nCircle IP360 スキャナーの追加

QRadar は、セキュア・シェル (SSH) を使用してリモート・サーバー (SSH エクスポート・サーバー) にアクセスし、 nCircle IP360 アプライアンスからスキャン・データを取得して解釈します。 QRadar VnEManagerバージョンIP360-6.5.2~6.8.2.8をサポートする。

始める前に

この構成を行うためには、リモート・サーバーへの XML2 スキャン・データのエクスポート時にメモをしたターゲット設定が必要です。

このタスクについて

パスワードを使用するようにスキャナーを構成している場合、QRadar の接続先である SSH スキャナー・サーバーが、パスワード認証をサポートしている必要があります。 サポートしていない場合、スキャナーの SSH 認証は失敗します。 sshd_config ファイルに次の行が表示されていることを確認します。このファイルは通常、SSH サーバー上の /etc/ssh directory にあります: PasswordAuthentication yes。 ご使用のスキャナー・サーバーで OpenSSH を使用していない場合、これとは異なる構成になります。 詳しくは、ご使用のスキャナーのベンダー資料を参照してください。

手順

  1. 「管理」 タブをクリックします。
  2. 「VA スキャナー」 アイコンをクリックします。
  3. 「追加」をクリックします。
  4. 以下の nCircle IP360 のパラメーターを構成します。
    パラメーター 説明
    スキャナー名 nCircle IP360 インスタンスを識別するための名前。
    管理対象ホスト
    「管理対象ホスト」リストから、次のプラットフォームのいずれかに基づくオプションを選択します。
    • QRadar Consoleで、スキャナー・デバイスとの通信を担当する管理対象ホストを選択します。
    • QRadar on Cloud では、スキャナーがクラウドでホストされている場合、QRadar®Consoleを管理ホストとして使用できます。 それ以外の場合は、スキャナー・デバイスとの通信を担当するデータ・ゲートウェイを選択します。
    タイプ nCircle IP360
    SSH サーバー・ホスト名 スキャン結果ファイルをホストするリモート・サーバーの IP アドレスまたはホスト名。
    SSH ユーザー名 リモートSSHサーバーへのログインに使用するユーザー名。
    SSH パスワード リモートSSHサーバーへのログインに使用するパスワード。 SSHキーを使用する場合は必要ありません。
    SSH ポート リモート・サーバーに接続する際のポート番号。
    リモート・ディレクトリー スキャン結果ファイルの場所。
    ファイルの最大年齢(日) ファイルによるデータの一括インポート時に取得されるレポートの最大年齢。
    ファイル・パターン 「リモート・ディレクトリー (Remote Directory)」フィールドに指定されているファイルのリストをフィルター処理するための正規表現 (regex)。 XML で終わるすべての XML2 フォーマット・ファイルをリストするには、 XML2.*\.xml というエントリーを使用します。
    鍵認証の有効化 (Enable Key Authentication) QRadar が鍵ベースの認証ファイルで認証することを指定する。
    秘密鍵パス
    秘密鍵が含まれているファイルの絶対パス。 鍵ファイルが存在しない場合、vis.ssh.key ファイルを作成する必要があります。
    重要: vis.ssh.key ファイルは、 vis qradar 所有権を持っている必要があります。 例:
    # ls -al /opt/qradar/conf/vis.ssh.key
    
    
    -rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key
    厳密なホスト鍵チェックを有効にする ターゲット・ホストの公開鍵が、Host Key listパラメータのエントリと一致するようにする。
    ホスト・キー 提供Base64ターゲット・ホストに接続するときに受け入れるホスト・キーをエンコードする。 サポートされているホスト・キー・タイプはssh-rsa.この鍵は、 Linux® または ssh-keyscan.exe で OpenSSH ssh-keyscan コマンドを実行するか、 /root/.ssh/known_hosts または /etc/ssh/ssh_host_rsa_key.pub ファイル・パスなどの場所からターゲット・システムから公開鍵を直接取得することで入手できる。 を使用する必要がありますBase64ハッシュのみで、ホスト名やアルゴリズムは含まない。
  5. 残りのパラメーターを構成します。
  6. スキャナーの CIDR 範囲を構成するには、以下のようにします。
    1. このスキャナーで使用する CIDR 範囲を入力するか、 「参照」 をクリックしてネットワーク・リストから CIDR 範囲を選択します。
    2. 「追加」をクリックします。
  7. 「保存」をクリックします。
  8. 「管理」 タブで、 「変更のデプロイ」をクリックします。