Incluindo uma varredura de vulnerabilidade AXIS

Inclua uma configuração do scanner AXIS para coletar relatórios específicos ou iniciar varreduras no scanner remoto.

Sobre esta tarefa

A tabela a seguir descreve os parâmetros do scanner AXIS quando SFTP é selecionado como o método de importação:
Tabela 1. Scanner AXIS - Propriedades de SFTP
Parâmetro Descrição
Nome do Host Remoto O endereço IP ou o nome do host do servidor que tem os arquivos de resultados da varredura.
Nome do usuário de login O nome do usuário que o QRadar usa para efetuar login no servidor
Ativar autenticação de chave Especifica que QRadar é autenticado com um arquivo de autenticação baseado em chave.
Senha de login A senha que o QRadar usa para efetuar login no Servidor SFTP
Arquivo de chave privado O caminho completo para o arquivo que contém a chave privada. Se um arquivo-chave não existir, você deverá criar o arquivo vis.ssh.key.
Importante: O arquivo vis.ssh.key deve ter a propriedade vis qradar . Por exemplo:
# ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key
Diretório remoto A localização dos arquivos de resultados da varredura.
Padrão de nome do arquivo A expressão regular (regex) necessária para filtrar a lista de arquivos que estão no Diretório remoto. O padrão .*\.xml importa todos os arquivos XML do diretório remoto.
Idade máxima do relatório (dias) A idade máxima de um relatório para recuperar durante importações de dados em massa por meio de arquivo.
Ignorar duplicatas Especifique se deve ignorar vulnerabilidades duplicadas ou não.
Ativar Estrito HostKey Verificação Requer que a chave pública do host de destino corresponda a uma entrada no parâmetro da lista de Chaves do Host
HostKey Forneça chaves do host codificadas Base64 para aceitar ao se conectar ao host de destino. O tipo de chave do host suportado é:
ssh-rsa

Essa chave pode ser obtida executando o comando OpenSSH ssh-keyscan no Linux ou ssh-keyscan.exe no Windows.. A chave também pode ser obtida obtendo a chave pública do sistema de destino diretamente do local. Por exemplo: /root/.ssh/known_hosts or /etc/ssh/ssh_host_rsa_key.pub

Importante: deve-se usar o hash Base64 apenas e não o nome do host ou o algoritmo Por exemplo:
AAAAB3NzaC1yc2EAAAADAQABAAABAQCkT8TfV0oPWOVihTKKtORG2DQVbbFocUvGct9lN4auSIADp4Ubi\nOzm44k0mIZtMOGfYBTHVzyI6A9nCROLiMrJ00QzwG1IihYwaTqlYbZJ3FSiSY2tz1G2C51SG9OeziDMxcnEY2cHkwGSrGowydz20KPbgzTedOQCp41PafmMlb7TMmJtjU23cfCmPAQQHWIFOLWe1hg3RMtWfj1sE+Fe7Tu+/XZvT4GPSM5YQECXIzXmrhENWo+tIlnCGq01sLNPQ2Fo8qI97uAOm0kx/wkWfJLEj9dsHl7kO6D1x3YESVrr+e\nOc2xDvAStJIb4qCks2CGZDI1I2pivoqjX+JTRL
A tabela a seguir descreve os parâmetros do scanner AXIS quando SMB Share é selecionado como o método de importação:
Tabela 2. Scanner AXIS - Propriedades de SMB Share
Parâmetro Descrição
Nome do Host O endereço IP ou o nome do host do SMB Share.
Nome do usuário de login O nome de usuário que o QRadar usa para efetuar login no SMB Share.
Domínio O domínio usado para se conectar ao SMB Share.
Caminho de pasta do SMB O caminho completo para o compartilhamento a partir da raiz do host SMB. Use barras, por exemplo, /share/logs/.
Padrão de nome do arquivo A expressão regular (regex) necessária para filtrar a lista de arquivos no Diretório remoto. O padrão .*\.xml importa todos os arquivos xml no diretório remoto.

Procedimento

  1. Clique na guia Admin .
  2. Clique no ícone VA Scanners .
  3. Clique em Adicionar.
  4. No campo Nome do Scanner , digite um nome para identificar o scanner AXIS.
  5. A partir da lista Host Gerenciado , selecione uma opção que se baseia em uma das seguintes plataformas:
    • No QRadar Console, selecione o host gerenciado que é responsável por se comunicar com o dispositivo do scanner.
    • Em ' QRadar on Cloud, se o scanner estiver hospedado na nuvem, o QRadar® Console poderá ser usado como o host gerenciado. Caso contrário, selecione o gateway de dados que é responsável por se comunicar com o dispositivo do scanner.
  6. A partir da lista Tipo , selecione Axis Scanner.
  7. A partir da lista Método de Importação , selecione SFTP ou SMB Share.
  8. Configure os parâmetros.
  9. Configure um intervalo do CIDR para o scanner.
  10. Clique em Salvar.
  11. Na guia Admin , clique em Deploy Changes.

O que fazer a seguir

Para obter mais informações sobre como criar um planejamento de varredura, consulte Planejando uma varredura de vulnerabilidade.