您可以添加一个扫描器,通过 SNMP 从 eEye REM 或 CS Retina 扫描器收集漏洞数据。
在开始之前
要使用 CVE 标识符和描述,您必须将 audits.xml 文件从 eEye REM 扫描器复制到负责监听 SNMP 数据的受管主机上。 如果受管主机位于分布式部署中,那么必须首先将 audits.xml 复制到控制台,并将该文件 SSH 到受管主机上的 /opt/qradar/conf/audits.xml 。 eEyeaudits.xml 扫描仪中 的默认位置是 %ProgramFiles(x86)%\eEye
Digital Security\Retina CS\Applications\RetinaManager\Database\audits.xml。要接收最新的 CVE 信息,请定期使用最新的 audits.xml 文件更新 QRadar 。
过程
- 单击 管理 选项卡。
- 单击 VA 扫描程序 图标。
- 单击 添加。
- 在 扫描程序名称 字段中,输入用于标识 SecureScout 服务器的名称。
- 从 受管主机 列表中,选择基于以下某个平台的选项:
- 在 QRadar
Console上,选择负责与扫描程序设备通信的受管主机。
- 在 "QRadar on Cloud上,如果扫描仪托管在云中,则QRadar®控制台可用作托管主机。 否则,请选择负责与扫描程序设备通信的数据网关。
- 从 类型 列表中,选择 eEye REM Scanner。
- 从 “导入类型 ”列表中,选择“ SNMP ”。
- 在 基本目录 字段中,输入用于存储包含 eEye REM 扫描数据的临时文件的位置。
缺省目录为 /store/tmp/vis/eEye/。
- 在 “缓存大小 ”字段中,输入在将 SNMP 数据写入临时文件之前,希望存储在缓存中的事务数量。 缺省值为 40。
缺省值为 40 个事务。
- 在 保留期 字段中,输入系统存储扫描信息的时间段 (以天计)。
如果扫描调度在保留期到期之前未导入数据,那么将删除高速缓存中的扫描信息。
- 选中 使用漏洞数据 复选框以将 eEye 漏洞与常见漏洞和风险 (CVE) 标识和描述信息关联。
.
- 在 漏洞数据文件 字段中,输入 eEye audits.xml 文件的目录路径。
- 在“监听端口 ”字段中,输入用于监听来自您的 eEye REM 扫描器的 SNMP 漏洞信息的端口号。
缺省端口为 1162。
- 在 源主机 字段中,输入 eEye 扫描程序的 IP 地址。
- 在“ SNMP ”版本列表中,选择“ SNMP ”协议版本。
缺省协议为 SNMPv2。
- 在 “社区字符串 ”字段中,输入适用于 SNMPv2 协议的 SNMP 社区字符串,例如: Public
- 从 认证协议 列表中,选择用于认证 SNMPv3 陷阱的算法。
- 在 认证密码 字段中,输入要用于认证 SNMPv3 通信的密码。
密码必须至少包含 8 个字符。
- 从 加密协议 列表中,选择 SNMPv3 解密算法。
- 在 加密密码 字段中,输入用于解密 SNMPv3 陷阱的密码。
- 要为扫描程序配置 CIDR 范围:
- 输入扫描的 CIDR 范围,或者单击 浏览 以从网络列表中选择 CIDR 范围。
- 单击 添加。
- 单击 保存。
- 在 " 管理 " 选项卡上,单击 部署更改。
后续步骤
请选择下列其中一个选项:
- 如果您未使用 SNMPv3 或仅使用低级别的 SNMP 加密,现在即可创建扫描计划。 请参阅 调度漏洞扫描。
- 如果 SNMPv3 配置使用 AES192 或 AES256 加密,那么必须在接收 SNMPv3 陷阱的每个控制台或受管主机上安装不受限制的 Java™ 密码术扩展。 请参阅 在 QRadar上安装 Java 密码术扩展。