Adición de un explorador de vulnerabilidades Beyond Security AVDS

Los dispositivos Beyond Security Automated Vulnerability Detection System (AVDS) crean datos de vulnerabilidad en el formato AXIS (Asset Export Information Source). Los archivos con formato AXIS se pueden importar mediante archivos XML que se puedan importar.

Acerca de esta tarea

Para integrar correctamente vulnerabilidades de Beyond Security AVDS con QRadar, debe configurar el dispositivo de Beyond Security AVDS para publicar datos de vulnerabilidad en un archivo de resultados XML con formato AXIS. Los datos de vulnerabilidad XML deben publicarse en un servidor remoto al que se pueda acceder a través de SFTP (protocolo de transferencia segura de archivos). El término servidor remoto hace referencia a cualquier dispositivo, host de terceros o ubicación de almacenamiento de red que pueda alojar los archivos XML de resultados de la exploración publicados.

Los resultados XML más recientes que contienen vulnerabilidades de Beyond Security AVDS se importan cuando comienza una planificación de exploración. Las planificaciones de exploración determinan la frecuencia con la que se importan los datos de vulnerabilidad creados por Beyond Security AVDS. Después de añadir el dispositivo Beyond Security AVDS a QRadar, cree una planificación de exploración para importar los archivos de resultados de la exploración. Las vulnerabilidades de la planificación de exploración actualizan la pestaña Activos una vez finalizada la planificación de exploración.

Procedimiento

  1. Pulse la pestaña Admin .
  2. Pulse el icono Exploradores VA .
  3. Pulse Añadir.
  4. En el campo Nombre de explorador , escriba un nombre para identificar el explorador Beyond Security AVDS.
  5. En la lista Host gestionado , seleccione una opción que se base en una de las plataformas siguientes:
    • En QRadar Console, seleccione el host gestionado responsable de la comunicación con el dispositivo de explorador.
    • En ' QRadar on Cloud, si el escáner está alojado en la nube, se puede utilizar la consola deQRadar® como host gestionado. De lo contrario, seleccione la pasarela de datos que es responsable de comunicarse con el dispositivo de escáner.
  6. En la lista Tipo , seleccione Más allá de la seguridad AVDS.
  7. En el campo Nombre de host remoto , escriba la dirección IP o el nombre de host del sistema que contiene los resultados de exploración publicados del explorador Beyond Security AVDS.
  8. Elija una de las opciones de autenticación siguientes:
    Opción Descripción
    Login Username
    Para la autenticación con un nombre de usuario y una contraseña:
    1. En el campo Login Username, escriba un nombre de usuario que tenga acceso para recuperar los resultados de la exploración del host remoto.
    2. En el campo Login Password, escriba la contraseña que está asociada con el nombre de usuario.
    Enable Key Authorization
    Para la autenticación con un archivo de autenticación basado en clave:
    1. Seleccione la casilla de verificación Enable Key Authentication.
    2. En el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves.

    El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh.key.

    Si no existe un archivo de claves, debe crear el archivo vis.ssh.key.
    Importante: El archivo vis.ssh.key debe tener la propiedad vis qradar . Por ejemplo:
    # ls -al /opt/qradar/conf/vis.ssh.key
-rw------- 1 vis qradar 1679 Aug  7 06:24 /opt/qradar/conf/vis.ssh.key
  9. En el campo Directorio remoto , escriba la ubicación del directorio de los archivos de resultados de la exploración.
  10. En el campo Patrón de nombre de archivo , escriba una expresión regular (regex) para filtrar la lista de archivos especificados en el directorio remoto. Todos los archivos coincidentes se incluyen en el proceso.

    El valor predeterminado es .*\.xml. El patrón .*\.xml importa todos los archivos xml del directorio remoto.

  11. En el campo Max Reports Age (Days) , escriba la antigüedad máxima del archivo de resultados de la exploración. Los archivos que sean más antiguos que los días y la indicación de fecha y hora que están especificados en el archivo de informe se excluyen cuando se inicia la exploración planificada. El valor predeterminado es de 7 días.
  12. Para configurar la opción Ignorar duplicados :
    • Seleccione esta casilla de verificación para realizar el seguimiento de los archivos que una planificación de exploración ya ha procesado. Esta opción impide que un archivo de resultados de exploración se procese por segunda vez.
    • Deseleccione esta casilla de verificación para importar los resultados de la exploración de vulnerabilidades cada vez que se inicia la planificación de la exploración. Esta opción puede hacer que haya varias vulnerabilidades asociadas con un mismo activo.
    Si un archivo de resultados no se explora en un plazo de 10 días, el archivo se elimina de la lista de seguimiento y se procesa la siguiente vez que se inicia la planificación de exploración.
  13. Para configurar un rango de CIDR para su explorador:
    1. Escriba el rango de CIDR para la exploración o pulse Examinar para seleccionar un rango de CIDR en la lista de redes.
    2. Pulse Añadir.
  14. Pulse Guardar.
  15. En la pestaña Admin , pulse Desplegar cambios.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración. Consulte Planificación de una exploración de vulnerabilidades.