Vous pouvez ajouter un scanner pour collecter des données de vulnérabilité via
SNMP auprès de scanners eEye REM ou CS Retina.
Avant de commencer
Pour utiliser des identificateurs et des descriptions CVE, vous devez copier le fichier audits.xml depuis votre scanner
eEye REM vers l'hôte géré chargé de l'écoute des données SNMP. Si votre hôte géré réside dans un déploiement réparti, vous devez d'abord copier le fichier audits.xml vers la console, puis le transférer via SSH vers l'emplacement /opt/qradar/conf/audits.xml sur l'hôte géré. L'emplacement par défaut de audits.xml sur le scanner eEye est %ProgramFiles(x86)%\eEye
Digital Security\Retina CS\Applications\RetinaManager\Database\audits.xml.Pour recevoir les informations CVE les plus à jour, mettez régulièrement à jour QRadar avec le dernier fichier audits.xml .
Procédure
- Cliquez sur l'onglet Admin .
- Cliquez sur l'icône Scanners d'analyse des vulnérabilités .
- Cliquez sur Ajouter.
- Dans la zone Nom du scanner , entrez un nom pour identifier votre serveur SecureScout .
- Dans la liste Hôte géré , sélectionnez une option basée sur l'une des plateformes suivantes:
- Sous QRadar
Console, sélectionnez l'hôte géré responsable de la communication avec le scanner.
- Pour le " QRadar on Cloud, si le scanner est hébergé dans le nuage, la consoleQRadar® peut être utilisée comme hôte géré. Sinon, sélectionnez la passerelle de données responsable de la communication avec le scanner.
- Dans la liste Type , sélectionnez eEye Scanner REM.
- Dans la liste Type d'importation , sélectionnez SNMP.
- Dans la zone Répertoire de base , entrez un emplacement pour stocker les fichiers temporaires contenant les données d'analyse REM eEye .
Le répertoire par défaut est /store/tmp/vis/eEye/.
- Dans la zone Taille du cache , entrez le nombre de transactions que vous souhaitez stocker dans le cache avant que les données SNMP ne soient écrites dans le fichier temporaire. La valeur par défaut est de 40.
La valeur par défaut est de 40 transactions.
- Dans la zone Durée de conservation , entrez la période, en jours, pendant laquelle le système stocke les informations d'analyse.
Si un planning d'analyse n'a pas importé de données avant l'expiration de la période de rétention, les informations d'analyse sont supprimées du cache.
- Cochez la case Utiliser les données de vulnérabilité pour corréler les vulnérabilités eEye aux identificateurs CVE (Common Vulnerabilities and Exposures) et aux informations de description.
.
- Dans la zone Fichier de données de vulnérabilité , entrez le chemin de répertoire du fichier eEye audits.xml .
- Dans la zone Port d'écoute , entrez le numéro de port utilisé pour surveiller les informations de vulnérabilité SNMP entrantes provenant de votre scanner eEye REM.
Par défaut, il s'agit du port 1162.
- Dans la zone Hôte source , entrez l'adresse IP du scanner eEye .
- Dans la liste Version SNMP , sélectionnez la version du protocole SNMP.
Par défaut, il s'agit du protocole SNMPv2.
- Dans la zone Community String , entrez le nom de communauté SNMP pour le protocole SNMPv2 , par exemple Public.
- Dans la liste Protocole d'authentification , sélectionnez l'algorithme permettant d'authentifier les interruptions SNMPv3 .
- Dans la zone Mot de passe d'authentification , entrez le mot de passe à utiliser pour authentifier la communication SNMPv3 .
Le mot de passe doit être composé au minimum de 8 caractères.
- Dans la liste Protocole de chiffrement , sélectionnez l'algorithme de déchiffrement SNMPv3 .
- Dans la zone Mot de passe de chiffrement , entrez le mot de passe permettant de déchiffrer les alertes SNMPv3 .
- Pour configurer une plage CIDR pour votre scanner, procédez comme suit :
- Entrez la plage CIDR pour l'analyse ou cliquez sur Parcourir pour sélectionner une plage CIDR dans la liste des réseaux.
- Cliquez sur Ajouter.
- Cliquez sur Sauvegarder.
- Dans l'onglet Admin , cliquez sur Déployer les modifications.
Etape suivante
Sélectionnez l'une des options suivantes :