Beyond Security AVDS 脆弱性スキャナーの追加

Beyond Security Automated Vulnerability Detection System (AVDS) アプライアンスでは、Asset Export Information Source (AXIS) フォーマットで脆弱性データが作成されます。 AXIS フォーマットのファイルは、インポート可能な XML ファイルによりインポートできます。

このタスクについて

Beyond Security AVDS 脆弱性を QRadarと正常に統合するには、脆弱性データを AXIS 形式の XML 結果ファイルに公開するように Beyond Security AVDS アプライアンスを構成する必要があります。 XML 脆弱性データは、Secure File Transfer Protocol (SFTP) を使用してアクセスできるリモート・サーバーに発行する必要があります。リモート・サーバーとは、発行された XML スキャン結果ファイルをホスティングできるアプライアンス、サード・パーティー・ホスト、またはネットワーク・ストレージ・ロケーションのことです。

スキャン・スケジュールが開始されると、Beyond Security AVDS 脆弱性を含む最新の XML 結果がインポートされます。スキャン・スケジュールにより、Beyond Security AVDS により作成された脆弱性データがインポートされる頻度が決まります。 Beyond Security AVDS アプライアンスを QRadarに追加した後、スキャン結果ファイルをインポートするためのスキャン・スケジュールを作成します。スキャン・スケジュールが完了した後、スキャン・スケジュールからの脆弱性により「アセット」タブが更新されます。

手順

「管理」タブをクリックします。
「VA スキャナー」アイコンをクリックします。
「追加」をクリックします。
「スキャナー名」フィールドに、Beyond Security AVDS スキャナーを識別する名前を入力します。
「管理対象ホスト」リストから、以下のいずれかのプラットフォームに基づくオプションを選択します。
- QRadar Consoleで、スキャナー・デバイスとの通信を担当する管理対象ホストを選択します。
- QRadar on Cloud では、スキャナーがクラウドでホストされている場合、QRadar®Consoleを管理ホストとして使用できます。それ以外の場合は、スキャナー・デバイスとの通信を担当するデータ・ゲートウェイを選択します。
「タイプ」リストから、「Beyond Security AVDS」を選択します。
「リモート・ホスト名」フィールドに、Beyond Security AVDS スキャナーから公開されたスキャン結果を含むシステムの IP アドレスまたはホスト名を入力します。

以下の認証オプションのいずれかを選択します。

オプション説明

ログイン・ユーザー名 (Login Username)

オプション	説明
ログイン・ユーザー名 (Login Username)	ユーザー名およびパスワードを使用して認証するには、以下の手順を実行します。「ログイン・ユーザー名 (Login Username)」フィールドに、リモート・ホストからスキャン結果を取得する権限を持つユーザー名を入力します。「ログイン・パスワード (Login Password)」フィールドに、ユーザー名に関連付けられているパスワードを入力します。
鍵許可の有効化 (Enable Key Authorization)	鍵ベースの認証ファイルを使用して認証するには、以下の手順を実行します。「鍵認証の有効化 (Enable Key Authentication)」チェック・ボックスを選択します。「秘密鍵ファイル (Private Key File)」フィールドに、鍵ファイルへのディレクトリー・パスを入力します。鍵ファイルのデフォルト・ディレクトリーは /opt/qradar/conf/vis.ssh.key です。鍵ファイルが存在しない場合、vis.ssh.key ファイルを作成する必要があります。重要: vis.ssh.key ファイルには `vis qradar` 所有権が必要です。例: # ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key

ユーザー名およびパスワードを使用して認証するには、以下の手順を実行します。

「ログイン・ユーザー名 (Login Username)」フィールドに、リモート・ホストからスキャン結果を取得する権限を持つユーザー名を入力します。
「ログイン・パスワード (Login Password)」フィールドに、ユーザー名に関連付けられているパスワードを入力します。

鍵許可の有効化 (Enable Key Authorization)

鍵ベースの認証ファイルを使用して認証するには、以下の手順を実行します。

「鍵認証の有効化 (Enable Key Authentication)」チェック・ボックスを選択します。
「秘密鍵ファイル (Private Key File)」フィールドに、鍵ファイルへのディレクトリー・パスを入力します。

鍵ファイルのデフォルト・ディレクトリーは /opt/qradar/conf/vis.ssh.key です。

鍵ファイルが存在しない場合、vis.ssh.key ファイルを作成する必要があります。

重要: vis.ssh.key ファイルには vis qradar 所有権が必要です。例:

# ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key

「リモート・ディレクトリー」フィールドに、スキャン結果ファイルのディレクトリーの場所を入力します。
「ファイル名パターン」フィールドに、リモート・ディレクトリーに指定されているファイルのリストをフィルタリングするための正規表現 (regex) を入力します。一致するすべてのファイルは処理に組み込まれます。

デフォルト値は .*\.xmlです。 .*\.xml パターンは、リモート・ディレクトリー内のすべての xml ファイルをインポートします。
「最大レポート存続期間 (日数)」フィールドに、スキャン結果ファイルの最大ファイル存続期間を入力します。スケジュール・スキャンが開始されると、指定の日数およびレポート・ファイルのタイム・スタンプよりも古いファイルは除外されます。デフォルト値は 7 日です。
「重複を無視」オプションを構成するには、以下のようにします。
- スキャン・スケジュールで既に処理されたファイルを追跡するには、このチェック・ボックスを選択します。このオプションにより、スキャン結果ファイルが 2 回目は処理されなくなります。
- スキャン・スケジュールが開始されるたびに脆弱性スキャン結果をインポートするには、このチェック・ボックスをクリアします。このオプションにより、1 つのアセットに複数の脆弱性が関連付けられる可能性があります。
結果ファイルが 10 日間以内にスキャンされない場合、そのファイルはトラッキング・リストから削除され、次にスキャン・スケジュールが開始されたときに処理されます。
スキャナーの CIDR 範囲を構成するには、以下のようにします。
1. スキャンの CIDR 範囲を入力するか、「参照」をクリックしてネットワーク・リストから CIDR 範囲を選択します。
2. 「追加」をクリックします。
「保存」をクリックします。
「管理」タブで、「変更のデプロイ」をクリックします。

次に実行するタスク

これで、スキャン・スケジュールを作成する準備ができました。脆弱性スキャンのスケジューリングを参照してください。