IBM QRadarHCL BigFix の間の対話

IBM® QRadar®HCL BigFixの間の統合を構成する前に、それらがどのように相互作用するかを理解することが重要です。

重要: IBM QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM QRadarでもサポートされなくなりました。 詳しくは、 QRadar Vulnerability Manager: End of service product notification (https://www.ibm.com/support/pages/node/6853425) を参照してください。 BigFix は、引き続き既存の QRadar Vulnerability Manager スキャナー・データを表示します。 QRadar 7.5.0 更新パッケージ 6 以降では、 QRadar Vulnerability Manager プラットフォームで引き続きサード・パーティー・スキャナーを使用できます。

以下の図は、アセットの初期スキャンから、スキャンされたアセットの脆弱性の修復までの、 QRadarBigFix の間のいくつかの対話の概要を示しています。

図1: QRadar Vulnerability ManagerBigFix の対話
QRadar Vulnerability Manager と BigFix が連携して動作する概要。
以下のリストでは、脆弱性の初期スキャンからそれらの脆弱性の修復までの QRadarBigFix の間の対話の概要を説明します。
  1. QRadar Vulnerability Manager スキャナーは、脆弱性を検出するためにアセットの認証スキャンを実行します。 フル・スキャン・ポリシー、パッチ・スキャン・ポリシー、または PCI スキャン・ポリシーを使用するスキャン・プロファイルで構成されたアセットの脆弱性のみが、 BigFixによる処理に適格です。
  2. BigFix エージェントがアセットにインストールされている場合 QRadar Vulnerability Manager は、アセットの脆弱性を検出すると、アセットから BES エージェント ID を取得します。 BES エージェント ID は、アセットを識別し、そのアセットの脆弱性を修復するために BigFix が使用する固有 ID です。 BigFix では、 QRadar 資産をコンピューターと呼びます。
  3. スキャン結果は QRadar アセット・モデルで更新されます。これには、 BigFix エージェントを持つすべてのアセットからの BES エージェント ID が含まれます。 スキャン・プロファイルのスキャン状況に progress=100%の状況が表示されると、アセット・モデルが更新され、脆弱性データがデフォルトで 15 分以内に BigFix に送信されます。
  4. アセット・モデルがスキャン・データで更新されると、 QRadar Console にインストールされている BigFix アダプターは、アセット・モデルから、リスク・スコアを含む更新された脆弱性データを受け取ります。 このデータには BES エージェント ID が含まれています。 BigFix アダプターは、 BES エージェント ID が含まれている場合にのみ、アセットからの脆弱性情報を処理します。
  5. BigFix に送信される脆弱性データは、 QRadar Console上のアダプター・プロパティー・ファイル (/opt/qvm/adaptor/config/adaptor.properties) で構成されているリスク・スコア・パラメーターでフィルタリングされます。 デフォルトのリスク・スコアは 0.0です。これは、すべての脆弱性が BigFixに送信されることを意味します。
  6. BigFix アダプターは、 BigFix REST API を使用して脆弱性情報を BigFix に送信し、脆弱性 CVE を Fixlet と相関させます。 デフォルトでは、データは 15 分間隔で BigFix に送信されます。
  7. REST API によって送信された脆弱性情報は、 BigFix 「脆弱性のあるコンピューターの管理」 ダッシュボードで表示できます。 BigFix 「脆弱性のあるコンピューターの管理」 ダッシュボードから、リスクの高い脆弱性があるアセットに Fixlet を適用できます。 BigFix は、Fixlet をアセットに直接適用するときに、アセットの固有の参照として BES エージェント ID を使用します。
  8. BigFix は、脆弱性のあるアセットに Fixlet を適用します。
  9. BigFixから脆弱性パッチ状況を取得するには、SOAP API (Web レポート) を使用します。 この更新された脆弱性情報を表示するには、「脆弱性」タブで保存済み検索やフィルターを使用します。

    アセットの変更された脆弱性状況を使用してアセット・モデルを更新するには、パッチ適用済みのアセットを再スキャンする必要があります。