QRadar は、セキュア・シェル (SSH) を使用してリモート・サーバー (SSH エクスポート・サーバー) にアクセスし、 nCircle IP360 アプライアンスからスキャン・データを取得して解釈します。 QRadar VnEManagerバージョンIP360-6.5.2~6.8.2.8をサポートする。
始める前に
この構成を行うためには、リモート・サーバーへの XML2 スキャン・データのエクスポート時にメモをしたターゲット設定が必要です。
このタスクについて
パスワードを使用するようにスキャナーを構成している場合、QRadar の接続先である SSH スキャナー・サーバーが、パスワード認証をサポートしている必要があります。 サポートしていない場合、スキャナーの SSH 認証は失敗します。 sshd_config ファイルに次の行が表示されていることを確認します。このファイルは通常、SSH サーバー上の /etc/ssh directory にあります: PasswordAuthentication yes。 ご使用のスキャナー・サーバーで OpenSSH を使用していない場合、これとは異なる構成になります。 詳しくは、ご使用のスキャナーのベンダー資料を参照してください。
手順
- 「管理」 タブをクリックします。
- 「VA スキャナー」 アイコンをクリックします。
- 「追加」をクリックします。
- 以下の nCircle IP360 のパラメーターを構成します。
| パラメーター |
説明 |
| スキャナー名 |
nCircle IP360 インスタンスを識別するための名前。 |
| 管理対象ホスト |
「管理対象ホスト」リストから、次のプラットフォームのいずれかに基づくオプションを選択します。
- QRadar
Consoleで、スキャナー・デバイスとの通信を担当する管理対象ホストを選択します。
- QRadar on Cloud では、スキャナーがクラウドでホストされている場合、QRadar®Consoleを管理ホストとして使用できます。 それ以外の場合は、スキャナー・デバイスとの通信を担当するデータ・ゲートウェイを選択します。
|
| タイプ |
nCircle IP360 |
| SSH サーバー・ホスト名 |
スキャン結果ファイルをホストするリモート・サーバーの IP アドレスまたはホスト名。 |
| SSH ユーザー名 |
リモートSSHサーバーへのログインに使用するユーザー名。 |
| SSH パスワード |
リモートSSHサーバーへのログインに使用するパスワード。 SSHキーを使用する場合は必要ありません。 |
| SSH ポート |
リモート・サーバーに接続する際のポート番号。 |
| リモート・ディレクトリー |
スキャン結果ファイルの場所。 |
| ファイルの最大年齢(日) |
ファイルによるデータの一括インポート時に取得されるレポートの最大年齢。 |
| ファイル・パターン |
「リモート・ディレクトリー (Remote Directory)」フィールドに指定されているファイルのリストをフィルター処理するための正規表現 (regex)。 XML で終わるすべての XML2 フォーマット・ファイルをリストするには、 XML2.*\.xml というエントリーを使用します。 |
| 鍵認証の有効化 (Enable Key Authentication) |
QRadar が鍵ベースの認証ファイルで認証することを指定する。 |
| 秘密鍵パス |
秘密鍵が含まれているファイルの絶対パス。 鍵ファイルが存在しない場合、 vis.ssh.key ファイルを作成する必要があります。 重要: vis.ssh.key ファイルは、 vis qradar 所有権を持っている必要があります。 例: # ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key
|
| 厳密なホスト鍵チェックを有効にする |
ターゲット・ホストの公開鍵が、Host Key listパラメータのエントリと一致するようにする。 |
| ホスト・キー |
提供Base64ターゲット・ホストに接続するときに受け入れるホスト・キーをエンコードする。 サポートされているホスト・キー・タイプはssh-rsa.この鍵は、 Linux® または ssh-keyscan.exe で OpenSSH ssh-keyscan コマンドを実行するか、
/root/.ssh/known_hosts または /etc/ssh/ssh_host_rsa_key.pub ファイル・パスなどの場所からターゲット・システムから公開鍵を直接取得することで入手できる。 を使用する必要がありますBase64ハッシュのみで、ホスト名やアルゴリズムは含まない。 |
- 残りのパラメーターを構成します。
- スキャナーの CIDR 範囲を構成するには、以下のようにします。
- このスキャナーで使用する CIDR 範囲を入力するか、 「参照」 をクリックしてネットワーク・リストから CIDR 範囲を選択します。
- 「追加」をクリックします。
- 「保存」をクリックします。
- 「管理」 タブで、 「変更のデプロイ」をクリックします。