Nmap uzak canlı taramasını ekleme

QRadar® , devam etmekte olan canlı taramanın durumunu izler ve Nmap Server 'ın taramayı tamamlamayı bekler. Tarama tamamlandıktan sonra, güvenlik açığı sonuçları SSH üzerinden aşağı yüklenir.

Bu görev hakkında

Several types of Nmap port scans require Nmap to run as a root user. Bu nedenle QRadar , kök olarak erişime sahip olmalı ya da OS Detection (İşletim Sistemi Algılaması) onay kutusunu temizlemeniz gerekir. Nmap taramalarını OS Detection enabled ile çalıştırmak için, tarayıcıyı eklediğinizde QRadar ' a kök erişimi kimlik bilgileri sağlamanız gerekir. Diğer bir seçenek olarak, denetimcinizin Nmap ikili dosyasını setuid köküne sahip bir ikili olarak yapılandırabilrsiniz. Ek bilgi için Nmap yöneticinize bakın.

Kısıtlama: Her bir QRadar anasisteminde bir NMap ikili olmasına rağmen, yalnızca iç QRadar kullanımı için ayrılmış olur. Uzak NMap tarayıcısı olarak bir QRadar Console ya da QRadar yönetilen anasistemi kullanmak için bir NMap güvenlik açığı tarayıcısı yapılandırılırken, bir NMap güvenlik açığı tarayıcısı desteklenmez ve bir instabilitelere neden olabilir.

İşlem

  1. Admin (Yönetici) sekmesini tıklatın.
  2. VA Tarayıcıları simgesini tıklatın.
  3. Ekledüğmesini tıklatın.
  4. Tarayıcı Adı alanında, Nmap tarayıcısını tanımlamak için bir ad yazın.
  5. Managed Host (Yönetilen Anasistem) listesinde, tarayıcı içe aktarmayı yöneten QRadar dağıtımınızdan yönetilen anasistemi seçin.
  6. Tip listesinden Nmap Scannerseçeneğini belirleyin.
  7. Tarama Tipi listesinde Remote Live Scan(Uzak Canlı Tarama) seçeneğini belirleyin.
  8. Sunucu Ana Makine Adı alanında, Nmap sunucusunun IP adresini ya da ana makine adını yazın.
  9. Aşağıdaki kimlik doğrulama seçeneklerinden birini seçin:
    Seçenek Açıklama
    Sunucu Kullanıcı Adı
    Bir kullanıcı adı ve parolayla kimlik doğrulaması yapmak için:
    1. Sunucu Kullanıcı Adı alanında, SSH kullanarak Nmap istemcisine sahip uzak sisteme erişmek için gereken kullanıcı adını yazın.
    2. Login Password (Oturum Açma Parolası) alanında, kullanıcı adıyla ilişkili parolayı yazın.

    İşletim Sistemi Algılaması onay kutusu seçiliyse, kullanıcı adının kök ayrıcalıkları olmalıdır.
    Anahtar Yetkilendirmesini Etkinleştir
    Anahtar tabanlı bir kimlik doğrulama dosyası ile kimlik doğrulaması yapmak için:
    1. Anahtar Doğrulamasını Etkinleştir onay kutusunu seçin.
    2. Private Key File (Özel Anahtar Dosyası) alanına, anahtar dosyasının dizin yolunu yazın.
    Anahtar dosyası için varsayılan değer/opt/qradar/conf/vis.ssh.keydizinidir. Anahtar dosyası yoksa, vis.ssh.key dosyasını yaratmalısınız.
    Önemli: vis.ssh.key dosyasının vis qradar sahiplik olması gerekir. Örneğin,
    # ls -al /opt/qradar/conf/vis.ssh.key
-rw ------- 1 visual qradar 1679 aug 7 06:24 /opt/qradar/conf/vis.ssh.key

    Tarayıcı bir parola kullanmak üzere yapılandırıldıysa, QRadar ile bağlantı kuran SSH tarayıcı sunucusunun parola kimlik doğrulamasını desteklemesi gerekir.

    Doğru değilse, tarayıcı için SSH kimlik doğrulaması başarısız olur. /etc/ssh/sshd_config dosyanızınfollowingdosyasında aşağıdaki satırın görüntülendiğinden emin olun: PasswordAuthentication yes.

    Tarayıcı sunucunuz OpenSSH' yi kullanmıyorsa, tarayıcı yapılandırma bilgilerine ilişkin satıcı belgelerine bakın.
  10. Nmap Executable alanında, Nmap ikili dosyasının tam dizin yolunu ve dosya adını yazın.
    İkili dosyanın varsayılan dizin yolu şudur: /usr/bin/Nmap.
  11. Ping Ping 'i Devre Dışı Bırak onay kutusunu seçin.
    Bazı ağlarda, ICMP protokolü kısmen ya da tamamen geçersiz kılınmaktadır. ICMP 'nin etkinleştirilmediği durumlarda, bu onay kutusunu seçerek, taramanın doğruluğunu artırmak için ICMP ping' lerini devre dışı bırakabilirsiniz. Varsayılan olarak onay kutusu işaretli değildir.
  12. OS Detection (İşletim Sistemi Algılaması) onay kutusu için bir seçenek belirleyin:
    • Select this check box to enable operating system detection in Nmap. Bu seçeneği kullanmak için tarayıcıyı root ayrıcalıklarıyla sağlamanız gerekir.
    • İşletim sistemi algılaması olmadan Nmap sonuçlarını almak için bu onay kutusundaki işareti kaldırın.
  13. Max RTT Timeout (RTT zaman aşımı sayısı üst sınırı) listesinde bir zamanaşımı değeri seçin.
    Zamanaşımı değeri, tarayıcı ile tarama hedefi arasındaki gecikme süresi nedeniyle bir taramanın durdurulması ya da yeniden yayınlanabilmesinin gerekip gerekmediğini belirler. Varsayılan değer 300 milisaniyedir (ms). 50 milisaniyeden bir zamanaşımı süresi belirtirseniz, taranan aygıtların yerel ağda olmasını öneriyoruz. Uzak ağlardaki aygıtlar, 1 saniye zamanaşımı değerini kullanabilir.
  14. Zamanlama Şablonu listesinden bir seçenek seçin. Seçenekler şunları içerir:
    • Paranoid-Bu seçenek, yavaş, izinsiz olmayan bir değerlendirme üretir.
    • Sinsi-Bu seçenek, yavaş, izinsiz olmayan bir değerlendirme üretir, ancak taramalar arasında 15 saniye bekler.
    • Kibar-Bu seçenek normalden daha yavaş ve ağ üzerindeki yükü hafifletemeyi amaçlatır.
    • Olağan-Bu seçenek, standart tarama davranışıdır.
    • Agresif-Bu seçenek, normal bir tarama ve daha fazla kaynak yoğunluğundan daha hızlıdır.
    • Deli-Bu seçenek, yavaş taramalar kadar doğru değildir ve yalnızca çok hızlı ağlar için uygundur.
  15. CIDR Mask (CIDR Maskesi) alanına, taranan alt ağın boyutunu yazın.
    Maske için belirtilen değer, tarayıcının bir kerede tarayabileceği alt ağın en büyük bölümünü temsil eder. Maske, tarama performansını en iyi duruma getirmek için taramayı kesir.
  16. Tarayıcınız için CIDR aralığını yapılandırmak için:
    1. Metin alanında, bu tarayıcının göz önünde bulundurmasını istediğiniz CIDR aralığını yazın ya da ağ listesinden CIDR aralığını seçmek için Göz At düğmesini tıklatın.
    2. Ekledüğmesini tıklatın.
  17. Kaydetdüğmesini tıklatın.
  18. Admin sekmesinde Deploy Changes(Değişiklikleri Devreye Al) seçeneğini tıklatın.

Sonra ne yapılmalı

Artık bir tarama zamanlaması oluşturmak için hazırsınız. Bkz. Güvenlik açığı taramasının zamanlanması