eEye REM スキャナーまたは CS Retina スキャナーから JDBC を通じて脆弱性データを収集するために、スキャナーを追加できます。
始める前に
QRadarが脆弱性データをポーリングするように設定する前に、'QRadar 用のデータベースユーザーアカウントとパスワードを作成することをお勧めします。 ユーザー・アカウントに RetinaCSDatabase への読み取り専用アクセス権を割り当てると、eEye 脆弱性を格納するデータベースへのアクセスを制限できます。 JDBCプロトコルにより、'QRadarはログインし、MSDE データベースからのイベントをポーリングすることができる。 eEye スキャナーと JDBC プロトコルを使用してポーリングを行うコンソールまたは管理対象ホスト間の通信が、ファイアウォール・ルールによりブロックされないことを確認してください。 データベース・インスタンスを使用する場合、SQL Server Browser サービスがインスタンス名を解決できるようにするために、ポート 1433 が使用可能であることを確認する必要があります。
手順
- 「管理」 タブをクリックします。
- 「VA スキャナー」 アイコンをクリックします。
- 「追加」をクリックします。
- 「スキャナー名」 フィールドに、 eEye スキャナーを識別する名前を入力します。
- 「管理対象ホスト」 リストから、以下のいずれかのプラットフォームに基づくオプションを選択します。
- QRadar
Consoleで、スキャナー・デバイスとの通信を担当する管理対象ホストを選択します。
- QRadar on Cloud では、スキャナーがクラウドでホストされている場合、QRadar®Consoleを管理ホストとして使用できます。 それ以外の場合は、スキャナー・デバイスとの通信を担当するデータ・ゲートウェイを選択します。
- 「タイプ」 リストから、 eEye 「REM スキャナー」を選択します。
- 「インポート・タイプ」 リストから、 JDBCを選択します。
- 「ホスト名」 フィールドに、 eEye データベースの IP アドレスまたはホスト名を入力します。
- 「ポート」 フィールドに、 1433と入力します。
- オプション。 「データベース・インスタンス (Database Instance)」フィールドに、eEye データベースのデータベース・インスタンスを入力します。
データベース・インスタンスを使用しない場合は、このフィールドを空白のままにします。
- 「ユーザー名」 フィールドに、 eEye データベースの照会に必要なユーザー名を入力します。
- 「パスワード」 フィールドに、 eEye データベースの照会に必要なパスワードを入力します。
- 「ドメイン」 フィールドに、 eEye データベースに接続するために必要なドメインを入力します (必要な場合)。
データベースが Windows 用にドメイン内で構成されている場合、ドメイン名を指定する必要があります。
- 「データベース名」 フィールドに、データベース名として RetinaCSDatabase と入力します。
- eEye データベースと通信するために名前付きパイプが必要な場合は、 「名前付きパイプ通信の使用」 チェック・ボックスを選択します。 デフォルトでは、このチェック・ボックスはクリアされています。
- eEye スキャナーが認証プロトコルとして NTLMv2 を使用する場合は、 「 NTLMv2」 チェック・ボックスを選択します。 デフォルトでは、このチェック・ボックスはクリアされています。
NTLMv2 認証を必要とする SQL サーバーと通信する場合、「NTLMv2 の使用 (Use NTLMv2)」チェック・ボックスにより、MSDE 接続で NTLMv2 プロトコルが使用されます。 「NTLMv2 の使用 (Use NTLMv2)」チェック・ボックスが選択されていても、NTLMv2 認証を必要としない SQL サーバーへの MSDE 接続には影響しません。
- スキャナーに対し CIDR 範囲を構成するには、以下の手順を実行します。
- テキスト・フィールドに、このスキャナーで使用する CIDR 範囲を入力するか、 「参照」 をクリックして、ネットワーク・リストから CIDR 範囲を選択します。
- 「追加」をクリックします。
- 「保存」をクリックします。
- 「管理」 タブで、 「変更のデプロイ」をクリックします。
次に実行するタスク
これで、スキャン・スケジュールを作成する準備ができました。 脆弱性スキャンのスケジューリングを参照してください。