脆弱性データを BigFix に送信するための QRadar Vulnerability Manager の構成

BigFix アダプターを QRadar® Console にインストールして構成し、 IBM® QRadar Vulnerability Manager がリスク・スコア付きの脆弱性データを HCL BigFixに送信できるようにします。

手順

  1. root ユーザーとして QRadar Console にログインします。
  2. BigFix アダプターのセットアップを構成します。
    1. /opt/qvm/adaptor/config ディレクトリーに移動し、セットアップ・スクリプトを実行します。 ./setup-adaptor.sh
    2. BigFix サーバー証明書を保管するトラストストアを作成するための新規パスワードを入力します。

      トラストストアが /opt/qvm/adaptor/truststore.jks に作成された

      /opt/qvm/adaptor/config ディレクトリーには、以下のプロパティー・ファイルが作成されます。
      • adaptor.properties
      • adaptor-bigfix.properties
      • plugin-bigfix.properties
    3. ファイル plugin-bigfix.properties に TLS エントリ(例:) TLSv1.2 またはカンマ区切りの TLS リストが含まれている TLSv1.2,TLSv1.1,SSLv1.3 ことを確認してください。

      リスト内の最初の項目は、セキュリティー・コンテキストの作成に使用されます。 bes.rest.allowed.protocols=TLSv1.2

    4. プロンプトで、 BigFix サーバーのホスト名または IP アドレス、ユーザー名、およびパスワードを入力して、 BigFix REST API サーバーの詳細を指定します。

      入力するユーザー名とパスワードは、 BigFix REST API 用に使用される資格情報と同じです。 REST API は、脆弱性データを BigFixに送信するために使用されます。

    5. 以下のコマンドを入力して、アセット・プロファイラーを再始動します。

      /opt/qradar/init/assetprofiler restart

      最適なパフォーマンスを確保するために、 QRadar Vulnerability Manager スキャンの実行中、またはサード・パーティー・スキャナーからの脆弱性インポートが予期される場合は、アセット・プロファイラーを再始動しないでください。

      adaptor.properties が作成されます。 このファイルには、 BigFixに送信される脆弱性データの構成パラメーターが含まれています。

  3. セットアップ・プロセスが正常に完了したことを確認します。
    1. /opt/qvm/adaptor/config/adaptor.properties ファイルで、以下のプロパティーが設定されていることを確認します。

      qvm.adaptor.listener.enabled=true

      qvm.adaptor.process.daemon=false

    2. 以下のプロパティーを編集して、 adaptor.properties ファイルにリスク・スコアとアセット更新の細分度を設定します。
      表 1. アダプターのプロパティーと説明
      プロパティー名 (API) 説明
      qvm.adaptor.minimum.vuln.riskscore=n

      各脆弱性リスク・スコアのしきい値を定義します。 設定された値以上の脆弱性は、 BigFixに送信されます。 例えば、値を 5 に設定すると、リスク・スコアが 5 以上の脆弱性のみが BigFixに送信されます。

      qvm.adaptor.minimum.asset.riskscore=n

      当該アセット上にあるすべての脆弱性の累積リスク・スコア。

      点数がこの値よりも小さいアセットの脆弱性は、アセットの脆弱性がminimum.vuln.riskscoreの設定値以上である場合を除き、BigFixに送信されません。

      注: minimum.vuln.riskscoreminimum.asset.riskscoreをオーバーライドします。 minimum.vuln.riskscore が 0 に設定されている場合、 minimum.asset.riskscore 値に関係なく、すべての脆弱性が BigFixに送信されます。

      minimum.asset.riskscore パラメーターを使用して、アセットの累積リスク・スコアが高い結果となる、複数の低リスク脆弱性を持つアセットの脆弱性をキャプチャーしてください。 この値を設定する場合は、この設定に対するminimum.vuln.riskscore値の影響を認識しなければなりません。

      qvm.adaptor.assetupdate.limit=n

      BigFix ダッシュボード・データ・リソースの分割方法を定義します。 最後のアセットのすべての CVE ID にデータが取り込まれるまで、分割は行われません。

      • 例えば、qvm.adaptor.assetupdate.limit=20の場合、アセット1には19個のCVE IDがあり、アセット2には30個のCVE IDがあります。 この場合、1 つのデータ・リソースが生成され、そこに両方のアセットが含まれ、合計 49 個の CVE ID が入ります。
      • 例えば、qvm.adaptor.assetupdate.limit=19の場合、アセット1には19個のCVE IDがあり、アセット2には30個のCVE IDがあります。 この場合、2 つのデータ・リソースが生成され、そのそれぞれに 1 つのアセットが含まれます。
      qvm.adaptor.source.data.delay=n

      データが BigFixに送信される頻度を定義します。 例えば、 n=15の場合、 BigFixに送信できる脆弱性データがあれば、脆弱性データは 15 分ごとに BigFix に送信されます。

      adaptor.properties ファイルを編集することで、 BigFix に送信する脆弱性データがフィルタリングされます。

    3. BigFix プラグイン構成によって以下のディレクトリーが作成されることを確認します。
      • /store/qvm/adaptor/data
      • /store/qvm/adaptor/bigfix
    4. /opt/qvm/adaptor/log4j.xml ファイルでロギングが有効になっていることを確認します。

      ログ・ファイルは、「 /var/log/qvm-integration-adaptor.log 」ファイルおよび「 /var/log/qvm-adaptor-cron.log 」ファイルにあります。

      注: BigFix サーバーに到達できないために証明書をダウンロードしない場合でも、セットアップは失敗しません。 証明書は後から以下のコマンドを実行してダウンロードできます。

      ./install-cert.sh <truststore_location> <truststore_password><truststore_IP_address: port>

      例えば、以下のコマンド・フォーマットを使用します。

      ./install-cert.sh /opt/qvm/adaptor/truststore.jks <abc3password> <192.0.2.0>:<63455>