您可以添加一个扫描仪,以定义 QRadar 收集 Security AppScan 中的哪些扫描报告。
在开始之前
如果您的 AppScan 安装设置为使用 HTTPS ,则需要服务器证书。
IBM
QRadar 支持具有以下文件扩展名的证书: .crt , .cert 或 .der。 要将证书复制到
/opt/qradar/conf/trusted_certificates 目录,请选择下列其中一个选项:
- 使用 SCP 或 SFTP 手动将证书复制到 /opt/qradar/conf/trusted_certificates 目录。
- 通过 SSH 登录到控制台或受管主机,并使用以下命令检索证书: /opt/qradar/bin/getcert.sh <IP or Hostname> <optional port -
443 default>。 然后,将从指定的主机名或 IP 下载证书,并以适当的格式将其放入 /opt/qradar/conf/trusted_certificates 目录中。
关于此任务
您可以向 QRadar添加多个 IBM
AppScan
扫描程序,每个扫描程序具有不同的配置。 多个配置使 QRadar 能够为特定结果导入 AppScan 数据。 扫描调度确定从 IBM
AppScan
Enterprise 中的 REST Web Service 导入扫描结果的频率。
过程
- 单击 管理 选项卡。
- 单击 VA 扫描程序 图标。
- 单击 添加。
- 在 扫描程序名称 字段中,输入用于标识 IBM
AppScan
企业扫描程序的名称。
- 从 受管主机 列表中,选择基于以下某个平台的选项:
- 在 QRadar
Console上,选择负责与扫描程序设备通信的受管主机。
- 在 "QRadar on Cloud上,如果扫描仪托管在云中,则QRadar®控制台可用作托管主机。 否则,请选择负责与扫描程序设备通信的数据网关。
- 从 类型 列表中,选择 HCL AppScan Scanner。
- 在ASE实例库 URL 字段中,输入 AppScan 企业实例的完整库 URL。 HTTP URL 地址支持and和。 HTTPS
示例: XML API- http://myasehostname/ase
示例: JSON API- http://myasehostname/ase/api
- 从 API 类型 列表中,选择下列其中一个选项:
- XML (在 v9.02之前) -如果 AppScan Enterprise 的版本低于 v9.02,请选择此选项。 此 API 类型使用 AppScan XML REST Web Service。
- JSON (v9.0.2 和更高版本) -如果 AppScan Enterprise 的版本为 9.02 或更高版本,请选择此选项。 此 API 类型使用 AppScan JSON REST Web Service。
- 如果选择了 XML (早于 v9.02) 作为 API 类型,请从 认证类型 列表中选择下列其中一个选项:
- Windows 认证 (AppScan Enterprise 9.0 和先前版本) -选择此选项以将 Windows 认证与 REST Web Service 配合使用。
- AppScan Enterprise Authentication -选择此选项以将 AppScan Enterprise Authentication 与 REST Web Service 配合使用。
- 在 用户名 字段中,输入用于从 AppScan Enterprise 检索扫描结果的用户名。
- 在 密码 字段中,输入用于从 AppScan Enterprise 检索扫描结果的密码。
- 在 报告名称模式 字段中,输入正则表达式 (正则表达式) 以过滤 AppScan Enterprise 中可用的漏洞报告列表。
缺省情况下, 报告名称模式 字段包含 .* 作为正则表达式模式。 .* 模式将导入发布到 QRadar的所有扫描报告。 文件模式中的所有匹配文件都由 QRadar处理。 您可以使用正则表达式模式指定一组漏洞报告或单个报告。
- 为扫描程序配置 CIDR 范围:
- 输入扫描程序的 CIDR 范围,或者单击 浏览 以从网络列表中选择 CIDR 范围。
- 单击 添加。
- 单击 保存。
- 在 " 管理 " 选项卡上,单击 部署更改。
后续步骤
现在,您已准备好为 IBM
AppScan
Enterprise 创建扫描调度。 请参阅 调度漏洞扫描