您可以新增掃描器,以定義 QRadar®在 IBM® Security AppScan® 中收集哪些掃描報告。
在開始之前
如果您的 AppScan 安裝設定為使用 HTTP ,則需要伺服器憑證。
IBM
QRadar 支援具有下列副檔名的憑證: .crt、.cert 或 .der。 若要將憑證複製到
/opt/qradar/conf/trusted_certificates 目錄,請選擇下列其中一個選項:
- 使用 SCP 或 SFTP 將憑證手動複製到 /opt/qradar/conf/trusted_certificates 目錄。
- 透過 SSH 登入主控台或受管理主機,並使用下列指令來擷取憑證: /opt/qradar/bin/getcert.sh <IP or Hostname> <optional port -
443 default>。 然後會從指定的主機名稱或 IP 下載憑證,並以適當的格式放置在 /opt/qradar/conf/trusted_certificates 目錄中。
關於此作業
您可以將多個 IBM AppScan 掃描器新增至 QRadar,每一個掃描器都有不同的配置。 多項配置可讓 QRadar 能夠匯入 AppScan 資料,以取得特定結果。 掃描排程決定從 IBM AppScan Enterprise 中 REST Web 服務匯入掃描結果的頻率。
程序
- 按一下 管理 標籤。
- 按一下 VA 掃描器 圖示。
- 按一下 新增。
- 在 掃描器名稱 欄位中,輸入用來識別 IBM AppScan Enterprise 掃描器的名稱。
- 從 受管理主機 清單中,選取基於下列其中一個平台的選項:
- 在 QRadar
Console上,選取負責與掃描器裝置通訊的受管理主機。
- 在 QRadar on Cloud上,如果在雲端中管理掃描器,則可以使用 QRadar 主控台 作為受管理主機。 否則,請選取負責與掃描器裝置通訊的資料閘道。
- 從 類型 清單中,選取 IBM AppScan 掃描器。
- 在 ASE 實例基本 URL 欄位中,輸入 AppScan Enterprise 實例的完整基本 URL。 URL 位址中支援 HTTP 和 HTTP。
範例: XML API- http://myasehostname/ase
範例: JSON API- http://myasehostname/ase/api
- 從 API 類型 清單中,選取下列其中一個選項:
- XML ( v9.02之前) -如果您的 AppScan Enterprise 版本早於 v9.02,請選取這個選項。 此 API 類型使用 AppScan XML REST Web 服務。
- JSON (v9.0.2 以及更新版本) -如果您的 AppScan Enterprise 版本是 9.02 版或更新版本,請選取這個選項。 此 API 類型使用 AppScan JSON REST Web 服務。
- 如果您選取 XML ( v9.02) 作為 API 類型,請從 鑑別類型 清單中選取下列其中一個選項:
- Windows 鑑別 (AppScan Enterprise 9.0 及先前版本) -選取此選項以搭配使用「Windows 鑑別」與 REST Web 服務。
- AppScan 企業鑑別 -選取此選項,以搭配使用 AppScan Enterprise 鑑別與 REST Web 服務。
- 在 使用者名稱 欄位中,輸入使用者名稱以從 AppScan Enterprise 擷取掃描結果。
- 在 密碼 欄位中,輸入密碼以從 AppScan Enterprise 擷取掃描結果。
- 在 報告名稱型樣 欄位中,輸入正規表示式 (regex) 來過濾 AppScan Enterprise 提供的漏洞報告清單。
依預設, 報告名稱型樣 欄位包含 .* 作為正規表示式型樣。 .* 型樣會匯入所有已發佈至 QRadar的掃描報告。 QRadar會處理檔案型樣中的所有相符檔案。 您可以使用正規表示式型樣來指定一組漏洞報告或個別報告。
- 配置掃描器的 CIDR 範圍:
- 鍵入掃描器的 CIDR 範圍,或按一下 瀏覽 以從網路清單中選取 CIDR 範圍。
- 按一下 新增。
- 按一下 儲存。
- 在 管理 標籤上,按一下 部署變更。
下一步做什麼
現在您已準備好建立 IBM AppScan Enterprise 的掃描排程。 請參閱 排定漏洞掃描