Nmap リモート・ライブ・スキャンの追加

QRadar 進行中のライブ・スキャンの状況をモニターし、Nmap サーバーがスキャンを完了するのを待機します。 スキャンが完了した後、SSH を通じて脆弱性結果がダウンロードされます。

このタスクについて

いくつかのタイプの Nmap ポート・スキャンでは、Nmap を root ユーザーとして実行する必要があります。 したがって、 QRadar には root としてのアクセス権限が必要です。または、 「OS 検出」 チェック・ボックスをクリアする必要があります。 OS 検出を有効にして Nmap スキャンを実行するには、スキャナー追加時に QRadar に root アクセス資格情報を指定する必要があります。 または、管理者に setuid root で NMap バイナリーを構成してもらうこともできます。 詳しくは、Nmap 管理者にお問い合わせください。

制約事項:QRadar ホストには NMap バイナリーがありますが、これは内部 QRadar 専用に予約されています。 QRadar Console または QRadar の管理対象ホストをリモート NMap スキャナーとして使用するように NMap 脆弱性スキャナーを構成することはサポートされていないため、脆弱性が生じる可能性があります。

手順

  1. 「管理」 タブをクリックします。
  2. 「VA スキャナー」 アイコンをクリックします。
  3. 「追加」をクリックします。
  4. 「スキャナー名」 フィールドに、 Nmap スキャナーを識別する名前を入力します。
  5. 「管理対象ホスト」 リストから、スキャナー・インポートを管理する QRadar デプロイメント内の管理対象ホストを選択します。
  6. 「タイプ」 リストから、 Nmap 「スキャナー」を選択します。
  7. 「スキャン・タイプ」 リストから、 「リモート・ライブ・スキャン」を選択します。
  8. 「サーバー・ホスト名」 フィールドに、 Nmap サーバーの IP アドレスまたはホスト名を入力します。
  9. 以下の認証オプションのいずれかを選択します。
    オプション 説明
    サーバーのユーザー名 (Server Username)
    ユーザー名およびパスワードを使用して認証するには、以下の手順を実行します。
    1. 「サーバーのユーザー名 (Server Username)」フィールドに、Nmap クライアントをホスティングするリモート・システムに SSH を使用してアクセスするために必要なユーザー名を入力します。
    2. 「ログイン・パスワード (Login Password)」フィールドに、ユーザー名に関連付けられたパスワードを入力します。

    「OS 検出 (OS Detection)」チェック・ボックスが選択されている場合、このユーザー名には root 特権が必要です。
    鍵許可の有効化 (Enable Key Authorization)
    鍵ベースの認証ファイルを使用して認証するには、以下の手順を実行します。
    1. 「鍵認証の有効化 (Enable Key Authentication)」チェック・ボックスを選択します。
    2. 「秘密鍵ファイル (Private Key File)」フィールドに、鍵ファイルへのディレクトリー・パスを入力します。
    鍵ファイルのデフォルト・ディレクトリーは /opt/qradar/conf/vis.ssh.key です。 鍵ファイルが存在しない場合、vis.ssh.key ファイルを作成する必要があります。
    重要: vis.ssh.key ファイルには vis qradar 所有権が必要です。 例:
    # ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key

    パスワードを使用するようにスキャナーが構成されている場合、 QRadar に接続する SSH スキャナー・サーバーは、パスワード認証をサポートしている必要があります。

    サポートしていない場合、スキャナーの SSH 認証は失敗します。 /etc/ssh/sshd_config ファイルに PasswordAuthentication yesという行が表示されていることを確認します。

    スキャナー・サーバーが OpenSSH を使用しない場合、スキャナーの構成情報についてベンダーの資料を参照してください。
  10. Nmap 「実行可能ファイル」 フィールドに、 Nmap バイナリー・ファイルの絶対ディレクトリー・パスとファイル名を入力します。
    バイナリー・ファイルへのデフォルトのディレクトリー・パスは /usr/bin/Nmap です。
  11. ping の無効化 」チェック・ボックスのオプションを選択します。
    一部のネットワークでは、ICMP プロトコルは部分的にまたは完全に無効にされています。 ICMP が無効の状態の場合、このチェック・ボックスを選択して ICMP ping を無効にすることで、スキャンの正確性を向上させることができます。 デフォルトでは、このチェック・ボックスはクリアされています。
  12. 「OS 検出」 チェック・ボックスのオプションを選択します。
    • このチェック・ボックスを選択すると、Nmap でのオペレーティング・システム検出が有効になります。 このオプションを使用するには、スキャナーに root 特権を提供する必要があります。
    • オペレーティング・システム検出なしで Nmap 結果を受け取るには、このチェック・ボックスをクリアします。
  13. 「最大 RTT タイムアウト」 リストから、タイムアウト値を選択します。
    タイムアウト値により、スキャナーとスキャン・ターゲットの間の遅延時間に基づき、スキャンを停止するか再発行するかが決まります。 デフォルト値は 300 ミリ秒 (ms) です。 50 ミリ秒のタイムアウト期間を指定する場合、スキャン対象のデバイスをローカル・ネットワークに配置することをお勧めします。 デバイスがリモート・ネットワークにある場合、1 秒のタイムアウト値を使用できます。
  14. 「タイミング・テンプレート」 リストからオプションを選択します。 オプションは、以下のとおりです。
    • パラノイド (Paranoid) - このオプションでは、低速で非侵入型の評価が行われます。
    • スニーキー (Sneaky) - このオプションでは、低速で非侵入型の評価が行われますが、スキャン間で 15 秒の待ち時間が発生します。
    • ポライト (Polite) - このオプションは、標準よりは低速で、ネットワークへの負荷を軽減することを目的としたオプションです。
    • 標準 (Normal) - このオプションは、標準のスキャン振る舞いです。
    • アグレッシブ (Aggressive) - このオプションは、標準スキャンより高速で、より多くリソースを消費します。
    • インセイン (Insane) - このオプションは、より低速なスキャンほど正確ではなく、非常に高速なネットワークにのみ適しています。
  15. 「CIDR マスク」 フィールドに、スキャンするサブネットのサイズを入力します。
    マスクに指定する値は、スキャナーが一度にスキャンできるサブネットの最大部分を表します。 スキャンのパフォーマンスを最適化するために、マスクによりスキャンが分割されます。
  16. スキャナーの CIDR 範囲を構成するには、以下のようにします。
    1. テキスト・フィールドに、このスキャナーで使用する CIDR 範囲を入力するか、 「参照」 をクリックして、ネットワーク・リストから CIDR 範囲を選択します。
    2. 「追加」をクリックします。
  17. 「保存」をクリックします。
  18. 「管理」 タブで、 「変更のデプロイ」をクリックします。

次に実行するタスク

これで、スキャン・スケジュールを作成する準備ができました。 脆弱性スキャンのスケジューリング を参照してください。