informes de exploración importados y procesados no se suprimen de la carpeta remota. Debe planificar un trabajo cron para suprimir los informes de exploración procesados anteriormente.
- Para configurar un rango de CIDR para su explorador:
- En el campo de texto, escriba el rango de CIDR que desea que tenga en cuenta este explorador o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.
- Pulse Añadir.
- La opción Enable Strict HostKey Checking permite que la clave pública del host de destino coincida con una entrada del parámetro Host Key list.
- En HostKey campo, proporcioneBase64claves de host codificadas para aceptar cuando se conecta al host de destino. El tipo de clave de host admitido esssh-rsa. Esta clave puede obtenerse ejecutando el comando OpenSSH ssh-keyscan en Linux o ssh-keyscan.exe en Windows u obteniendo la clave pública del sistema de destino directamente desde una ubicación como la ruta de archivo /root/.ssh/known_hosts o /etc/ssh/ssh_host_rsa_key.pub . Debe utilizar elBase64y no el nombre de host o el algoritmo. Por ejemplo:
AAAAB3NzaC1yc2EAAAADAQABAAABAQCkT8TfV0oPWOVihTKKtORG2DQVbbFocUvGct9lN4auSIADp4Ubi\nOzm44k0mIZtMOGfYBTHVzyI6A9nCROLiMrJ00QzwG1IihYwaTqlYbZJ3FSiSY2tz1G2C51SG9OeziDMxcnEY2cHkwGSrGowydz20KPbgzTedOQCp41PafmMlb7TMmJtjU23cfCmPAQQHWIFOLWe1hg3RMtWfj1sE+Fe7Tu+/XZvT4GPSM5YQECXIzXmrhENWo+tIlnCGq01sLNPQ2Fo8qI97uAOm0kx/wkWfJLEj9dsHl7kO6D1x3YESVrr+e\nOc2xDvAStJIb4qCks2CGZDI1I2pivoqjX+JTRL
- En HostKey campo, proporcioneBase64claves de host codificadas para aceptar cuando se conecta al host de destino. El tipo de clave de host admitido esssh-rsa. Esta clave puede obtenerse ejecutando el comando OpenSSH ssh-keyscan en Linux o ssh-keyscan.exe en Windows u obteniendo la clave pública del sistema de destino directamente desde una ubicación como la ruta de archivo /root/.ssh/known_hosts o /etc/ssh/ssh_host_rsa_key.pub . Debe utilizar elBase64y no el nombre de host o el algoritmo. Por ejemplo:
- Pulse Guardar.
- En la pestaña Admin , pulse Desplegar cambios.