Aggiunta di una scansione SNMP REM eEye

È possibile aggiungere uno scanner per raccogliere i dati di vulnerabilità su SNMP dagli scanner REM o CS Retina eEye .

Prima di iniziare

Per utilizzare identificativi e descrizioni CVE, è necessario copiare il file audits.xml dallo scanner REM eEye all'host gestito responsabile dell'ascolto dei dati SNMP. Se l'host gestito si trova in una distribuzione distribuita, è necessario copiare prima il file audits.xml nella console e poi SSH il file in /opt/qradar/conf/audits.xml sull'host gestito. L'ubicazione predefinita di audits.xml sullo scanner eEye è %ProgramFiles(x86)%\eEye Digital Security\Retina CS\Applications\RetinaManager\Database\audits.xml.

Per ricevere le informazioni CVE più aggiornate, aggiornare periodicamente QRadar con il file audits.xml più recente.

Procedura

  1. Fare clic sulla scheda Amministrazione .
  2. Fare clic sull'icona Scanner VA .
  3. Fare clic su Aggiungi.
  4. Nel campo Nome scanner , immettere un nome per identificare il server SecureScout .
  5. Dall'elenco Host gestito , selezionare un'opzione basata su una delle seguenti piattaforme:
    • Su QRadar Console, selezionare l'host gestito responsabile della comunicazione con il dispositivo scanner.
    • Su 'QRadar on Cloud, se lo scanner è ospitato nel cloud, la ConsoleQRadar® può essere utilizzata come host gestito. Altrimenti, selezionare il gateway di dati responsabile della comunicazione con il dispositivo scanner.
  6. Dall'elenco Tipo , selezionare eEye REM Scanner.
  7. Dall'elenco Tipo di importazione , selezionare SNMP.
  8. Nel campo Directory di base , immettere un'ubicazione per memorizzare i file temporanei che contengono i dati di scansione REM eEye .
    La directory predefinita è /store/tmp/vis/eEye/.
  9. Nel campo Dimensione cache , immettere il numero di transazioni che si desidera memorizzare nella cache prima che i dati SNMP vengano scritti nel file temporaneo. Il valore predefinito è 40.
    Il valore predefinito è 40 transazioni.
  10. Nel campo Periodo di conservazione , immettere il periodo di tempo, in giorni, in cui il sistema memorizza le informazioni di scansione.
    Se una pianificazione di scansione non ha importato i dati prima della scadenza del periodo di conservazione, le informazioni di scansione dalla cache vengono eliminate.
  11. Selezionare la casella di spunta Utilizza dati vulnerabilità per correlare le vulnerabilità eEye agli identificativi CVE (Common Vulnerabilities and Esposizioni) e alle informazioni di descrizione.
    .
  12. Nel campo File di dati di vulnerabilità , immettere il percorso di directory del file eEye audits.xml .
  13. Nel campo Porta di ascolto , digitare il numero di porta utilizzato per monitorare le informazioni sulla vulnerabilità SNMP in ingresso dallo scanner REM eEye .
    La porta predefinita è 1162.
  14. Nel campo Host di origine , immettere l'indirizzo IP dello scanner eEye .
  15. Dall'elenco Versione SNMP , selezionare la versione del protocollo SNMP.
    Il protocollo predefinito è SNMPv2.
  16. Nel campo Stringa comunità , immettere la stringa della comunità SNMP per il protocollo SNMPv2 , ad esempio Public.
  17. Dall'elenco Protocollo di autenticazione , selezionare l'algoritmo per autenticare i trap SNMPv3 .
  18. Nel campo Password autenticazione , immettere la password che si desidera utilizzare per autenticare la comunicazione SNMPv3 .
    La password deve contenere almeno 8 caratteri.
  19. Dall'elenco Protocollo di crittografia , selezionare l'algoritmo di decrittografia SNMPv3 .
  20. Nel campo Password di codifica , immettere la password per decodificare i trap SNMPv3 .
  21. Per configurare un intervallo CIDR per lo scanner:
    1. Immettere l'area CIDR per la scansione o fare clic su Sfoglia per selezionare un intervallo CIDR dall'elenco di reti.
    2. Fare clic su Aggiungi.
  22. Fare clic su Salva.
  23. Nella scheda Amministrazione , fare clic su Distribuisci modifiche.

Operazioni da eseguire successivamente

Selezionare una delle seguenti opzioni: