新增 Nmap 遠端即時掃描

QRadar® 會監視進行中即時掃描的狀態，並等待 Nmap 伺服器完成掃描。 掃描完成之後，會透過 SSH 下載漏洞結果。

1. 按一下 管理 標籤。
2. 按一下 VA 掃描器 圖示。
3. 按一下 新增。
4. 在 掃描器名稱 欄位中，鍵入名稱以識別 Nmap 掃描器。
5. 從 受管理主機 清單中，從 QRadar 部署中選取管理掃描器匯入的受管理主機。
6. 從 類型 清單中，選取 Nmap 掃描器。
7. 從 掃描類型 清單中，選取 遠端即時掃描。
8. 在 伺服器主機名稱 欄位中，鍵入 Nmap 伺服器的 IP 位址或主機名稱。
9. 選擇下列其中一個鑑別選項:

   選項	說明
   伺服器使用者名稱	如果要以使用者名稱和密碼來鑑別，請執行下列動作: 在 伺服器使用者名稱 欄位中，輸入使用 SSH 存取管理 Nmap 用戶端之遠端系統所需的使用者名稱。 在 登入密碼 欄位中，輸入與使用者名稱相關聯的密碼。 如果選取 OS 偵測 勾選框，則使用者名稱必須具有 root 專用權。
   啟用金鑰授權	如果要使用金鑰型鑑別檔案進行鑑別，請執行下列動作: 選取 啟用金鑰鑑別 勾選框。 在 私密金鑰檔 欄位中，鍵入金鑰檔的目錄路徑。 金鑰檔的預設目錄為/opt/qradar/conf/vis.ssh.key。 如果金鑰檔不存在，您必須建立 vis.ssh.key 檔。 重要事項: vis.ssh.key 檔案必須具有 vis qradar 所有權。 例如： # ls -al /opt/qradar/conf/vis.ssh.key -rw ------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key 如果掃描器配置為使用密碼，則連接至 QRadar 的 SSH 掃描器伺服器必須支援密碼鑑別。 如果沒有，掃描器的 SSH 鑑別會失敗。 確保 /etc/ssh/sshd_config 檔案中顯示下列行: PasswordAuthentication yes。 如果您的掃描器伺服器不使用 OpenSSH，請參閱供應商說明文件，以取得掃描器配置資訊。

10. 在 Nmap 執行檔 欄位中，輸入 Nmap 二進位檔的完整目錄路徑和檔名。
    二進位檔的預設目錄路徑為 /usr/bin/Nmap。
11. 選取 停用連線測試 勾選框的選項。
    在部分網路中， ICMP 通訊協定已局部或完全停用。 在未啟用 ICMP 的情況下，您可以選取此勾選框來停用 ICMP 連線測試，以加強掃描的精確度。 依預設，勾選框會清除。
12. 選取 OS 偵測 勾選框的選項:
    • 選取此勾選框，以在 Nmap中啟用作業系統偵測。 您必須提供具有 root 專用權的掃描器，才能使用此選項。
    • 清除此勾選框以接收 Nmap 結果，而不偵測作業系統。
13. 從 RTT 逾時上限 清單中，選取逾時值。
    逾時值決定掃描是否應因掃描器與掃描目標之間的延遲而停止或重新發出。 預設值為 300 毫秒 (毫秒)。 如果您指定逾時期間為 50 毫秒，則建議掃描的裝置位於本端網路中。 遠端網路中的裝置可以使用逾時值 1 秒。
14. 從 計時範本 清單中選取選項。 選項包括：
    • 偏執狂-此選項會產生緩慢、非侵擾性的評量。
    • 偷偷摸摸-這個選項會產生慢速、非侵入性評量，但在掃描之間會等待 15 秒。
    • 禮貌-此選項比一般選項慢，旨在減輕網路上的負載。
    • 一般-此選項是標準掃描行為。
    • 積極-此選項比一般掃描更快速且資源密集。
    • 瘋狂-此選項不像較慢的掃描那麼精確，僅適用於非常快速的網路。
15. 在 CIDR 遮罩 欄位中，輸入所掃描子網路的大小。
    指定給遮罩的值代表掃描器一次可以掃描的子網路最大部分。 遮罩會區隔掃描，以最佳化掃描效能。
16. 若要配置掃描器的 CIDR 範圍:
    1. 在文字欄位中，鍵入您要此掃描器考量的 CIDR 範圍，或按一下 瀏覽 以從網路清單中選取 CIDR 範圍。
    2. 按一下 新增。
17. 按一下 儲存。
18. 在 管理 標籤上，按一下 部署變更。