Aggiunta di una scansione live remota Nmap

QRadar controlla lo stato della scansione in corso e attende che il server Nmap completi la scansione. Una volta completata la scansione, i risultati della vulnerabilità vengono scaricato su SSH.

Informazioni su questa attività

Diversi tipi di scansioni di porta Nmap richiedono l'esecuzione di Nmap come utente root. Pertanto, QRadar deve disporre dell'accesso come root oppure è necessario deselezionare la casella di spunta Rilevamento sistema operativo . Per eseguire le scansioni Nmap con il rilevamento del sistema operativo abilitato, è necessario fornire le credenziali di accesso root a QRadar quando si aggiunge lo scanner. In alternativa, è possibile fare in modo che l'amministratore configuri il binario Nmap con root setuid. Per ulteriori informazioni, rivolgersi all'amministratore di Nmap .

Limitazione: sebbene sia presente un binario NMap su ogni host QRadar , è riservato solo all'utilizzo interno di QRadar . La configurazione di uno scanner di vulnerabilità NMap per utilizzare un host gestito da QRadar Console o QRadar come scanner NMap remoto non è supportata e può causare delle instabilità.

Procedura

Fare clic sulla scheda Amministrazione .
Fare clic sull'icona Scanner VA .
Fare clic su Aggiungi.
Nel campo Nome scanner , immettere un nome per identificare lo scanner Nmap .
Dall'elenco Host gestiti , selezionare l'host gestito dalla distribuzione QRadar che gestisce l'importazione dello scanner.
Dall'elenco Tipo , selezionare Nmap Scanner.
Dall'elenco Tipo di analisi , selezionare Scansione attiva remota.
Nel campo Nome host server , immettere l'indirizzo IP o il nome host del server Nmap .

Scegliere una delle seguenti opzioni di autenticazione:

Opzione Descrizione

Nome utente server

Opzione	Descrizione
Nome utente server	Per autenticarsi con un nome utente e una password: Nel campo Nome utente server , immettere il nome utente richiesto per accedere al sistema remoto che ospita il client Nmap utilizzando SSH. Nel campo Password di login , immettere la password associata al nome utente. Se la casella di controllo Rilevamento SO è selezionata, il nome utente deve disporre dei privilegi root.
Abilita autorizzazione chiave	Per eseguire l'autenticazione con un file di autenticazione basato su chiavi: Selezionare la casella di spunta Abilita autenticazione chiave . Nel campo File chiave privata , immettere il percorso della directory del file chiave. Il valore predefinito è la directory per il file di chiavi/opt/qradar/conf/vis.ssh.key. Se un file di chiavi non esiste, è necessario creare il file vis.ssh.key . Importante Il file vis.ssh.key deve avere la proprietà `vis qradar` . Ad esempio: # ls -al /opt/qradar/conf/vis.ssh.key -rw ------- 1 vis qradar 1679 ago 7 06:24 /opt/qradar/conf/vis.ssh.key Se lo scanner è configurato per utilizzare una password, il server dello scanner SSH a cui si connette QRadar deve supportare l'autenticazione della password. In caso contrario, l'autenticazione SSH per lo scanner non riesce. Assicurarsi che la riga seguente sia visualizzata nel file /etc/ssh/sshd_config : `PasswordAuthentication yes`. Se il server dello scanner non utilizza OpenSSH, consultare la documentazione del fornitore per le informazioni sulla configurazione dello scanner.

Per autenticarsi con un nome utente e una password:

Nel campo Nome utente server , immettere il nome utente richiesto per accedere al sistema remoto che ospita il client Nmap utilizzando SSH.
Nel campo Password di login , immettere la password associata al nome utente.

Se la casella di controllo Rilevamento SO è selezionata, il nome utente deve disporre dei privilegi root.

Abilita autorizzazione chiave

Per eseguire l'autenticazione con un file di autenticazione basato su chiavi:

Selezionare la casella di spunta Abilita autenticazione chiave .
Nel campo File chiave privata , immettere il percorso della directory del file chiave.

Il valore predefinito è la directory per il file di chiavi/opt/qradar/conf/vis.ssh.key. Se un file di chiavi non esiste, è necessario creare il file vis.ssh.key .

Importante Il file vis.ssh.key deve avere la proprietà vis qradar . Ad esempio:

# ls -al /opt/qradar/conf/vis.ssh.key
-rw ------- 1 vis qradar 1679 ago 7 06:24 /opt/qradar/conf/vis.ssh.key

Se lo scanner è configurato per utilizzare una password, il server dello scanner SSH a cui si connette QRadar deve supportare l'autenticazione della password.

In caso contrario, l'autenticazione SSH per lo scanner non riesce. Assicurarsi che la riga seguente sia visualizzata nel file /etc/ssh/sshd_config : PasswordAuthentication yes.

Se il server dello scanner non utilizza OpenSSH, consultare la documentazione del fornitore per le informazioni sulla configurazione dello scanner.

Nel campo Nmap Eseguibile , immettere il percorso completo della directory e il nome file del file binario Nmap .
Il percorso di directory predefinito del file binario è /usr/bin/Nmap.
Selezionare un'opzione per la check box Disabilita ping .
In alcune reti, il protocollo ICMP è parzialmente o completamente disabilitato. Nelle situazioni in cui ICMP non è abilitato, è possibile selezionare questa casella di spunta per disabilitare i ping ICMP per migliorare la precisione della scansione. Per impostazione predefinita, la casella di spunta è deselezionata.
Selezionare un'opzione per la casella di controllo Rilevamento SO :
- Selezionare questa casella di spunta per abilitare il rilevamento del sistema operativo in Nmap. È necessario fornire allo scanner i privilegi root per utilizzare questa opzione.
- Deselezionare questa casella di controllo per ricevere i risultati di Nmap senza rilevare il sistema operativo.
Dall'elenco Timeout RTT massimo , selezionare un valore di timeout.
Il valore di timeout determina se una scansione deve essere arrestata o reimmessa a causa della latenza tra lo scanner e la destinazione della scansione. Il valore predefinito è 300 millisecondi (ms). Se si specifica un periodo di timeout di 50 millisecondi, si consiglia che le periferiche sottoposte a scansione si trovino nella rete locale. Le periferiche nelle reti remote possono utilizzare un valore di supero tempo di 1 secondo.
Selezionare una opzione dall'elenco Modello di tempificazione . Le opzioni comprendono:
- Paranoico - Questa opzione produce una valutazione lenta e non invadente.
- Sneaky - Questa opzione produce una valutazione lenta e non intrusiva, ma attende 15 secondi tra le scansioni.
- Polite - Questa opzione è più lenta del normale e ha lo scopo di facilitare il carico sulla rete.
- Normale - Questa opzione è il comportamento di scansione standard.
- Aggressivo - Questa opzione è più veloce di una scansione normale e più dispendioso in termini di risorse.
- Folle - Questa opzione non è accurata come scansioni più lente e adatta solo per reti molto veloci.
Nel campo Maschera CIDR , immettere la dimensione della sottorete sottoposta a scansione.
Il valore specificato per la maschera rappresenta la parte più grande della sottorete che lo scanner può scansionare contemporaneamente. La maschera segmenta la scansione per ottimizzare le prestazioni della scansione.
Per configurare un intervallo CIDR per lo scanner:
1. Nel campo di testo, immettere l'intervallo CIDR che si desidera venga considerato da questo scanner oppure fare clic su Sfoglia per selezionare un intervallo CIDR dall'elenco di reti.
2. Fare clic su Aggiungi.
Fare clic su Salva.
Nella scheda Amministrazione , fare clic su Distribuisci modifiche.

Operazioni da eseguire successivamente

Ora è possibile creare una pianificazione della scansione. Consultare Pianificazione di una scansione delle vulnerabilità