添加 NMap 远程结果导入

远程结果导入通过 SSH 检索已完成的 NMap 扫描报告。

1. 单击 管理 选项卡。
2. 单击 VA 扫描程序 图标。
3. 单击 添加。
4. 在 扫描程序名称 字段中，输入用于标识 NMap 扫描程序的名称。
5. 从 受管主机 列表中，从用于管理扫描程序导入的 QRadar 部署中选择受管主机。
6. 从 类型 列表中，选择 Nessus 扫描程序。
7. 从 集合类型 列表中，选择 远程结果导入。
8. 在 服务器主机名 字段中，输入托管 NMap 客户机的远程系统的主机名或 IP 地址。 管理员应该在启用了 SSH 的基于 UNIX 的系统上托管 NMap。
9. 选择下列其中一个认证选项:

   选项	描述
   登录用户名	要使用用户名和密码进行认证，请执行以下操作: 在 服务器用户名 字段中，输入访问托管 NMap 客户机的远程系统所需的用户名。 在 登录密码 字段中，输入与用户名关联的密码。 密码不得包含! 字符。 此字符可能导致基于 SSH 的认证失败。 如果扫描程序配置为使用密码，那么连接到 QRadar 的 SSH 扫描程序服务器必须支持密码认证。 如果未执行此操作，那么扫描程序的 SSH 认证将失败。 确保 /etc/ssh/sshd_config 文件中显示以下行: PasswordAuthentication yes。 如果扫描仪服务器不使用OpenSSH,供应商文档了解扫描仪配置信息。
   启用密钥授权	要使用基于密钥的认证文件进行认证: 选中 启用密钥认证 复选框。 在 专用密钥文件 字段中，输入密钥文件的目录路径。 密钥文件的缺省目录为 /opt/qradar/conf/vis.ssh.key。 如果密钥文件不存在，那么必须创建 vis.ssh.key 文件。 重要信息: vis.ssh.key 文件必须具有 vis qradar 所有权。 例如 # ls -al /opt/qradar/conf/vis.ssh.key -rw ------- 1 vis qrad1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key

10. 在 远程文件夹 字段中，输入扫描结果文件的目录位置。

    Linux® 示例: /home/scans

    Windows 示例: /c:/zenmap

11. 在 远程文件模式 字段中，输入过滤远程文件夹中指定的文件列表所需的正则表达式 (regex)。 所有匹配文件都包含在处理中。
    用于检索 NMap 结果的缺省正则表达式模式为 .*\.xml。 .*\.xml 模式导入远程文件夹中的所有 xml 结果文件。
    不会从远程文件夹中删除导入和处理的扫描报告。 您应该调度 cron 作业以删除先前处理的扫描报告。
12. 要为扫描程序配置 CIDR 范围:
    1. 在文本字段中，输入您希望此扫描程序考虑的 CIDR 范围，或者单击 浏览 以从网络列表中选择 CIDR 范围。
    2. 单击 添加。
13. 启用严格 HostKey 检查选项可使目标主机的公钥与主机密钥列表参数中的条目相匹配。
    1. 在 HostKey 在现场，提供Base64编码的主机密钥。 支持的主机密钥类型是ssh-rsa.可在 Linux 或 ssh-keyscan.exe 中运行 OpenSSH ssh-keyscan 命令，或直接从目标系统的 /root/.ssh/known_hosts 或 /etc/ssh/ssh_host_rsa_key.pub 文件路径等位置获取公钥。 您必须使用Base64而不是主机名或算法。 例如：

       AAAAB3NzaC1yc2EAAAADAQABAAABAQCkT8TfV0oPWOVihTKKtORG2DQVbbFocUvGct9lN4auSIADp4Ubi\nOzm44k0mIZtMOGfYBTHVzyI6A9nCROLiMrJ00QzwG1IihYwaTqlYbZJ3FSiSY2tz1G2C51SG9OeziDMxcnEY2cHkwGSrGowydz20KPbgzTedOQCp41PafmMlb7TMmJtjU23cfCmPAQQHWIFOLWe1hg3RMtWfj1sE+Fe7Tu+/XZvT4GPSM5YQECXIzXmrhENWo+tIlnCGq01sLNPQ2Fo8qI97uAOm0kx/wkWfJLEj9dsHl7kO6D1x3YESVrr+e\nOc2xDvAStJIb4qCks2CGZDI1I2pivoqjX+JTRL

14. 单击 保存。
15. 在 " 管理 " 选项卡上，单击 部署更改。