Ajout d'une analyse immédiate Nmap distante

QRadar surveille le statut de l'analyse en cours et attend que le serveur Nmap termine l'analyse. Au terme de l'analyse, les résultats de vulnérabilité sont téléchargés via SSH.

A propos de cette tâche

Plusieurs types d'analyse de port Nmap requièrent que Nmap s'exécute en tant qu'utilisateur root. Par conséquent, QRadar doit avoir accès en tant que superutilisateur ou vous devez décocher la case OS Detection . Pour exécuter des analyses Nmap avec la détection de système d'exploitation activée, vous devez fournir des données d'identification d'accès root à QRadar lorsque vous ajoutez le scanner. Ou bien vous pouvez demander à votre administrateur de configurer le fichier binaire Nmap avec les droits setuid root. Consultez votre administrateur Nmap pour plus d'informations.

Restriction: Bien qu'il existe un binaire NMap sur chaque hôte QRadar , il est réservé à l'usage interne de QRadar uniquement. La configuration d'un scanner de vulnérabilité NMap pour utiliser un hôte géré QRadar Console ou QRadar car le scanner NMap distant n'est pas pris en charge et peut provoquer des instabilités.

Procédure

Cliquez sur l'onglet Admin .
Cliquez sur l'icône Scanners d'analyse des vulnérabilités .
Cliquez sur Ajouter.
Dans la zone Nom du scanner , entrez un nom pour identifier votre scanner Nmap .
Dans la liste Hôte géré , sélectionnez l'hôte géré de votre déploiement QRadar qui gère l'importation du scanner.
Dans la liste Type , sélectionnez Nmap Scanner.
Dans la liste Type d'analyse , sélectionnez Analyse en direct à distance.
Dans la zone Nom d'hôte du serveur , entrez l'adresse IP ou le nom d'hôte du serveur Nmap .

Choisissez l'une des options d'authentification suivantes :

Option Descriptif

Server Username

Option	Descriptif
Server Username	Pour s'authentifier avec un nom d'utilisateur et un mot de passe, procédez comme suit : Dans la zone Server Username, entrez le nom d'utilisateur requis pour accéder au système distant hébergeant le client Nmap utilisant SSH. Dans la zone Login Password, entrez le mot de passe associé au nom d'utilisateur. Si la case OS Detection est cochée, l'utilisateur doit disposer de privilèges root.
Enable Key Authorization	Pour s'authentifier avec un fichier d'authentification basé clés, procédez comme suit : Cochez la case Enable Key Authentication. Dans la zone Private Key File, entrez le chemin de répertoire du fichier de clés. Le répertoire par défaut du fichier de clés est : /opt/qradar/conf/vis.ssh.key. S'il n'existe pas de fichier de clés, vous devez créer le fichier vis.ssh.key. Important: Le fichier vis.ssh.key doit être propriétaire de `vis qradar` . Par exemple, # ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key Si le scanner est configuré pour utiliser un mot de passe, le serveur de scanner SSH qui se connecte à QRadar doit prendre en charge l'authentification par mot de passe. Si ce n'est pas le cas, l'authentification par SSH du scanner échoue. Vérifiez que la ligne suivante figure dans votre fichier /etc/ssh/sshd_config : `PasswordAuthentication yes`. Si le serveur de votre scanner n'utilise pas OpenSSH, consultez dans la documentation de son fournisseur les informations de configuration du scanner.

Pour s'authentifier avec un nom d'utilisateur et un mot de passe, procédez comme suit :

Dans la zone Server Username, entrez le nom d'utilisateur requis pour accéder au système distant hébergeant le client Nmap utilisant SSH.
Dans la zone Login Password, entrez le mot de passe associé au nom d'utilisateur.

Si la case OS Detection est cochée, l'utilisateur doit disposer de privilèges root.

Enable Key Authorization

Pour s'authentifier avec un fichier d'authentification basé clés, procédez comme suit :

Cochez la case Enable Key Authentication.
Dans la zone Private Key File, entrez le chemin de répertoire du fichier de clés.

Le répertoire par défaut du fichier de clés est : /opt/qradar/conf/vis.ssh.key. S'il n'existe pas de fichier de clés, vous devez créer le fichier vis.ssh.key.

Important: Le fichier vis.ssh.key doit être propriétaire de vis qradar . Par exemple,

# ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key

Si le scanner est configuré pour utiliser un mot de passe, le serveur de scanner SSH qui se connecte à QRadar doit prendre en charge l'authentification par mot de passe.

Si ce n'est pas le cas, l'authentification par SSH du scanner échoue. Vérifiez que la ligne suivante figure dans votre fichier /etc/ssh/sshd_config : PasswordAuthentication yes.

Si le serveur de votre scanner n'utilise pas OpenSSH, consultez dans la documentation de son fournisseur les informations de configuration du scanner.

Dans la zone Nmap Executable , entrez le chemin de répertoire complet et le nom de fichier du fichier binaire Nmap .
Le chemin de répertoire par défaut du fichier binaire est : /usr/bin/Nmap.
Sélectionnez une option pour la case à cocher Désactiver la commande PING .
Dans certains réseaux, le protocole ICMP est partiellement ou complètement désactivé. Si ICMP n'est pas activé, vous pouvez sélectionner cette case pour désactiver des commandes PING ICMP afin d'affiner l'analyse. Par défaut, la case est décochée.
Sélectionnez une option pour la case à cocher OS Detection :
- Cochez cette case pour activer la détection du système d'exploitation dans Nmap. Vous devez accorder au scanner des privilèges root pour utiliser cette option.
- Décochez cette case pour recevoir les résultats Nmap sans détection du système d'exploitation.
Dans la liste Max RTT Timeout , sélectionnez une valeur de délai d'attente.
Le délai d'attente détermine si une analyse doit être arrêtée ou réexécutée en raison du temps d'attente entre le scanner et la cible d'analyse. La valeur par défaut est de 300 millisecondes (ms). Si vous spécifiez un délai d'expiration de 50 millisecondes, nous suggérons que les périphériques analysés résident sur le réseau local. Les dispositifs sur des réseaux distants peuvent utiliser une valeur de délai d'expiration d'1 seconde.
Sélectionnez une option dans la liste Modèle de temps . Les options incluent :
- Paranoid - Cette option produit une évaluation lente et non intrusive.
- Sneaky - Cette option produit une évaluation lente et non intrusive, mais patiente 15 secondes entre les analyses.
- Polite - Cette option est plus lente que la normale et destinée à alléger la charge sur le réseau.
- Normal - Cette option est le comportement d'analyse standard.
- Aggressive - Cette option st plus rapide que la normale et plus gourmande en ressources.
- Insane - Cette option n'est pas aussi précise que les analyses plus lentes et ne convient qu'aux réseaux très rapides.
Dans la zone Masque CIDR , entrez la taille du sous-réseau analysé.
La valeur spécifiée pour le masque représente la portion la plus large du sous-réseau que le scanner peut analyser à un moment donné. Le masque segmente l'analyse afin d'optimiser les performances de l'opération.
Pour configurer une plage CIDR pour votre scanner, procédez comme suit :
1. Dans la zone de texte, entrez la plage CIDR que ce scanner doit prendre en compte ou cliquez sur Parcourir pour sélectionner une plage CIDR dans la liste des réseaux.
2. Cliquez sur Ajouter.
Cliquez sur Sauvegarder.
Dans l'onglet Admin , cliquez sur Déployer les modifications.

Etape suivante

Vous pouvez à présent créer un planning d'analyse. Voir Planification d'une analyse de vulnérabilité