Adición de una exploración de Tenable SecurityCenter

Puede añadir un explorador Tenable SecurityCenter para habilitar IBM QRadar para recopilar información de host y vulnerabilidad a través de la API de Tenable.

1. Pulse la pestaña Admin .
2. Pulse el icono Exploradores de VA y, a continuación, pulse Añadir.
3. En el campo Nombre de explorador , escriba un nombre para identificar el explorador.
4. En la lista Host gestionado , seleccione una opción que se base en una de las plataformas siguientes:
   • En QRadar Console, seleccione el host gestionado responsable de la comunicación con el dispositivo de explorador.
   • En ' QRadar on Cloud, si el escáner está alojado en la nube, se puede utilizar la consola deQRadar® como host gestionado. De lo contrario, seleccione la pasarela de datos que es responsable de comunicarse con el dispositivo de escáner.
5. En la lista Tipo , seleccione Tenable SecurityCenter.
6. En el campo Dirección de servidor , escriba la dirección IP del SecurityCenterde Tenable.
7. En el campo Ubicación de API , escriba la vía de acceso a la API en el SecurityCenterde Tenable.

   La vía de acceso predeterminada del archivo de la API para SecurityCenter Versión 4 es sc4/request.php.

   La vía de acceso predeterminada del archivo de la API para SecurityCenter Versión 5 es rest.

8. En la lista Versión de API , seleccione la versión de SecurityCenter.
   Consejo: El soporte para Tenable SecurityCenter (Tenable.sc) en QRadar está limitado a las versiones soportadas por Tenable. Para obtener más información, consulte Tenable Software Release Lifecycle Matrixhttps://docs.tenable.com/security-center/best-practices/large-enterprise-deployment/Content/Lifecycle.htm.
9. En el campo Nombre de usuario , escriba el nombre de usuario para acceder a la API SecurityCenter de Tenable.
10. En el campo Contraseña , escriba la contraseña para acceder a la API SecurityCenter de Tenable.
11. Habilite o inhabilite el parámetro Permitir certificados no de confianza , que se basa en el tipo de certificado que utilice.
    Si habilita el parámetro Permitir certificados no fiables, el explorador puede aceptar certificados autofirmados y certificados no fiables que se encuentren en el directorio /opt/qradar/conf/trusted_certificates/. Si inhabilita el parámetro, el explorador sólo confía en los certificados firmados por un firmante de confianza.

    Sugerencia: De forma predeterminada, este parámetro está habilitado para los exploradores existentes e inhabilitado para los nuevos exploradores.
12. Configure un rango de CIDR para el explorador.
    1. En el campo de rangos de CIDR, escriba el rango de CIDR para la exploración o pulse Examinar para seleccionar un rango de CIDR de la lista de red.
    2. Pulse Añadir.
13. Opcional: Si recibe errores de memoria insuficientes en los registros de errores del explorador, configure el parámetro Vulnerability Flush Threshold , que establece el número máximo de vulnerabilidades que se deben almacenar en la memoria. Este valor se puede ajustar para que se ajuste a la memoria disponible asignada a los exploradores. Para encontrar este parámetro, pulse el signo más (+) en la parte superior izquierda de la página de configuración del escáner.

    Si el número de vulnerabilidades es alto y la memoria del explorador no puede almacenar el valor predeterminado de 500.000, la reducción del valor a 5000-25000 puede resolver problemas de almacenamiento de memoria. El valor mínimo es 1.000 y el valor máximo es 500.000.

    Sugerencia: Si el valor de Umbral de vaciado de vulnerabilidad es menor que el valor predeterminado, las exploraciones pueden tardar más tiempo en completarse.

    Sugerencia: Establezca el campo Edad en mayor que 60 para recibir un gran número de sucesos o hosts. Establezca el campo Edad en menor que 10 para recibir menos sucesos o hosts.
14. Pulse Guardar.
15. En la pestaña Admin , pulse Desplegar cambios.