NMap リモート結果インポートの追加

リモート結果インポートにより、完了した NMap スキャンのレポートが SSH を通じて取得されます。

このタスクについて

スキャンは、NMap スキャナーで -oX オプションを使用して XML 形式で生成する必要があります。 NMap スキャナーを追加した後、スキャン・スケジュールを割り当てて、スキャナーから脆弱性データをインポートする頻度を指定する必要があります。

手順

「管理」タブをクリックします。
「VA スキャナー」アイコンをクリックします。
「追加」をクリックします。
「スキャナー名」フィールドに、NMap スキャナーを識別する名前を入力します。
「管理対象ホスト」リストから、スキャナー・インポートを管理する QRadar デプロイメント内の管理対象ホストを選択します。
「タイプ」リストから、「Nessus スキャナー」を選択します。
「コレクション・タイプ」リストから、「リモート結果インポート」を選択します。
「サーバー・ホスト名」フィールドに、NMap クライアントをホストするリモート・システムのホスト名または IP アドレスを入力します。管理者は、SSH が有効になっている UNIX ベースのシステム上で NMap をホストする必要があります。

以下の認証オプションのいずれかを選択します。

オプション説明

ログイン・ユーザー名 (Login Username)

オプション	説明
ログイン・ユーザー名 (Login Username)	ユーザー名およびパスワードを使用して認証するには、以下の手順を実行します。「サーバーのユーザー名 (Server Username)」フィールドに、NMap クライアントをホストするリモート・システムにアクセスするために必要なユーザー名を入力します。「ログイン・パスワード (Login Password)」フィールドに、ユーザー名に関連付けられているパスワードを入力します。パスワードに「!」を含めることはできません文字。感嘆符を使用すると、SSH による認証が失敗する場合があります。パスワードを使用するようにスキャナーが構成されている場合、 QRadar に接続する SSH スキャナー・サーバーは、パスワード認証をサポートしている必要があります。サポートしていない場合、スキャナーの SSH 認証は失敗します。 /etc/ssh/sshd_config ファイルに `PasswordAuthentication yes`という行が表示されていることを確認します。スキャナー・サーバーが OpenSSH を使用しない場合、スキャナーの構成情報についてベンダーの資料を参照してください。
鍵許可の有効化 (Enable Key Authorization)	鍵ベースの認証ファイルを使用して認証するには、以下の手順を実行します。「鍵認証の有効化 (Enable Key Authentication)」チェック・ボックスを選択します。「秘密鍵ファイル (Private Key File)」フィールドに、鍵ファイルへのディレクトリー・パスを入力します。鍵ファイルのデフォルト・ディレクトリーは /opt/qradar/conf/vis.ssh.key です。鍵ファイルが存在しない場合、vis.ssh.key ファイルを作成する必要があります。重要: vis.ssh.key ファイルには `vis qradar` 所有権が必要です。例えば、 # ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key

ユーザー名およびパスワードを使用して認証するには、以下の手順を実行します。

「サーバーのユーザー名 (Server Username)」フィールドに、NMap クライアントをホストするリモート・システムにアクセスするために必要なユーザー名を入力します。
「ログイン・パスワード (Login Password)」フィールドに、ユーザー名に関連付けられているパスワードを入力します。

パスワードに「!」を含めることはできません文字。感嘆符を使用すると、SSH による認証が失敗する場合があります。

パスワードを使用するようにスキャナーが構成されている場合、 QRadar に接続する SSH スキャナー・サーバーは、パスワード認証をサポートしている必要があります。

サポートしていない場合、スキャナーの SSH 認証は失敗します。 /etc/ssh/sshd_config ファイルに PasswordAuthentication yesという行が表示されていることを確認します。

スキャナー・サーバーが OpenSSH を使用しない場合、スキャナーの構成情報についてベンダーの資料を参照してください。

鍵許可の有効化 (Enable Key Authorization)

鍵ベースの認証ファイルを使用して認証するには、以下の手順を実行します。

「鍵認証の有効化 (Enable Key Authentication)」チェック・ボックスを選択します。
「秘密鍵ファイル (Private Key File)」フィールドに、鍵ファイルへのディレクトリー・パスを入力します。

鍵ファイルのデフォルト・ディレクトリーは /opt/qradar/conf/vis.ssh.key です。鍵ファイルが存在しない場合、vis.ssh.key ファイルを作成する必要があります。

重要: vis.ssh.key ファイルには vis qradar 所有権が必要です。例えば、

# ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key

「リモート・フォルダー」フィールドに、スキャン結果ファイルのディレクトリーの場所を入力します。

Linux® の例: /home/scans

Windows の例: /c:/zenmap
「リモート・ファイル・パターン」フィールドに、リモート・フォルダーに指定されているファイルのリストをフィルタリングするために必要な正規表現 (regex) を入力します。一致するすべてのファイルは処理に組み込まれます。
NMap 結果を取得するためのデフォルトの正規表現パターンは .*\.xmlです。 .*\.xml パターンは、リモート・フォルダー内のすべての xml 結果ファイルをインポートします。

インポートされ、処理されたスキャン・レポートはリモート・フォルダーから削除されません。クーロン・ジョブをスケジュールして、以前に処理されたスキャン・レポートを定期的に削除してください。
スキャナーの CIDR 範囲を構成するには、以下のようにします。
1. テキスト・フィールドに、このスキャナーで考慮する CIDR 範囲を入力するか、「参照」をクリックして、ネットワーク・リストから CIDR 範囲を選択します。
2. 「追加」をクリックします。
Enable Strict HostKey Checking オプションは、ターゲット・ホストの公開鍵がHost Key listパラメータのエントリと一致することを有効にする。
1. 分野 HostKey 現場でBase64ターゲット・ホストに接続する際に受け入れる、エンコードされたホスト・キー。サポートされているホスト・キー・タイプはssh-rsa.この鍵は、 Linux または ssh-keyscan.exe で OpenSSH ssh-keyscan コマンドを実行するか、 /root/.ssh/known_hosts または /etc/ssh/ssh_host_rsa_key.pub ファイル・パスなどの場所からターゲット・システムから公開鍵を直接取得することで入手できる。を使用する必要がありますBase64ハッシュのみで、ホスト名やアルゴリズムは含まない。例:
```
AAAAB3NzaC1yc2EAAAADAQABAAABAQCkT8TfV0oPWOVihTKKtORG2DQVbbFocUvGct9lN4auSIADp4Ubi\nOzm44k0mIZtMOGfYBTHVzyI6A9nCROLiMrJ00QzwG1IihYwaTqlYbZJ3FSiSY2tz1G2C51SG9OeziDMxcnEY2cHkwGSrGowydz20KPbgzTedOQCp41PafmMlb7TMmJtjU23cfCmPAQQHWIFOLWe1hg3RMtWfj1sE+Fe7Tu+/XZvT4GPSM5YQECXIzXmrhENWo+tIlnCGq01sLNPQ2Fo8qI97uAOm0kx/wkWfJLEj9dsHl7kO6D1x3YESVrr+e\nOc2xDvAStJIb4qCks2CGZDI1I2pivoqjX+JTRL
```
「保存」をクリックします。
「管理」タブで、「変更のデプロイ」をクリックします。

次に実行するタスク

これで、スキャン・スケジュールを作成する準備ができました。脆弱性スキャンのスケジューリング」を参照してください。