IBM QRadar と HCL BigFix の間の対話
IBM® QRadar® と HCL BigFixの間の統合を構成する前に、それらがどのように相互作用するかを理解することが重要です。
重要: IBM
QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM
QRadarでもサポートされなくなりました。 詳しくは、 QRadar Vulnerability Manager: End of service product notification (https://www.ibm.com/support/pages/node/6853425) を参照してください。 BigFix は、引き続き既存の QRadar Vulnerability Manager スキャナー・データを表示します。 QRadar 7.5.0 更新パッケージ 6 以降では、 QRadar Vulnerability Manager プラットフォームで引き続きサード・パーティー・スキャナーを使用できます。
以下の図は、アセットの初期スキャンから、スキャンされたアセットの脆弱性の修復までの、 QRadar と BigFix の間のいくつかの対話の概要を示しています。
以下のリストでは、脆弱性の初期スキャンからそれらの脆弱性の修復までの QRadar と BigFix の間の対話の概要を説明します。
- QRadar Vulnerability Manager スキャナーは、脆弱性を検出するためにアセットの認証スキャンを実行します。 フル・スキャン・ポリシー、パッチ・スキャン・ポリシー、または PCI スキャン・ポリシーを使用するスキャン・プロファイルで構成されたアセットの脆弱性のみが、 BigFixによる処理に適格です。
- BigFix エージェントがアセットにインストールされている場合 QRadar Vulnerability Manager は、アセットの脆弱性を検出すると、アセットから BES エージェント ID を取得します。 BES エージェント ID は、アセットを識別し、そのアセットの脆弱性を修復するために BigFix が使用する固有 ID です。 BigFix では、 QRadar 資産をコンピューターと呼びます。
- スキャン結果は QRadar アセット・モデルで更新されます。これには、 BigFix エージェントを持つすべてのアセットからの BES エージェント ID が含まれます。 スキャン・プロファイルのスキャン状況に progress=100%の状況が表示されると、アセット・モデルが更新され、脆弱性データがデフォルトで 15 分以内に BigFix に送信されます。
- アセット・モデルがスキャン・データで更新されると、 QRadar Console にインストールされている BigFix アダプターは、アセット・モデルから、リスク・スコアを含む更新された脆弱性データを受け取ります。 このデータには BES エージェント ID が含まれています。 BigFix アダプターは、 BES エージェント ID が含まれている場合にのみ、アセットからの脆弱性情報を処理します。
- BigFix に送信される脆弱性データは、 QRadar Console上のアダプター・プロパティー・ファイル (/opt/qvm/adaptor/config/adaptor.properties) で構成されているリスク・スコア・パラメーターでフィルタリングされます。 デフォルトのリスク・スコアは 0.0です。これは、すべての脆弱性が BigFixに送信されることを意味します。
- BigFix アダプターは、 BigFix REST API を使用して脆弱性情報を BigFix に送信し、脆弱性 CVE を Fixlet と相関させます。 デフォルトでは、データは 15 分間隔で BigFix に送信されます。
- REST API によって送信された脆弱性情報は、 BigFix 「脆弱性のあるコンピューターの管理」 ダッシュボードで表示できます。 BigFix 「脆弱性のあるコンピューターの管理」 ダッシュボードから、リスクの高い脆弱性があるアセットに Fixlet を適用できます。 BigFix は、Fixlet をアセットに直接適用するときに、アセットの固有の参照として BES エージェント ID を使用します。
- BigFix は、脆弱性のあるアセットに Fixlet を適用します。
- BigFixから脆弱性パッチ状況を取得するには、SOAP API (Web レポート) を使用します。 この更新された脆弱性情報を表示するには、「脆弱性」タブで保存済み検索やフィルターを使用します。
アセットの変更された脆弱性状況を使用してアセット・モデルを更新するには、パッチ適用済みのアセットを再スキャンする必要があります。