Aggiunta di una scansione di vulnerabilità AXIS

Aggiungere una configurazione dello scanner AXIS per raccogliere report specifici o avviare scansioni sullo scanner remoto.

Informazioni su questa attività

La seguente tabella descrive i parametri dello scanner AXIS quando si seleziona SFTP come metodo di importazione:
Tabella 1. Scanner AXIS - proprietà SFTP
Parametro Descrizione
Nome host remoto L'indirizzo IP o il nome host del server che contiene i file dei risultati della scansione.
Nome utente di login Il nome utente che QRadar utilizza per accedere al server.
Abilita autenticazione chiave Specifica che QRadar esegue l'autenticazione con un file di autenticazione basato su chiavi.
Password di login La password utilizzata da QRadar per accedere al server SFTP.
File chiave privata Il percorso completo del file che contiene la chiave privata. Se un file di chiavi non esiste, è necessario creare il file vis.ssh.key .
Importante Il file vis.ssh.key deve avere la proprietà vis qradar . Ad esempio:
# ls -al /opt/qradar/conf/vis.ssh.key
-rw ------- 1 vis qradar 1679 ago 7 06:24 /opt/qradar/conf/vis.ssh.key
Directory remota L'ubicazione dei file dei risultati di scansione.
Modello nome file L'espressione regolare (regex) richiesta per filtrare l'elenco di file presenti nella Directory remota. Il modello .*\.xml importa tutti i file XML dalla directory remota.
Durata massima report (giorni) L'età massima di un report da recuperare durante le importazioni di dati in massa tramite file.
Ignora duplicati Specificare se ignorare o meno le vulnerabilità duplicate.
Abilita controllo HostKey limitato Richiedere che la chiave pubblica dell'host di destinazione corrisponda a una voce nel parametro di elenco Chiave host.
HostKey Fornire chiavi host codificate Base64 da accettare durante la connessione all'host di destinazione. Il tipo di chiave host supportato è:
ssh - rsa

Questa chiave può essere ottenuta eseguendo il comando OpenSSH ssh-keyscan in Linux o ssh-keyscan.exe in Windows. La chiave può anche essere ottenuta ottenendo la chiave pubblica dal sistema di destinazione direttamente dalla posizione. Ad esempio, /root/.ssh/known_hosts or /etc/ssh/ssh_host_rsa_key.pub

Importante: devi utilizzare solo l'hash Base64 e non il nome host o l'algoritmo. Ad esempio:
AAAAB3NzaC1yc2EAAAADAQABAAABAQCkT8TfV0oPWOVihTKKtORG2DQVbbFocUvGct9lN4auSIADp4Ubi\nOzm44k0mIZtMOGfYBTHVzyI6A9nCROLiMrJ00QzwG1IihYwaTqlYbZJ3FSiSY2tz1G2C51SG9OeziDMxcnEY2cHkwGSrGowydz20KPbgzTedOQCp41PafmMlb7TMmJtjU23cfCmPAQQHWIFOLWe1hg3RMtWfj1sE+Fe7Tu+/XZvT4GPSM5YQECXIzXmrhENWo+tIlnCGq01sLNPQ2Fo8qI97uAOm0kx/wkWfJLEj9dsHl7kO6D1x3YESVrr+e\nOc2xDvAStJIb4qCks2CGZDI1I2pivoqjX+JTRL
La seguente tabella descrive i parametri dello scanner AXIS quando si seleziona SMB Share come metodo di importazione:
Tabella 2. Scanner AXIS - Proprietà condivisione SMB
Parametro Descrizione
Nome host L'indirizzo IP o il nome host della condivisione SMB.
Nome utente di login Il nome utente che QRadar utilizza per accedere alla condivisione SMB.
Dominio Il dominio utilizzato per connettersi alla condivisione SMB.
Percorso cartella SMB Il percorso completo della condivisione dalla root dell'host SMB. Utilizzare le barre, ad esempio /share/logs/.
Modello nome file L'espressione regolare (regex) richiesta per filtrare l'elenco di file nella directory remota. Il pattern .*\.xml importa tutti i file xml nella directory remota.

Procedura

  1. Fare clic sulla scheda Amministrazione .
  2. Fare clic sull'icona Scanner VA .
  3. Fare clic su Aggiungi.
  4. Nel campo Nome scanner , immettere un nome per identificare lo scanner AXIS.
  5. Dall'elenco Host gestito , selezionare un'opzione basata su una delle seguenti piattaforme:
    • Su QRadar Console, selezionare l'host gestito responsabile della comunicazione con il dispositivo scanner.
    • Su 'QRadar on Cloud, se lo scanner è ospitato nel cloud, la ConsoleQRadar® può essere utilizzata come host gestito. Altrimenti, selezionare il gateway di dati responsabile della comunicazione con il dispositivo scanner.
  6. Dall'elenco Tipo , selezionare Scanner assi.
  7. Dall'elenco Metodo di importazione , selezionare SFTP o SMB Share.
  8. Configurare i parametri.
  9. Configurare un intervallo CIDR per lo scanner.
  10. Fare clic su Salva.
  11. Nella scheda Amministrazione , fare clic su Distribuisci modifiche.

Operazioni da eseguire successivamente

Per ulteriori informazioni su come creare una pianificazione della scansione, vedi Pianificazione di una scansione di vulnerabilità.