Aggiunta di uno scanner di vulnerabilità Beyond Security AVDS

Oltre alla sicurezza, le appliance AVDS (Automated Vulnerability Detection System) creano dati di vulnerabilità in formato AXIS (Asset Export Information Source). I file formattati AXIS possono essere importati da file XML che possono essere importati.

Informazioni su questa attività

Per integrare con successo le vulnerabilità Beyond Security AVDS con QRadar, è necessario configurare la propria appliance Beyond Security AVDS per pubblicare i dati di vulnerabilità in un file di risultati XML formattato AXIS. I dati di vulnerabilità XML devono essere pubblicati su un server remoto accessibile utilizzando SFTP ( Secure File Transfer Protocol). Il termine server remoto si riferisce a qualsiasi dispositivo, host di terze parti o ubicazione di memoria di rete che può ospitare i file di risultati della scansione XML pubblicati.

I risultati XML più recenti che contengono vulnerabilità AVDS di Beyond Security vengono importati all'inizio di una pianificazione di scansione. Le pianificazioni di scansione determinano la frequenza con cui i dati di vulnerabilità creati da Beyond Security AVDS vengono importati. Dopo aver aggiunto il dispositivo Beyond Security AVDS a QRadar, creare una pianificazione di scansione per importare i file dei risultati della scansione. Le vulnerabilità dalla pianificazione della scansione aggiornano la scheda Asset una volta completata la pianificazione della scansione.

Procedura

Fare clic sulla scheda Amministrazione .
Fare clic sull'icona Scanner VA .
Fare clic su Aggiungi.
Nel campo Nome scanner , immettere un nome per identificare lo scanner AVDS Beyond Security.
Dall'elenco Host gestito , selezionare un'opzione basata su una delle seguenti piattaforme:
- Su QRadar Console, selezionare l'host gestito responsabile della comunicazione con il dispositivo scanner.
- Su 'QRadar on Cloud, se lo scanner è ospitato nel cloud, la ConsoleQRadar® può essere utilizzata come host gestito. Altrimenti, selezionare il gateway di dati responsabile della comunicazione con il dispositivo scanner.
Dall'elenco Tipo , selezionare Oltre la sicurezza AVDS.
Nel campo Nome host remoto , immettere l'indirizzo IP o il nome host del sistema che contiene i risultati della scansione pubblicati dallo scanner AVDS Beyond Security.

Scegliere una delle seguenti opzioni di autenticazione:

Opzione Descrizione

Nome utente di login

Opzione	Descrizione
Nome utente di login	Per autenticarsi con un nome utente e una password: Nel campo Nome utente di accesso , immettere un nome utente che abbia accesso per richiamare i risultati della scansione dall'host remoto. Nel campo Password di login , immettere la parola d'ordine associata con il nome utente.
Abilita autorizzazione chiave	Per eseguire l'autenticazione con un file di autenticazione basato su chiavi: Selezionare la casella di spunta Abilita autenticazione chiave . Nel campo File chiave privata , immettere il percorso della directory del file chiave. La directory predefinita per il file di chiavi è/opt/qradar/conf/vis.ssh.key. Se un file di chiavi non esiste, è necessario creare il file vis.ssh.key . Importante Il file vis.ssh.key deve avere la proprietà `vis qradar` . Ad esempio: # ls -al /opt/qradar/conf/vis.ssh.key -rw ------- 1 vis qradar 1679 ago 7 06:24 /opt/qradar/conf/vis.ssh.key

Per autenticarsi con un nome utente e una password:

Nel campo Nome utente di accesso , immettere un nome utente che abbia accesso per richiamare i risultati della scansione dall'host remoto.
Nel campo Password di login , immettere la parola d'ordine associata con il nome utente.

Abilita autorizzazione chiave

Per eseguire l'autenticazione con un file di autenticazione basato su chiavi:

Selezionare la casella di spunta Abilita autenticazione chiave .
Nel campo File chiave privata , immettere il percorso della directory del file chiave.

La directory predefinita per il file di chiavi è/opt/qradar/conf/vis.ssh.key.

Se un file di chiavi non esiste, è necessario creare il file vis.ssh.key .

Importante Il file vis.ssh.key deve avere la proprietà vis qradar . Ad esempio:

# ls -al /opt/qradar/conf/vis.ssh.key
-rw ------- 1 vis qradar 1679 ago 7 06:24 /opt/qradar/conf/vis.ssh.key

Nel campo Directory remota , immettere l'ubicazione della directory dei file dei risultati della scansione.
Nel campo Modello nome file , immettere un'espressione regolare (regex) per filtrare l'elenco di file specificati nella directory remota. Tutti i file corrispondenti sono inclusi nell'elaborazione.

Il valore predefinito è .*\.xml. Il pattern .*\.xml importa tutti i file xml nella directory remota.
Nel campo Età massima report (giorni) , digitare la durata massima del file per il file dei risultati della scansione. I file più vecchi dei giorni e della data / ora specificati nel file di report vengono esclusi quando viene avviata la scansione della pianificazione. Il valore predefinito è 7 giorni.
Per configurare l'opzione Ignora duplicati :
- Selezionare questa check box per tenere traccia dei file che sono già elaborati da una pianificazione di scansione. Questa opzione impedisce la seconda elaborazione di un file dei risultati della scansione.
- Deselezionare questa casella di spunta per importare i risultati della scansione di vulnerabilità ogni volta che viene avviata la pianificazione della scansione. Questa opzione può causare più vulnerabilità associate a un asset.
Se un file dei risultati non viene sottoposto a scansione entro 10 giorni, il file viene rimosso dall'elenco di traccia e viene elaborato al successivo avvio della pianificazione della scansione.
Per configurare un intervallo CIDR per lo scanner:
1. Immettere l'area CIDR per la scansione o fare clic su Sfoglia per selezionare un intervallo CIDR dall'elenco di reti.
2. Fare clic su Aggiungi.
Fare clic su Salva.
Nella scheda Amministrazione , fare clic su Distribuisci modifiche.

Operazioni da eseguire successivamente

Ora è possibile creare una pianificazione della scansione. Consultare Pianificazione di una scansione di vulnerabilità.