QRadar は、 JDBCを使用して、脆弱性データについて IBM® InfoSphere® SiteProtector アプライアンスをポーリングできます。
このタスクについて
管理者は、それぞれ異なる構成を持つ複数の IBM SiteProtector スキャナーを IBM
QRadarに追加できます。 複数の構成により、 QRadar は SiteProtector を照会し、特定の CIDR 範囲からの結果のみをインポートすることができます。 スキャン・スケジュールにより、脆弱性データのために SiteProtector スキャナーのデータベースを照会する頻度が決まります。
手順
- 「管理」 タブをクリックします。
- 「VA スキャナー」 アイコンをクリックします。
- 「追加」をクリックします。
- 「スキャナー名」 フィールドに、 IBM SiteProtector スキャナーを識別する名前を入力します。
- 「管理対象ホスト」 リストから、以下のいずれかのプラットフォームに基づくオプションを選択します。
- QRadar
Consoleで、スキャナー・デバイスとの通信を担当する管理対象ホストを選択します。
- QRadar on Cloud では、スキャナーがクラウドでホストされている場合、QRadar®Consoleを管理ホストとして使用できます。 それ以外の場合は、スキャナー・デバイスとの通信を担当するデータ・ゲートウェイを選択します。
- 「タイプ」 リストから、 IBM SiteProtector Scanner」を選択します。
- 「ホスト名」 フィールドに、インポートする脆弱性が含まれている IBM SiteProtector の IP アドレスまたはホスト名を入力します。
- 「ポート」 フィールドに、 IBM SiteProtector データベースのポートとして 1433 と入力します。
- 「ユーザー名」 フィールドに、 IBM SiteProtector データベースを照会するために必要なユーザー名を入力します。
- 「パスワード」 フィールドに、 IBM SiteProtector データベースを照会するために必要なパスワードを入力します。
- 「ドメイン」 フィールドに、 IBM SiteProtector データベースに接続するために必要なドメインを入力します (必要な場合)。
データベースが Windows 用にドメイン内で構成されている場合、ドメイン名を指定する必要があります。
- 「データベース名」 フィールドに、データベース名として RealSecureDB と入力します。
- 「データベース・インスタンス」 フィールドに、 IBM SiteProtector データベースのデータベース・インスタンスを入力します。 データベース・インスタンスを使用しない場合は、このフィールドをブランクにすることができます。
- IBM SiteProtector データベースとの通信に名前付きパイプが必要な場合は、 「名前付きパイプ通信の使用」 を選択します。 SQL 認証を使用している場合は、「名前付きパイプ通信の使用 (Use Named Pipe Communication)」を無効にします。 デフォルトでは、このチェック・ボックスはクリアされています。
- IBM SiteProtector が認証プロトコルとして NTLMv2 を使用する場合は、 「 NTLMv2 チェック・ボックスを選択します。 デフォルトでは、このチェック・ボックスはクリアされています。
NTLMv2 認証を必要とする SQL サーバーと通信する場合、「NTLMv2 の使用 (Use NTLMv2)」チェック・ボックスにより、MSDE 接続で NTLMv2 プロトコルが使用されます。 「NTLMv2 の使用 (Use NTLMv2)」チェック・ボックスが選択されていても、NTLMv2 認証を必要としない SQL サーバーへの MSDE 接続には影響しません。
- スキャナーに対し CIDR 範囲を構成するには、以下の手順を実行します。
- テキスト・フィールドにスキャンの CIDR 範囲を入力するか、 「参照」 をクリックしてネットワーク・リストから CIDR 範囲を選択します。
- 「追加」をクリックします。
- 「保存」をクリックします。
- 「管理」 タブで、 「変更のデプロイ」をクリックします。
次に実行するタスク
これで、スキャン・スケジュールを作成する準備ができました。 脆弱性スキャンのスケジューリング を参照してください。