IBM Guardium 脆弱性スキャナーの追加

スキャナーを追加すると、 QRadar が IBM InfoSphere Guardiumから SCAP 脆弱性ファイルを収集できるようになります。

このタスクについて

管理者は、それぞれ異なる構成を持つ複数の IBM Guardium ® スキャナーを IBM QRadarに追加できます。 複数の構成により、 QRadar は特定の結果の脆弱性データをインポートできます。 スキャン・スケジュールにより、IBM InfoSphere Guardium から SCAP スキャン結果がインポートされる頻度が決まります。

手順

  1. 「管理」 タブをクリックします。
  2. 「VA スキャナー」 アイコンをクリックします。
  3. 「追加」をクリックします。
  4. 「スキャナー名」 フィールドに、 IBM Guardium スキャナーを識別する名前を入力します。
  5. 「管理対象ホスト」 リストから、以下のいずれかのプラットフォームに基づくオプションを選択します。
    • QRadar Consoleで、スキャナー・デバイスとの通信を担当する管理対象ホストを選択します。
    • QRadar on Cloud では、スキャナーがクラウドでホストされている場合、QRadar®Consoleを管理ホストとして使用できます。 それ以外の場合は、スキャナー・デバイスとの通信を担当するデータ・ゲートウェイを選択します。
  6. 「タイプ」 リストから、 IBM Guardium SCAP スキャナー」を選択します。
  7. 以下の認証オプションのいずれかを選択します。
    オプション 説明
    ログイン・ユーザー名 (Login Username)
    ユーザー名およびパスワードを使用して認証するには、以下の手順を実行します。
    1. 「ログイン・ユーザー名 (Login Username)」フィールドに、リモート・ホストからスキャン結果を取得する権限を持つユーザー名を入力します。
    2. 「ログイン・パスワード (Login Password)」フィールドに、ユーザー名に関連付けられたパスワードを入力します。
    鍵許可の有効化 (Enable Key Authorization)
    鍵ベースの認証ファイルを使用して認証するには、以下の手順を実行します。
    1. 「鍵認証の有効化 (Enable Key Authentication)」チェック・ボックスを選択します。
    2. 「秘密鍵ファイル (Private Key File)」フィールドに、鍵ファイルへのディレクトリー・パスを入力します。
    鍵ファイルのデフォルト・ディレクトリーは /opt/qradar/conf/vis.ssh です。 鍵ファイルが存在しない場合、vis.ssh 鍵ファイルを作成する必要があります。
    重要: vis.ssh.key ファイルには vis qradar 所有権が必要です。 例:
    # ls -al /opt/qradar/conf/vis.ssh.key
    -rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key
  8. 「リモート・ディレクトリー」 フィールドに、スキャン結果ファイルのディレクトリーの場所を入力します。
  9. 「ファイル名パターン」 フィールドに、 「リモート・ディレクトリー」 フィールドに指定された SCAP 脆弱性ファイルのリストをフィルタリングするために必要な正規表現 (regex) を入力します。 一致するすべてのファイルは処理に組み込まれます。
    デフォルトでは、「レポート名パターン」フィールドには、正規表現パターンとして .*\.xml が含まれています。 .*\.xml パターンは、リモート・ディレクトリー内のすべての xml ファイルをインポートします。
  10. 「最大レポート存続期間 (日数)」 フィールドに、スキャン結果ファイルの最大ファイル存続期間を入力します。 スケジュール・スキャンが開始されると、指定の日数およびレポート・ファイルのタイム・スタンプよりも古いファイルは除外されます。 デフォルト値は 7 日です。
  11. 「重複を無視」 オプションを構成するには、以下のようにします。
    • スキャン・スケジュールで既に処理されたファイルを追跡するには、このチェック・ボックスを選択します。 このオプションにより、スキャン結果ファイルが 2 回目は処理されなくなります。
    • スキャン・スケジュールが開始されるたびに脆弱性スキャン結果をインポートするには、このチェック・ボックスをクリアします。 このようにすると、1 つのアセットに複数の脆弱性が関連付けられる可能性があります。
    結果ファイルが10日以内にスキャンされなかった場合、そのファイルは追跡リストから削除され、次回のスキャンスケジュール開始時に処理される。
  12. Enable Strict HostKey Checking オプションは、ターゲット・ホストの公開鍵がHost Key listパラメータのエントリと一致することを有効にする。
    1. 分野 HostKey 現場でBase64ターゲット・ホストに接続する際に受け入れる、エンコードされたホスト・キー。 サポートされているホスト・キー・タイプはssh-rsa.この鍵は、Windowsの Linux または ssh-keyscan.exe で OpenSSH ssh-keyscan コマンドを実行するか、 /root/.ssh/known_hosts または /etc/ssh/ssh_host_rsa_key.pub のファイル・パスのような場所から、ターゲット・システムから公開鍵を直接取得することで取得できる。 を使用する必要がありますBase64ハッシュのみで、ホスト名やアルゴリズムは含まない。 例:
      AAAAB3NzaC1yc2EAAAADAQABAAABAQCkT8TfV0oPWOVihTKKtORG2DQVbbFocUvGct9lN4auSIADp4Ubi\nOzm44k0mIZtMOGfYBTHVzyI6A9nCROLiMrJ00QzwG1IihYwaTqlYbZJ3FSiSY2tz1G2C51SG9OeziDMxcnEY2cHkwGSrGowydz20KPbgzTedOQCp41PafmMlb7TMmJtjU23cfCmPAQQHWIFOLWe1hg3RMtWfj1sE+Fe7Tu+/XZvT4GPSM5YQECXIzXmrhENWo+tIlnCGq01sLNPQ2Fo8qI97uAOm0kx/wkWfJLEj9dsHl7kO6D1x3YESVrr+e\nOc2xDvAStJIb4qCks2CGZDI1I2pivoqjX+JTRL
  13. スキャナーの CIDR 範囲を構成するには、以下のようにします。
    1. テキスト・フィールドに、このスキャナーで使用する CIDR 範囲を入力するか、 「参照」 をクリックして、ネットワーク・リストから CIDR 範囲を選択します。
    2. 「追加」をクリックします。
  14. 「保存」をクリックします。
  15. 「管理」 タブで、 「変更のデプロイ」をクリックします。

次に実行するタスク

これで、IBM InfoSphere Guardium のスキャン・スケジュールを作成する準備ができました。 脆弱性スキャンのスケジューリングを参照