添加 Nmap 远程实时扫描

QRadar 监视正在进行的实时扫描的状态，并等待 Nmap 服务器完成扫描。 扫描完成后，将通过 SSH 下载漏洞结果。

1. 单击 管理 选项卡。
2. 单击 VA 扫描程序 图标。
3. 单击 添加。
4. 在 扫描程序名称 字段中，输入用于标识 Nmap 扫描程序的名称。
5. 从 受管主机 列表中，从用于管理扫描程序导入的 QRadar 部署中选择受管主机。
6. 从 类型 列表中，选择 Nmap Scanner。
7. 从 扫描类型 列表中，选择 远程实时扫描。
8. 在 服务器主机名 字段中，输入 Nmap 服务器的 IP 地址或主机名。
9. 选择下列其中一个认证选项:

   选项	描述
   服务器用户名	要使用用户名和密码进行认证，请执行以下操作: 在 服务器用户名 字段中，输入使用 SSH 访问托管 Nmap 客户机的远程系统所需的用户名。 在 登录密码 字段中，输入与用户名关联的密码。 如果选中 操作系统检测 复选框，那么用户名必须具有 root 用户特权。
   启用密钥授权	要使用基于密钥的认证文件进行认证: 选中 启用密钥认证 复选框。 在 专用密钥文件 字段中，输入密钥文件的目录路径。 密钥文件的缺省目录为/opt/qradar/conf/vis.ssh.key。 如果密钥文件不存在，那么必须创建 vis.ssh.key 文件。 重要信息: vis.ssh.key 文件必须具有 vis qradar 所有权。 例如 # ls -al /opt/qradar/conf/vis.ssh.key -rw ------- 1 vis qrad1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key 如果扫描程序配置为使用密码，那么连接到 QRadar 的 SSH 扫描程序服务器必须支持密码认证。 如果未执行此操作，那么扫描程序的 SSH 认证将失败。 确保 /etc/ssh/sshd_config 文件中显示以下行: PasswordAuthentication yes。 如果扫描仪服务器不使用OpenSSH,供应商文档了解扫描仪配置信息。

10. 在 Nmap 可执行文件 字段中，输入 Nmap 二进制文件的完整目录路径和文件名。
    二进制文件的缺省目录路径为 /usr/bin/Nmap。
11. 选择 禁用 Ping 复选框的选项。
    在某些网络中，部分或完全禁用 ICMP 协议。 在未启用 ICMP 的情况下，您可以选中此复选框以禁用 ICMP ping ，从而提高扫描的准确性。 缺省情况下，此复选框处于未选中状态。
12. 选择 操作系统检测 复选框的选项:
    • 选中此复选框以在 Nmap中启用操作系统检测。 您必须向扫描程序提供 root 用户特权才能使用此选项。
    • 清除此复选框以在不进行操作系统检测的情况下接收 Nmap 结果。
13. 从 最大 RTT 超时 列表中，选择超时值。
    超时值确定是否应由于扫描程序与扫描目标之间的等待时间而停止或重新发出扫描。 缺省值为 300 毫秒 (ms)。 如果指定超时周期为 50 毫秒，那么建议扫描的设备位于本地网络中。 远程网络中的设备可以使用超时值 1 秒。
14. 从 计时模板 列表中选择选项。 选项包含：
    • 偏执-此选项生成缓慢的非侵入性评估。
    • Sneaky-此选项生成缓慢的非侵入性评估，但在两次扫描之间等待 15 秒。
    • Polite-此选项比正常速度慢，旨在缓解网络上的负载。
    • Normal-此选项是标准扫描行为。
    • 积极-此选项比正常扫描更快，资源更密集。
    • 疯狂-此选项不像较慢的扫描那么准确，仅适用于非常快速的网络。
15. 在 CIDR 掩码 字段中，输入扫描的子网的大小。
    为掩码指定的值表示扫描程序一次可以扫描的子网的最大部分。 掩码对扫描分段以优化扫描性能。
16. 要为扫描程序配置 CIDR 范围:
    1. 在文本字段中，输入您希望此扫描程序考虑的 CIDR 范围，或者单击 浏览 以从网络列表中选择 CIDR 范围。
    2. 单击 添加。
17. 单击 保存。
18. 在 " 管理 " 选项卡上，单击 部署更改。