Ajout d'une importation de résultats NMap distants
Une importation de résultats distants extrait des rapports d'analyse NMap terminés via SSH.
A propos de cette tâche
Les analyses doivent être générées au format XML en spécifiant l'option -oX sur votre scanner Nmap. Après avoir ajouté votre scanner Nmap, vous devez définir un planning d'analyse spécifiant la fréquence d'importation des données de vulnérabilité depuis le scanner.
Procédure
- Cliquez sur l'onglet Admin .
- Cliquez sur l'icône Scanners d'analyse des vulnérabilités .
- Cliquez sur Ajouter.
- Dans la zone Nom du scanner , entrez un nom pour identifier votre scanner NMap.
- Dans la liste Hôte géré , sélectionnez l'hôte géré de votre déploiement QRadar qui gère l'importation du scanner.
- Dans la liste Type , sélectionnez Scanner Nessus.
- Dans la liste Type de collection , sélectionnez Importation des résultats distants.
- Dans la zone Nom d'hôte du serveur , entrez le nom d'hôte ou l'adresse IP du système distant qui héberge le client NMap. Les administrateurs doivent héberger NMap sur un système UNIX avec SSH activé.
- Choisissez l'une des options d'authentification suivantes :
Option Descriptif Login Username Pour s'authentifier avec un nom d'utilisateur et un mot de passe, procédez comme suit :- Dans la zone Server Username, entrez le nom d'utilisateur requis pour accéder au système distant qui héberge le client NMap.
- Dans la zone Login Password, entrez le mot de passe associé au nom d'utilisateur.
Le mot de passe ne doit pas contenir le ! car ce caractère peut provoquer des échecs d'authentification avec SSH.
Si le scanner est configuré pour utiliser un mot de passe, le serveur de scanner SSH qui se connecte à QRadar doit prendre en charge l'authentification par mot de passe.
Si ce n'est pas le cas, l'authentification par SSH du scanner échoue. Vérifiez que la ligne suivante figure dans votre fichier /etc/ssh/sshd_config : PasswordAuthentication yes.
Si le serveur de votre scanner n'utilise pas OpenSSH, consultez dans la documentation de son fournisseur les informations de configuration du scanner.
Enable Key Authorization Pour s'authentifier avec un fichier d'authentification basé clés, procédez comme suit :- Cochez la case Enable Key Authentication.
- Dans la zone Private Key File, entrez le chemin de répertoire du fichier de clés.
Par défaut, il s'agit de /opt/qradar/conf/vis.ssh.key. S'il n'existe pas de fichier de clés, vous devez créer le fichier vis.ssh.key.Important: Le fichier vis.ssh.key doit être propriétaire devis qradar. Par exemple,# ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key
- Dans la zone Dossier distant , entrez l'emplacement du répertoire des fichiers de résultats d'analyse.
Exemple Linux® : /home/scans
Exemple Windows: /c:/zenmap
- Dans la zone Modèle de fichier distant , entrez une expression régulière (regex) requise pour filtrer la liste des fichiers spécifiés dans le dossier distant. Tous les fichiers correspondants sont inclus dans le traitement.Le canevas regex par défaut pour extraire des résultats NMap est .*\.xml. Le modèle .*\.xml importe tous les fichiers de résultats xml dans le dossier distant.Les rapports d'analyse importés et traités ne sont pas supprimés du dossier distant. Il est conseillé de planifier une tâche périodique pour supprimer les rapports d'analyse déjà traités.
- Pour configurer une plage CIDR pour votre scanner, procédez comme suit :
- Dans la zone de texte, entrez la plage CIDR que ce scanner doit prendre en compte ou cliquez sur Parcourir pour sélectionner une plage CIDR dans la liste des réseaux.
- Cliquez sur Ajouter.
- L'option Enable Strict HostKey Checking permet à la clé publique de l'hôte cible de correspondre à une entrée du paramètre Host Key list.
- Dans le HostKey champ, fournirBase64clés d'hôte codées à accepter lors de la connexion à l'hôte cible. Le type de clé d'hôte pris en charge est le suivantssh-rsa. Cette clé peut être obtenue en exécutant la commande OpenSSH ssh-keyscan dans Linux ou ssh-keyscan.exe sous Windows ou en obtenant la clé publique du système cible directement à partir d'un emplacement tel que le chemin d'accès au fichier /root/.ssh/known_hosts ou /etc/ssh/ssh_host_rsa_key.pub . Vous devez utiliser leBase64uniquement le hachage et non le nom d'hôte ou l'algorithme. Par exemple :
AAAAB3NzaC1yc2EAAAADAQABAAABAQCkT8TfV0oPWOVihTKKtORG2DQVbbFocUvGct9lN4auSIADp4Ubi\nOzm44k0mIZtMOGfYBTHVzyI6A9nCROLiMrJ00QzwG1IihYwaTqlYbZJ3FSiSY2tz1G2C51SG9OeziDMxcnEY2cHkwGSrGowydz20KPbgzTedOQCp41PafmMlb7TMmJtjU23cfCmPAQQHWIFOLWe1hg3RMtWfj1sE+Fe7Tu+/XZvT4GPSM5YQECXIzXmrhENWo+tIlnCGq01sLNPQ2Fo8qI97uAOm0kx/wkWfJLEj9dsHl7kO6D1x3YESVrr+e\nOc2xDvAStJIb4qCks2CGZDI1I2pivoqjX+JTRL
- Dans le HostKey champ, fournirBase64clés d'hôte codées à accepter lors de la connexion à l'hôte cible. Le type de clé d'hôte pris en charge est le suivantssh-rsa. Cette clé peut être obtenue en exécutant la commande OpenSSH ssh-keyscan dans Linux ou ssh-keyscan.exe sous Windows ou en obtenant la clé publique du système cible directement à partir d'un emplacement tel que le chemin d'accès au fichier /root/.ssh/known_hosts ou /etc/ssh/ssh_host_rsa_key.pub . Vous devez utiliser leBase64uniquement le hachage et non le nom d'hôte ou l'algorithme. Par exemple :
- Cliquez sur Sauvegarder.
- Dans l'onglet Admin , cliquez sur Déployer les modifications.