Incluindo uma importação de resultados remota do NMap
Uma importação de resultados remota recupera relatórios de varreduras NMap concluídas por meio de SSH.
Sobre esta tarefa
As varreduras devem ser geradas no formato XML usando a opção -oX no seu scanner NMap. Depois de incluir o scanner NMap, deve-se designar um planejamento de varredura para especificar a frequência em que os dados de vulnerabilidade são importados do scanner.
Procedimento
- Clique na guia Admin .
- Clique no ícone VA Scanners .
- Clique em Adicionar.
- No campo Nome do Scanner , digite um nome para identificar o seu scanner NMap.
- Na lista Host gerenciado , selecione o host gerenciado em sua implementação do QRadar que gerencia a importação do scanner.
- A partir da lista Type , selecione Nessus Scanner.
- A partir da lista Tipo de Coleta , selecione Importação de Resultados Remotos.
- No campo Server Hostname , digite o nome do host ou endereço IP do sistema remoto que hospeda o cliente NMap. Os administradores devem hospedar o NMap em um sistema baseado em UNIX com o SSH ativado.
- Escolha uma das seguintes opções de autenticação:
Opção Descrição Nome do usuário de login Para autenticar com um nome de usuário e senha:- No campo Nome do Usuário do Servidor, digite o nome do usuário necessário para acessar o sistema remoto que hospeda o cliente do NMap.
- No campo Senha de Login, digite a senha que está associada ao nome de usuário.
A senha não deve conter o caractere ! . Esse caractere pode causar falhas de autenticação pelo SSH.
Se o scanner estiver configurado para usar uma senha, o servidor do scanner SSH para o qual se conecta ao QRadar deverá suportar a autenticação de senha
Se não suportar, a autenticação SSH para o scanner falhará. Certifica-se a seguinte linha é exibida em seu arquivo /etc/ssh/sshd_config : PasswordAuthentication yes.
Se o servidor do scanner não utilizar OpenSSH, consulte a documentação do fornecedor para obter as informações de configuração do scanner.
Ativar autorização de chave Para autenticar com um arquivo de autenticação baseado em chave:- Marque a caixa de seleção Ativar autenticação de chave.
- No campo Arquivo-chave privado, digite o caminho do diretório para o arquivo-chave.
O diretório padrão para o arquivo-chave é /opt/qradar/conf/vis.ssh.key. Se um arquivo-chave não existir, você deverá criar o arquivo vis.ssh.key.Importante: O arquivo vis.ssh.key deve ter a propriedadevis qradar. Por exemplo:# ls -al /opt/qradar/conf/vis.ssh.key -rw------- 1 vis qradar 1679 Aug 7 06:24 /opt/qradar/conf/vis.ssh.key
- No campo Pasta remota , digite o local do diretório dos arquivos de resultado da varredura.
Linux® : /home/scans
Exemplo do Windows: /c:/zenmap
- No campo Padrão de Arquivo Remoto , digite uma expressão regular (regex) que é necessária para filtrar a lista de arquivos que são especificados na pasta remota. Todos os arquivos correspondentes são incluídos no processamento.O padrão regex de modelo para recuperar os resultados do NMap é .*\.xml. O padrão .*\.xml importa todos os arquivos de resultados xml na pasta remota.Os relatórios de varredura importados e processados não são excluídos da pasta remota. Deve-se planejar uma tarefa cron para excluir relatórios de varredura processados anteriormente.
- Para configurar um intervalo do CIDR para seu scanner:
- No campo de texto, digite a faixa CIDR que você deseja que este scanner considere ou clique em Procurar para selecionar um intervalo de CIDR da lista de rede.
- Clique em Adicionar.
- A opção Enable Strict HostKey Checking (Ativar verificação rigorosa ) permite que a chave pública do host de destino corresponda a uma entrada no parâmetro Host Key list (Lista de chaves do host).
- No campo HostKey campo, forneçaBase64chaves de host codificadas a serem aceitas ao se conectar ao host de destino. O tipo de chave de host suportado éssh-rsa. Essa chave pode ser obtida executando o comando OpenSSH ssh-keyscan em Linux ou ssh-keyscan.exe no Windows ou obtendo a chave pública do sistema de destino diretamente de um local como o caminho de arquivo /root/.ssh/known_hosts ou /etc/ssh/ssh_host_rsa_key.pub . Você deve usar oBase64somente o hash e não o nome do host ou o algoritmo. Por exemplo:
AAAAB3NzaC1yc2EAAAADAQABAAABAQCkT8TfV0oPWOVihTKKtORG2DQVbbFocUvGct9lN4auSIADp4Ubi\nOzm44k0mIZtMOGfYBTHVzyI6A9nCROLiMrJ00QzwG1IihYwaTqlYbZJ3FSiSY2tz1G2C51SG9OeziDMxcnEY2cHkwGSrGowydz20KPbgzTedOQCp41PafmMlb7TMmJtjU23cfCmPAQQHWIFOLWe1hg3RMtWfj1sE+Fe7Tu+/XZvT4GPSM5YQECXIzXmrhENWo+tIlnCGq01sLNPQ2Fo8qI97uAOm0kx/wkWfJLEj9dsHl7kO6D1x3YESVrr+e\nOc2xDvAStJIb4qCks2CGZDI1I2pivoqjX+JTRL
- No campo HostKey campo, forneçaBase64chaves de host codificadas a serem aceitas ao se conectar ao host de destino. O tipo de chave de host suportado éssh-rsa. Essa chave pode ser obtida executando o comando OpenSSH ssh-keyscan em Linux ou ssh-keyscan.exe no Windows ou obtendo a chave pública do sistema de destino diretamente de um local como o caminho de arquivo /root/.ssh/known_hosts ou /etc/ssh/ssh_host_rsa_key.pub . Você deve usar oBase64somente o hash e não o nome do host ou o algoritmo. Por exemplo:
- Clique em Salvar.
- Na guia Admin , clique em Deploy Changes.