Incluindo um scanner de vulnerabilidade Beyond Security AVDS

Os dispositivos Beyond Security Automated Vulnerability Detection System (AVDS) criam dados de vulnerabilidade no formato Asset Export Information Source (AXIS). Arquivos no formato AXIS podem ser importados por arquivos XML que puderem ser importados.

Sobre esta tarefa

Para integrar com sucesso as vulnerabilidades do Beyond Security AVDS com o QRadar, deve-se configurar seu dispositivo Beyond Security AVDS para publicar dados de vulnerabilidade em um arquivo de resultados XML formatados do AXIS Os dados de vulnerabilidade XML devem ser publicados em um servidor remoto que esteja acessível usando o Secure File Transfer Protocol (SFTP). O termo de servidor remoto refere-se a qualquer dispositivo, host de terceiros ou local de armazenamento de rede que possam hospedar os arquivos de resultados da varredura de XML publicados.

Os resultados de XML mais recentes que contêm as vulnerabilidades de Beyond Security AVDS são importados quando um planejamento de varredura é iniciado. Os planejamentos de varredura determinam a frequência com que os dados de vulnerabilidade criados pelo Beyond Security AVDS são importados. Depois de incluir o seu dispositivo Beyond Security AVDS no QRadar, crie um planejamento de varredura para importar os arquivos de resultados da varredura As vulnerabilidades a partir do planejamento de varredura atualizam a guia Ativos após o planejamento da varredura ser concluído.

Procedimento

Clique na guia Admin .
Clique no ícone VA Scanners .
Clique em Adicionar.
No campo Nome do Scanner , digite um nome para identificar o seu scanner AVDS de Segurança Beyond.
A partir da lista Host Gerenciado , selecione uma opção que se baseia em uma das seguintes plataformas:
- No QRadar Console, selecione o host gerenciado que é responsável por se comunicar com o dispositivo do scanner.
- Em ' QRadar on Cloud, se o scanner estiver hospedado na nuvem, o QRadar® Console poderá ser usado como o host gerenciado. Caso contrário, selecione o gateway de dados que é responsável por se comunicar com o dispositivo do scanner.
A partir da lista Type , selecione Beyond Security AVDS.
No campo Remote Hostname , digite o endereço IP ou o nome do host do sistema que contém os resultados de varredura publicados do seu scanner Ayond Security AVDS.

Escolha uma das seguintes opções de autenticação:

Opção Descrição

Nome do usuário de login

Opção	Descrição
Nome do usuário de login	Para autenticar com um nome de usuário e senha: No campo Nome de usuário de login, digite um nome de usuário que possua acesso para recuperar os resultados da varredura do host remoto. No campo Senha de Login, digite a senha que está associada ao nome de usuário.
Ativar autorização de chave	Para autenticar com um arquivo de autenticação baseado em chave: Marque a caixa de seleção Ativar autenticação de chave. No campo Arquivo-chave privado, digite o caminho do diretório para o arquivo-chave. O diretório padrão para o arquivo-chave é /opt/qradar/conf/vis.ssh.key. Se um arquivo-chave não existir, você deverá criar o arquivo vis.ssh.key. Importante: O arquivo vis.ssh.key deve ter a propriedade `vis qradar` . Por exemplo: # ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key

Para autenticar com um nome de usuário e senha:

No campo Nome de usuário de login, digite um nome de usuário que possua acesso para recuperar os resultados da varredura do host remoto.
No campo Senha de Login, digite a senha que está associada ao nome de usuário.

Ativar autorização de chave

Para autenticar com um arquivo de autenticação baseado em chave:

Marque a caixa de seleção Ativar autenticação de chave.
No campo Arquivo-chave privado, digite o caminho do diretório para o arquivo-chave.

O diretório padrão para o arquivo-chave é /opt/qradar/conf/vis.ssh.key.

Se um arquivo-chave não existir, você deverá criar o arquivo vis.ssh.key.

Importante: O arquivo vis.ssh.key deve ter a propriedade vis qradar . Por exemplo:

# ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key

No campo Diretório Remoto , digite o local do diretório dos arquivos de resultado da varredura.
No campo Padrão de Nome do Arquivo , digite uma expressão regular (regex) para filtrar a lista de arquivos que estão especificados no Diretório Remoto. Todos os arquivos correspondentes são incluídos no processamento.

O valor padrão é .*\.xml. O padrão .*\.xml importa todos os arquivos xml no diretório remoto.
No campo Max Reports Age (Dias) , digite a idade máxima do arquivo para o seu arquivo de resultados de varredura. Os arquivos que forem mais antigos do que a quantia de dias e o registro de data e hora especificados no arquivo de relatório serão excluídos quando a varredura de planejamento for iniciada. O valor padrão é 7 dias.
Para configurar a opção Ignore Duplicatas :
- Selecione essa caixa de seleção para controlar os arquivos que já foram processados por um planejamento de varredura. Esta opção evita que um arquivo de resultados de varredura seja processado uma segunda vez.
- Desmarque essa caixa de seleção para importar os resultados de varredura de vulnerabilidade sempre que o planejamento de varredura for iniciado. Essa opção pode fazer com que diversas vulnerabilidades sejam associadas a um ativo.
Se um arquivo de resultado não for varrido dentro de 10 dias, o arquivo será removido da lista de rastreamento e será processado na próxima vez em que o planejamento de varredura for iniciado.
Para configurar um intervalo do CIDR para seu scanner:
1. Digite a faixa CIDR para a varredura ou clique em Procurar para selecionar um intervalo de CIDR da lista de rede.
2. Clique em Adicionar.
Clique em Salvar.
Na guia Admin , clique em Deploy Changes.

O que fazer a seguir

Agora você está pronto para criar um planejamento de varredura. Veja Agendamento de uma varredura de vulnerabilidades.