Incluindo uma varredura remota em tempo real de Nmap

QRadar monitora o status da varredura em tempo real em andamento e espera o servidor Nmap concluir a varredura. Após a varredura ser concluída, os resultados de vulnerabilidade serão transferidos por download por meio de SSH.

Sobre esta tarefa

Vários tipos de varredura de porta de Nmap necessitam que o Nmap seja executado como um usuário raiz. Portanto, QRadar deve ter acesso como raiz ou deve-se limpar a caixa de seleção Detecção de S.O. . Para executar varreduras Nmap com a Detecção de S.O. ativada, deve-se fornecer credenciais de acesso raiz ao QRadar ao incluir o scanner. Como alternativa, é possível que seu administrador configure o Nmap binário com raiz setuid. Consulte seu administrador de Nmap para obter mais informações.

Restrição: embora haja um binário NMap em cada host QRadar , ele é reservado apenas para uso interno do QRadar . Configurar um scanner de vulnerabilidade NMap para usar um host gerenciado QRadar Console ou QRadar como o scanner NMap remoto não é suportado e pode causar instabilidades.

Procedimento

  1. Clique na guia Admin .
  2. Clique no ícone VA Scanners .
  3. Clique em Adicionar.
  4. No campo Nome do Scanner , digite um nome para identificar o seu scanner Nmap .
  5. Na lista Host gerenciado , selecione o host gerenciado em sua implementação do QRadar que gerencia a importação do scanner.
  6. A partir da lista Tipo , selecione Nmap Scanner.
  7. A partir da lista Scan Type , selecione Remote Live Scan.
  8. No campo Server Hostname , digite o endereço IP ou o hostname do servidor Nmap .
  9. Escolha uma das seguintes opções de autenticação:
    Opção Descrição
    Nome de Usuário do Servidor
    Para autenticar com um nome de usuário e senha:
    1. No campo Nome de Usuário do Servidor, digite o nome de usuário necessário para acessar o sistema remoto que hospeda o cliente Nmap usando SSH.
    2. No campo Senha de login, digite a senha associada ao nome de usuário.

    Se a caixa de seleção Detecção de S.O. estiver marcada, o nome de usuário deverá ter privilégios de administrador.
    Ativar autorização de chave
    Para autenticar com um arquivo de autenticação baseado em chave:
    1. Marque a caixa de seleção Ativar autenticação de chave.
    2. No campo Arquivo-chave privado, digite o caminho do diretório para o arquivo-chave.
    O diretório padrão para o arquivo-chave é /opt/qradar/conf/vis.ssh.key. Se um arquivo-chave não existir, você deverá criar o arquivo vis.ssh.key.
    Importante: O arquivo vis.ssh.key deve ter a propriedade vis qradar . Por exemplo:
    # ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key

    Se o scanner estiver configurado para usar uma senha, o servidor do scanner SSH para o qual se conecta ao QRadar deverá suportar a autenticação de senha

    Se não suportar, a autenticação SSH para o scanner falhará. Certifica-se a seguinte linha é exibida em seu arquivo /etc/ssh/sshd_config : PasswordAuthentication yes.

    Se o servidor do scanner não utilizar OpenSSH, consulte a documentação do fornecedor para obter as informações de configuração do scanner.
  10. No campo Nmap Executable , digite o caminho de diretório completo e filename do arquivo binário Nmap .
    O caminho do diretório padrão para o arquivo binário é /usr/bin/Nmap.
  11. Selecione uma opção para a caixa de seleção Desativar Ping .
    Em algumas redes, o protocolo ICMP é parcialmente ou completamente desativado. Em situações onde o ICMP não está ativado, é possível marcar esta caixa de seleção para desativar os pings de ICMP para aprimorar a precisão da varredura. Por padrão, a caixa de seleção não é selecionada.
  12. Selecione uma opção para a caixa de seleção Detecção de SO :
    • Selecione essa caixa de seleção para ativar a detecção do sistema operacional no Nmap. Privilégios de administrador deverão ser fornecidos para o scanner para utilizar essa opção.
    • Limpe essa caixa de seleção para receber resultados de Nmap sem a detecção do sistema operacional.
  13. A partir da lista Max RTT Timeout , selecione um valor de tempo limite.
    O valor de tempo limite determina se uma varredura deve ser interrompida ou emitida novamente devido à latência entre o scanner e o destino de varredura. O valor padrão é 300 milissegundos (ms). Se você especificar um período de tempo limite de 50 milissegundos, será recomendado que os dispositivos que serão varridos estejam na rede local. Os dispositivos nas redes remotas podem utilizar um valor de tempo limite de 1 segundo.
  14. Selecione uma opção a partir da lista Modelo de Timing . As opções incluem:
    • Paranoid – Essa opção produz uma avaliação lenta não invasiva.
    • Sneaky – Essa opção produz uma avaliação lenta não invasiva, porém aguarda 15 segundos entre as varreduras.
    • Polite - Esta opção é mais lenta que o normal e é destinada a diminuir a carga na rede.
    • Normal - Esta opção é o comportamento padrão da varredura.
    • Aggressive – Esta opção é mais rápida do que uma varredura normal e consome mais recursos.
    • Insane – Esta opção não é tão precisa quanto varreduras lentas e é adequada apenas para redes muito rápidas.
  15. No campo CIDR Mask , digite o tamanho da sub-rede digitalizada.
    O valor especificado para a máscara representa a maior parte da sub-rede que o scanner pode varrer de uma vez. A máscara segmenta a varredura para otimizar o desempenho da varredura.
  16. Para configurar um intervalo do CIDR para seu scanner:
    1. No campo de texto, digite a gama CIDR que deseja que este scanner considere ou clique em Procurar para selecionar um intervalo de CIDR da lista de rede.
    2. Clique em Adicionar.
  17. Clique em Salvar.
  18. Na guia Admin , clique em Deploy Changes.

O que fazer a seguir

Agora você está pronto para criar um planejamento de varredura. Veja Planejando uma varredura de vulnerabilidades