Adición de un explorador de vulnerabilidades SAINT Security Suite en QRadar

QRadar utiliza la API SAINT para recopilar e importar informes de exploración desde el dispositivo SAINT Security Suite.

Antes de empezar

Para poder añadir el explorador de vulnerabilidades SAINT Security Suite en QRadar, debe completar los pasos siguientes:
  1. Obtenga el número de puerto de la API SAINT.
  2. Añada QRadar® a la lista de clientes permitidos.
  3. Obtener la señal de la API SAINT.
  4. Copiar el certificado de servidor.

Procedimiento

  1. Inicie sesión en la QRadar Console.
  2. Pulse la pestaña Admin .
  3. Pulse el icono Exploradores de VA y, a continuación, pulse Añadir.
  4. En el campo Nombre de explorador , escriba un nombre para identificar el explorador SAINT Security Suite.
  5. En la lista Host gestionado , seleccione una opción que se base en una de las plataformas siguientes:
    • En QRadar Console, seleccione el host gestionado responsable de la comunicación con el dispositivo de explorador.
    • En QRadar on Cloud, si el explorador se aloja en la nube, se puede utilizar la consola deQRadar como host gestionado. De lo contrario, seleccione la pasarela de datos que es responsable de comunicarse con el dispositivo de escáner.
  6. En la lista Tipo , seleccione Explorador de Saint Security Suite.
  7. En el campo Nombre de host de API , escriba la dirección IP o el nombre de host para la API SAINT.
  8. En el campo Puerto de API , escriba el número de puerto de la API SAINT. Para obtener más información sobre el puerto de la API, vaya a Obtención del número de puerto de la API SAINT .
  9. En el campo Señal de API , escriba la señal de API SAINT. Para obtener más información sobre la señal de la API SAINT, vaya a Obtención de la señal de la API SAINT.
  10. En la lista Tipo de exploración , seleccione una de las siguientes opciones de tipo de exploración:
    Opción Descripción
    Exploración en tiempo real QRadar crea y ejecuta una nueva exploración en el dispositivo SAINT Security Suite. Una vez completada la exploración, QRadar recopila e importa un informe de exploración del dispositivo SAINT Security Suite.
    Solo informe
    QRadar recopila e importa informes de exploración para todas las exploraciones que ya están en el dispositivo SAINT Security Suite que cumplen los requisitos siguientes.
    • La exploración no es anterior a la antigüedad especificada en el campo Antigüedad máxima del informe.
    • El nivel de exploración coincide con el Nivel de exploración especificado.
    • La correlación de destino de la exploración tiene al menos una dirección IP en común con el rango de CIDR.

    Esta opción no inicia nuevas exploraciones en el dispositivo SAINT Security Suite. Para recopilar resultados precisos, asegúrese de que se planifiquen exploraciones relevantes ejecutadas periódicamente en el dispositivo SAINT Security Suite.
  11. En la lista Nivel de exploración , seleccione un nivel de exploración que desee utilizar entre las opciones siguientes.
    Nota: En el dispositivo SAINT Security Suite y en la documentación de SAINT Security Suite, los niveles de exploración se conocen como políticas de exploración. Para obtener más información sobre las exploraciones OVAL/SCAP, vaya al sitio web de documentación de SAINT Security Suite (my.saintcorporation.com/resources/documentation/help/saint8_help/saint_help.html). En el panel de navegación, pulse Guía del usuario > SCAP.
    Nivel de exploración Descripción
    Normal

    SAINT recopila información para obtener el carácter general de un host y establece el tipo de sistema operativo y, si es posible, la versión de release de software.
    Fuerte/Exploración de vulnerabilidades

    El nivel Fuerte/Exploración de vulnerabilidades también se conoce como la política fuerte. SAINT busca servicios que escuchan en puertos TCP o UDP. Los servicios que se detectan se exploran en busca de vulnerabilidades conocidas. Esta exploración incluye el conjunto completo de comprobaciones de vulnerabilidades de SAINT, y es la política de exploración que SAINT recomienda utilizar en la mayoría de las situaciones.
    Descubrimiento

    SAINT explora los destinos y determina cuáles tienen hosts activos. Este nivel de exploración solo realiza la exploración mínima necesaria para identificar los hosts activos. Por lo tanto, la exploración de Descubrimiento no es muy intrusiva.
    Exploración de puertos

    SAINT identifica los servicios que escuchan en puertos TCP o UDP.
    Rastreo web

    SAINT detecta los directorios web en los destinos explorando los servicios web en los puertos y, a continuación, encuentra los directorios siguiendo los enlaces HTML, empezando por la página de inicio.
    SQL/XSS

    SAINT busca vulnerabilidades de script entre sitios e inyección de SQL en los servidores web. Ambas pruebas genéricas están incluidas. SAINT encuentra formularios HTML y prueba todos los parámetros de inyección de SQL y scripts entre sitios y, a continuación, busca vulnerabilidades conocidas de script entre sitios e inyección de SQL.
    Parche de Windows

    SAINT busca los parches de Windows que faltan. La mayoría de las comprobaciones de parches de Windows requieren autenticación de dominio de Windows.
    Búsqueda de contenido

    SAINT busca en los archivos en destinos Windows y Linux®/Mac números de tarjeta de crédito, números de seguridad social o cualquier otro patrón que se especifique. Se requiere una autenticación. Si está escaneando un destino Linux/Mac, SSH debe estar habilitado.
    PCI

    SAINT explora los destinos utilizando todas las comprobaciones de vulnerabilidades que son relevantes para el cumplimiento de PCI DSS (Payment Card Industry and Data Security Standard).
    Información de antivirus

    Se recopila información sobre el software AV instalado, por ejemplo, la fecha de la última exploración, las fechas de los archivos de definición y otra información que pueda ser útil para el requisito de auditoría 5 de PCI DSS. También se recopila información sobre las versiones de Windows de muchos de los productos de software antivirus, como McAfee, Symantec, AVG, F-Secure, MS Forefront y Trend Micro. Se requiere una autenticación. Los hechos que contengan la serie '(Master)' indican que se ha instalado un servidor, un gestor o un administrador antivirus en el destino.
    FISMA

    SAINT explora los destinos utilizando todas las comprobaciones de vulnerabilidades que son relevantes para el cumplimiento de FISMA (Federal Information Security Management Act).
    Prueba de autenticación

    SAINT se autentica en los destinos utilizando las credenciales que se especifican al añadir un explorador de vulnerabilidades.
    Adivinar contraseña de Windows

    Completa las comprobaciones de adivinanza de contraseña en destinos de Windows utilizando las opciones de configuración de adivinanza de contraseña y diccionario de contraseñas. Se recomienda la autenticación para que SAINT pueda enumerar las cuentas.
    Martes de parche de Microsoft

    Comprueba las vulnerabilidades del último parche de Microsoft publicado el martes del segundo martes de cada mes. SAINTexpress normalmente actualiza este nivel de exploración y el contenido asociado el miércoles a mediodía.
    Exploración web (OWASP Top 10)

    Comprueba las vulnerabilidades en los servidores web y las aplicaciones web, por ejemplo, la inyección de SQL, los scripts entre sitios, el software de servidor web sin parches, cifrados SSL débiles y otras vulnerabilidades de OWASP Top 10. También habilita comprobaciones de contenido de archivos. Puede requerir autenticación para algunas de las comprobaciones que se incluyen.
    IAVA (Correlaciona CVE con códigos IAVA)

    SAINT explora los destinos utilizando todas las comprobaciones de vulnerabilidades que son relevantes para el cumplimiento de IAVA (Information Assurance Vulnerability Alert).
    Adivinar contraseña de sistema operativo

    Incluye todas las funciones de adivinación de contraseñas de SAINT que están diseñadas para adivinar la contraseña del sistema operativo. Esta política incluye comprobaciones de contraseñas de FTP predeterminadas y adivinaciones de contraseñas basadas en diccionarios a través de Telnet, SSH y FTP. Se recomienda la autenticación para garantizar la enumeración de cuentas de usuario.
    NERC CIP

    SAINT explora los destinos utilizando todas las comprobaciones de vulnerabilidades que son relevantes para el cumplimiento de NERC CIP (North American Electric Reliability Corporation and Critical Infrastructure Protection).
    Inventario de software

    Genera una lista de software que está instalado en destinos de Windows. Se requiere una autenticación. La lista de software se genera enumerando la clave de desinstalación en el registro de Windows. Solo se incluye el software que se ha registrado con el sistema operativo durante la instalación. El software que se ha incluido en el sistema sin ejecutar un programa instalador normalmente se omite. El software registrado que se ha eliminado incorrectamente del sistema puede incluirse en la lista después de su eliminación.
    HIPAA

    SAINT explora los destinos utilizando todas las comprobaciones de vulnerabilidades que son relevantes para el cumplimiento de HIPAA (Health Insurance Portability and Accountability Act).
    SOX

    SAINT explora los destinos utilizando todas las comprobaciones de vulnerabilidades que son relevantes para el cumplimiento de SOX (Sarbanes-Oxley Act).
    Dispositivo móvil

    El nivel de exploración de Dispositivo móvil consulta los servidores de Active Directory para buscar información sobre los dispositivos móviles que utilizan Exchange ActiveSync y, a continuación, utiliza dicha información para recomendar vulnerabilidades en dichos dispositivos. Los dispositivos se listan en los resultados de la exploración como destinos aparte, aunque dichos destinos no se hayan explorado.

    Para que este nivel de exploración sea satisfactorio, OpenLDAP debe estar instalado en el host de exploración y la exploración debe ejecutarse con credenciales de administrador de dominio de Windows. Para obtener más información sobre la autenticación, vaya al sitio web de documentación de SAINT Security Suite-Paso 4-Autenticación (my.saintcorporation.com/resources/documentation/help/saint8_help/scan.html#Step_4__Authentication).

    La lista de destinos debe incluir al menos un servidor de Active Directory, y el certificado SSL de ese servidor de Active Directory se instala y configura en el host de exploración. Para obtener más información sobre los destinos de Windows, vaya al sitio web de documentación de SAINT Security Suite-Autenticación en destinos de Windows. (my.saintcorporation.com/resources/documentation/help/saint8_help/scan.html#Windows_Targets)
    Dispositivo de red

    Comprueba las vulnerabilidades en direccionadores, conmutadores y otros dispositivos de red.
    Exploración OVAL Ejecuta una exploración OVAL/SCAP.

    Para obtener más información sobre las exploraciones OVAL/SCAP, vaya al sitio web de la documentación de SAINT Security Suite (my.saintcorporation.com/resources/documentation/help/saint8_help/saint_help.html). En el panel de navegación, pulse Guía del usuario > Utilización de SAINT > SCAP.

    Para obtener más información sobre los parámetros de exploración SAINT, vaya al sitio web de la documentación de SAINT Security Suite (my.saintcorporation.com/resources/documentation/help/saint8_help/saint_help.html) y complete los pasos siguientes. En el panel de navegación, pulse Guía del usuario > SCAN > Pestaña Trabajos.

  12. Si ha seleccionado Exploración OVAL en la lista Nivel de exploración , escriba el nombre de la política de exploración que desea utilizar en el campo Nombre de política de exploración OVAL . Las exploraciones OVAL/SCAP son tipos de exploraciones basadas en benchmarks que se recopilan en orígenes autorizados.
  13. Si ha seleccionado Exploración en directo para el tipo de exploración, proporcione las credenciales de destino de exploración que se utilizan para autenticar los destinos durante las exploraciones. En la lista Tipo de credenciales de destino de exploración, seleccione una de las opciones siguientes para las credenciales que desee utilizar:
    Nota: Las credenciales de destino de exploración se ignoran cuando se selecciona Sólo informe para el tipo de exploración.
    Opción Descripción
    Ninguna No se utilizan ningunas credenciales.
    HTTP básica Se utilizan credenciales para las credenciales HTTP básicas.
    Linux/Unix/Mac (SSH) Utilice las credenciales para conectarse a un servidor Linux, UNIX o Mac a través de SSH.
    Microsoft SQL Server Utilice las credenciales para conectarse a una base de datos Microsoft SQL Server .
    Oracle Utiliza credenciales para conectarse a una base de datos Oracle.
    Administrador de Windows Utilice las credenciales de una cuenta de administrador en un servidor Windows.
    Windows no administrador Utilice las credenciales de una cuenta que no sea de administrador en un servidor Windows.
    MySQL Se utilizan credenciales para conectarse a una base de datos MySQL.
    SNMPv3 Se utilizan credenciales de SNMPv3.
  14. Si ha seleccionado alguna de las opciones, excepto la opción Ninguna de la lista Tipo de credenciales de destino de exploración , configure los parámetros siguientes para las Credenciales de destino de exploración que ha seleccionado:
    Parámetro Valor
    Nombre de usuario de credenciales de destino de exploración El nombre de usuario de la credencial de destino de exploración que ha seleccionado.
    Contraseña de credenciales de destino de exploración La contraseña de la credencial de destino de exploración que ha seleccionado.
  15. Opcional: Si ha seleccionado Linux/Unix/Mac (SSH) en la lista Tipo de credenciales de destino de exploración , especifique la Clave privada SSH.
  16. Opcional: Si ha seleccionado Oracle en la lista Tipo de credenciales de destino de exploración , puede especificar un ID de servicio (SID) de Oracle de una instancia de base de datos Oracle escribiéndolo en el campo Oracle SID .
  17. Opcional: Si ha seleccionado SNMPv3 en la lista Tipo de credenciales de destino de exploración , realice los pasos siguientes:
    1. Seleccione una de las siguientes opciones de algoritmo de suma de comprobación en la lista Protocolo de contraseñas SNMP :
      Opción Descripción
      SHA Seleccione esta opción para la contraseña que ha escrito en el campo Contraseña de credenciales de destino de exploración para utilizar el protocolo SHA.
      MD5 Seleccione esta opción para la contraseña que ha escrito en el campo Contraseña de credenciales de destino de exploración para utilizar el protocolo MD5.
    2. Opcional: Puede especificar una frase de contraseña SNMP escribiéndola en el campo Frase de contraseña SNMP .
      Si ha especificado una Frase de contraseña SNMP, seleccione una de las siguientes opciones en la lista Protocolo de frase de contraseña SNMP:
      Opción Descripción
      DES Seleccione esta opción para la frase de contraseña que ha escrito en el campo Frase de contraseña SNMP para utilizar el protocolo DES.
      AES Seleccione esta opción para la frase de contraseña que ha escrito en el campo Frase de contraseña SNMP para utilizar el protocolo AES.
  18. Si ha seleccionado Sólo informe en la lista Tipo de exploración , escriba la antigüedad máxima de los informes de exploración que desea importar en el campo Antigüedad máxima de informe .
  19. Configure los rangos de CIDR para el explorador:
    1. En el campo Rangos de CIDR , escriba el rango de CIDR para la exploración o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.
    2. Pulse Añadir.
  20. Pulse Guardar.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración.