Nmap 원격 라이브 스캔 추가

QRadar 진행 중인 라이브 스캔의 상태를 모니터링하고, Nmap 서버가 스캔을 완료하는 것을 기다립니다. 스캔이 완료되고 나면 취약성 결과가 SSH를 통해 다운로드됩니다.

이 태스크에 대한 정보

일부 유형의 Nmap 포트 스캔에서는 루트 사용자로 Nmap을 실행해야 합니다. 따라서 QRadar 에 루트 권한이 있거나 OS 발견 선택란을 선택 취소해야 합니다. OS 발견이 사용으로 설정된 Nmap 스캔을 실행하려면 스캐너를 추가할 때 QRadar 에 루트 액세스 신임 정보를 제공해야 합니다. 또는 관리자가 setuid 루트로 NMap 2진을 구성하게 할 수 있습니다. 자세한 정보는 Nmap 관리자에게 문의하십시오.

제한사항: 각 QRadar 호스트에는 NMap 2진이 있지만 내부 QRadar 전용으로 예약되어 있습니다. QRadar Console 또는 QRadar 관리 호스트를 원격 NMap 스캐너로 사용하도록 NMap 취약성 스캐너를 구성하는 것은 지원되지 않으며 불안정한 원인이 될 수 있습니다.

프로시저

관리 탭을 클릭하십시오.
VA 스캐너 아이콘을 클릭하십시오.
추가를 클릭하십시오.
스캐너 이름 필드에 Nmap 스캐너를 식별할 이름을 입력하십시오.
관리 호스트 목록에서 스캐너 가져오기를 관리하는 QRadar 배치의 관리 호스트를 선택하십시오.
유형 목록에서 Nmap 스캐너를 선택하십시오.
스캔 유형 목록에서 원격 라이브 스캔을 선택하십시오.
서버 호스트 이름 필드에 Nmap 서버의 IP 주소 또는 호스트 이름을 입력하십시오.

다음 인증 옵션 중 하나를 선택하십시오.

옵션 설명

서버 사용자 이름

옵션	설명
서버 사용자 이름	사용자 이름과 비밀번호로 인증하려면 다음을 수행하십시오. 서버 사용자 이름 필드에 SSH를 사용하여 Nmap 클라이언트를 호스트하는 원격 시스템에 액세스하는 데 필요한 사용자 이름을 입력하십시오. 로그인 비밀번호 필드에 사용자 이름과 연관된 비밀번호를 입력하십시오. OS 발견 선택란을 선택한 경우 사용자 이름에 루트 권한이 있어야 합니다.
키 권한 부여 사용	키 기반 인증 파일로 인증하려면 다음을 수행하십시오. 키 인증 사용 선택란을 선택하십시오. 개인 키 파일 필드에 키 파일에 대한 디렉토리 경로를 입력하십시오. 키 파일의 기본 디렉토리는 /opt/qradar/conf/vis.ssh.key입니다. 키 파일이 없는 경우 vis.ssh.key 파일을 작성해야 합니다. 중요: vis.ssh.key 파일에는 `vis qradar` 소유권이 있어야 합니다. 예를 들면 다음과 같습니다. # ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key 스캐너가 비밀번호를 사용하도록 구성된 경우 QRadar 에 연결하는 SSH 스캐너 서버가 비밀번호 인증을 지원해야 합니다. 그렇지 않으면 스캐너에 대한 SSH 인증이 실패합니다. /etc/ssh/sshd_config 파일에 `PasswordAuthentication yes`행이 표시되는지 확인하십시오. 스캐너 서버가 OpenSSH를 사용하지 않는 경우 공급업체 문서에서 스캐너 구성 정보를 확인하십시오.

사용자 이름과 비밀번호로 인증하려면 다음을 수행하십시오.

서버 사용자 이름 필드에 SSH를 사용하여 Nmap 클라이언트를 호스트하는 원격 시스템에 액세스하는 데 필요한 사용자 이름을 입력하십시오.
로그인 비밀번호 필드에 사용자 이름과 연관된 비밀번호를 입력하십시오.

OS 발견 선택란을 선택한 경우 사용자 이름에 루트 권한이 있어야 합니다.

키 권한 부여 사용

키 기반 인증 파일로 인증하려면 다음을 수행하십시오.

키 인증 사용 선택란을 선택하십시오.
개인 키 파일 필드에 키 파일에 대한 디렉토리 경로를 입력하십시오.

키 파일의 기본 디렉토리는 /opt/qradar/conf/vis.ssh.key입니다. 키 파일이 없는 경우 vis.ssh.key 파일을 작성해야 합니다.

중요: vis.ssh.key 파일에는 vis qradar 소유권이 있어야 합니다. 예를 들면 다음과 같습니다.

# ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key

스캐너가 비밀번호를 사용하도록 구성된 경우 QRadar 에 연결하는 SSH 스캐너 서버가 비밀번호 인증을 지원해야 합니다.

그렇지 않으면 스캐너에 대한 SSH 인증이 실패합니다. /etc/ssh/sshd_config 파일에 PasswordAuthentication yes행이 표시되는지 확인하십시오.

스캐너 서버가 OpenSSH를 사용하지 않는 경우 공급업체 문서에서 스캐너 구성 정보를 확인하십시오.

Nmap 실행 파일 필드에 Nmap 2진파일의 전체 디렉토리 경로 및 파일 이름을 입력하십시오.
2진 파일의 기본 디렉토리 경로는 /usr/bin/Nmap입니다.
Ping 사용 안함 선택란의 옵션을 선택하십시오.
일부 네트워크에서는 ICMP 프로토콜이 부분적으로 또는 완전히 사용되지 않습니다. ICMP가 사용으로 설정되지 않은 경우, 이 선택란을 선택하여 스캔의 정확성을 개선하기 위해 ICMP ping을 사용하지 않도록 설정할 수 있습니다. 기본적으로 이 선택란은 선택 취소되어 있습니다.
OS 발견 선택란의 옵션을 선택하십시오.
- Nmap에서 운영 체제를 발견하려면 이 선택란을 선택하십시오. 이 옵션을 사용하려면 스캐너에 루트 권한을 제공해야 합니다.
- 운영 체제 발견 없이 Nmap 결과를 수신하려면 이 선택란을 선택 취소하십시오.
최대 RTT 제한시간 목록에서 제한시간 값을 선택하십시오.
제한시간 값은 스캔을 중지하거나 재실행해야 하는 스캐너와 스캔 대상 사이의 대기 시간을 판별합니다. 기본값은 300밀리초(ms)입니다. 50밀리초의 제한시간을 지정하는 경우 로컬 네트워크에 있는 디바이스를 스캔하는 것이 좋습니다. 원격 네트워크의 디바이스는 제한시간 값으로 1초를 사용할 수 있습니다.
타이밍 템플리트 목록에서 옵션을 선택하십시오. 옵션에는 다음이 포함됩니다.
- 파라노이드 - 이 옵션은 느린 비간섭 평가를 작성합니다.
- 스니키 - 이 옵션은 느린 비간섭 평가를 작성하지만 스캔 사이에 15초를 대기합니다.
- 폴라이트 - 이 옵션은 노멀보다 느리고 네트워크에서 로드를 용이하게 합니다.
- 노멀 - 이 옵션은 표준 스캔 작동입니다.
- 어그레시브 - 이 옵션은 노멀 스캔보다 빠르고 더 많은 자원이 집중됩니다.
- 인세인 - 이 옵션은 느린 스캔만큼 정확하진 않으며 고속 네트워크에만 적합합니다.
CIDR 마스크 필드에 스캔된 서브넷의 크기를 입력하십시오.
마스크에 지정된 값은 스캐너가 한 번에 스캐닝할 수 있는 서브넷의 가장 큰 부분을 나타냅니다. 마스크는 스캔 성능을 최적화하기 위해 스캔을 세분화합니다.
스캐너의 CIDR 범위를 구성하려면 다음을 수행하십시오.
1. 텍스트 필드에 이 스캐너가 고려할 CIDR 범위를 입력하거나 찾아보기 를 클릭하여 네트워크 목록에서 CIDR 범위를 선택하십시오.
2. 추가를 클릭하십시오.
저장을 클릭하십시오.
관리 탭에서 변경사항 배치를 클릭하십시오.

다음에 수행할 작업

이제 스캔 스케줄을 작성할 준비가 되었습니다. 취약성 스캔 스케줄링 을 참조하십시오.