Tenable SecurityCenter スキャナーを追加して、 IBM
QRadar が Tenable API を介してホストおよび脆弱性情報を収集できるようにすることができます。
始める前に
ご使用の Tenable SecurityCenter の API の場所を確認してください。HTTPS 接続をサポートするためのサーバー証明書が必要になります。
QRadar では、ファイル拡張子が
.crt、
.cert、または
.der の証明書がサポートされます。 証明書を
/opt/qradar/conf/trusted_certificates ディレクトリーにコピーするには、以下のいずれかの方法でコピーします。
- SCP または SFTP を使用して、証明書を手動で /opt/qradar/conf/trusted_certificates ディレクトリーにコピーする。
- コンソールまたは管理対象ホストに SSH で接続し、コマンド /opt/qradar/bin/getcert.sh <IP or Hostname> <optional port - 443
default>を使用して証明書を取得します。 その後、指定されたホスト名または IP から証明書がダウンロードされ、適切な形式で /opt/qradar/conf/trusted_certificates ディレクトリーに配置されます。
手順
- 「管理」 タブをクリックします。
- 「VA スキャナー」 アイコンをクリックし、 「追加」をクリックします。
- 「スキャナー名」 フィールドに、スキャナーを識別する名前を入力します。
- 「管理対象ホスト」 リストから、以下のいずれかのプラットフォームに基づくオプションを選択します。
- QRadar
Consoleで、スキャナー・デバイスとの通信を担当する管理対象ホストを選択します。
- QRadar on Cloud では、スキャナーがクラウドでホストされている場合、QRadar®Consoleを管理ホストとして使用できます。 それ以外の場合は、スキャナー・デバイスとの通信を担当するデータ・ゲートウェイを選択します。
- 「タイプ」 リストから、 「Tenable」 SecurityCenterを選択します。
- 「サーバー・アドレス」 フィールドに、Tenable SecurityCenterの IP アドレスを入力します。
- 「API ロケーション」 フィールドに、Tenable SecurityCenter上の API へのパスを入力します。
SecurityCenter バージョン 4 の API ファイルへのデフォルト・パスは、sc4/request.php です。
SecurityCenter バージョン 5 の API ファイルへのデフォルト・パスは、rest です。
- 「API バージョン」 リストから、 SecurityCenterのバージョンを選択します。
ヒント: QRadar での Tenable SecurityCenter (Tenable.sc) のサポートは、Tenable でサポートされるバージョンに限定されます。 詳細については、
Tenable Software Release Lifecycle Matrixhttps://docs.tenable.com/security-center/best-practices/large-enterprise-deployment/Content/Lifecycle.htm) を参照してください。
- 「ユーザー名」 フィールドに、Tenable SecurityCenter API にアクセスするためのユーザー名を入力します。
- 「パスワード」 フィールドに、Tenable SecurityCenter API にアクセスするためのパスワードを入力します。
- 使用する証明書タイプに基づいて、 「信頼できない証明書を許可 (Allow Untrusted Certificates)」 パラメーターを有効または無効にします。
「信頼できない証明書を許可 (Allow Untrusted Certificates)」パラメーターを有効にすると、スキャナーは、
/opt/qradar/conf/trusted_certificates/ ディレクトリー内にある自己署名証明書およびその他の信頼できない証明書を受け入れることができます。 このパラメーターを無効にすると、スキャナーは、信頼できる署名者によって署名された証明書のみを信頼します。
ヒント: デフォルトでは、このパラメーターは既存のスキャナーに対しては有効になっており、新規スキャナーに対しては無効になっています。
- スキャナーに対し CIDR 範囲を構成するには、以下の手順を実行します。
- 「CIDR 範囲」フィールドにスキャンの CIDR 範囲を入力するか、 「参照」 をクリックしてネットワーク・リストから CIDR 範囲を選択します。
- 「追加」をクリックします。
- オプション: スキャナーのエラー・ログで「メモリー不足」エラーを受け取った場合は、 「脆弱性フラッシュしきい値」 パラメーターを構成して、メモリーに保管する脆弱性の最大数を設定します。 この値は、スキャナーに割り振られている使用可能メモリーに合わせて調整できます。 このパラメーターを見つけるには、スキャナーの構成ページの左上にある正符号 (+) をクリックします。
脆弱性の数が多く、スキャナー・メモリーがデフォルト値 500,000 を保管できない場合、値を 5000 から 25000 に減らすと、メモリー・ストレージの問題を解決できます。 最小値は 1,000 で、最大値は 500,000 です。
ヒント: 「脆弱性フラッシュのしきい値」 の値がデフォルトより小さい場合、スキャンの完了にかかる時間が長くなる可能性があります。
ヒント: 多数のイベントまたはホストを受信するには、 「経過時間」 フィールドを 60 より大きい値に設定します。 受信するイベントまたはホストの数を減らすには、 「経過時間」 フィールドを 10 より小さい値に設定します。
- 「保存」をクリックします。
- 「管理」 タブで、 「変更のデプロイ」をクリックします。
次に実行するタスク
これで、スキャン・スケジュールを作成する準備ができました。 脆弱性スキャンのスケジューリングを参照してください。