HCL BigFix 集成

IBM QRadar Vulnerability ManagerHCL BigFix 集成,以帮助您对可修复的漏洞进行过滤和划分优先级。

为何将 BigFix 功能与漏洞管理配合使用?

BigFix 以前称为 IBM Security Endpoint Manager,提供 IT 操作与安全性之间的共享可视性和控制。 BigFix QRadar Vulnerability Manager 发送到。 BigFix 小修复包是您部署到资产或端点的软件包,用于修复特定漏洞。 您可以从 BigFix 控制台上的 管理易受攻击的计算机 仪表板将 Fixlet 同时部署到许多资产或端点。

BigFix 控制台上使用 管理易受攻击的计算机 来管理和控制跨任何地理位置的一系列平台和设备的数十万个资产或端点的网络。

如何使用 BigFix来修复漏洞?

BigFix 提供了与 QRadar Vulnerability Manager集成的仪表板。 在 BigFix 控制台上使用此仪表板可查看和补救 QRadar Vulnerability Manager检测到并发送的漏洞。

要在 BigFix 控制台中查看 QRadar Vulnerability Manager 漏洞数据,请配置 QRadar Vulnerability Manager,然后配置 BigFix 以处理从 QRadar Vulnerability Manager发送的漏洞数据。 有关配置BigFix 的信息,请参阅《IBM® BigFix QRadar®用户指南》

QRadar Vulnerability ManagerBigFix 如何协同工作?

QRadar Vulnerability Manager 会扫描资产或端点以查找漏洞,并分配风险分数,该分数表示漏洞对组织构成的风险级别。 QRadar Vulnerability Manager 使用 BigFix 适配器中的风险评分参数来过滤要发送到 BigFix 以进行补救的高风险漏洞。 QRadar Vulnerability Manager 向其发送到 BigFix的每个漏洞分配一个 CVE 标识。

了解有关如何识别和处理漏洞数据的更多信息:
以下列表描述了 QRadar Vulnerability ManagerBigFix 如何处理 CVE (常见漏洞和风险) 所标识的漏洞数据
  • QRadar Vulnerability Manager 仅将具有 CVE 标识的漏洞发送到 BigFix
  • QRadar Vulnerability Manager 将与单个漏洞关联的所有 CVE 标识发送到 BigFix。 某些漏洞可能具有许多 CVE 标识。
  • 当该 CVE 显示两个或更多漏洞时, QRadar Vulnerability Manager 仅将风险分数最高的 CVE 发送到 BigFix

    例如,以下 CVE 标识 2016-0015 显示了两个不同的漏洞。 只有具有高风险漏洞的 CVE 才会发送到 BigFix

    { 
Name: CVE-2016-0015 
- MS16-007 - Microsoft - DirectShow - Code Execution Issue
Vulnerability ID: 169296 
CVE: 2016-0015 
Risk: High 

Name: Microsoft Windows DirectShow code execution 
Vulnerability ID: 169243 
CVE: 2016-0015 
Risk: Medium 
}

BigFixQRadar Vulnerability Manager接收具有风险评分和 CVE 标识的漏洞数据,此数据在 BigFix 管理易受攻击的计算机 仪表板上可视。 使用 BigFix 控制台上的 管理易受攻击的计算机 仪表板可查看和管理 QRadar Vulnerability Manager发送的漏洞。 BigFix 通过将修复程序直接应用到资产或端点,修复其具有修复程序的高风险漏洞。 QRadar Vulnerability Manager 通过使用 SOAP API 从 BigFix Web 报告获取漏洞修订状态更新。

如何将 BigFix 扩展至 QRadar Risk Manager?

如果您具有 QRadar Risk Manager 安装,那么可以使用 QRadar Risk Manager 中的风险策略来进一步优化资产风险评分。 当您在 QRadar Risk Manager 中定义的风险策略通过或失败时,将调整 QRadar Vulnerability Manager 中的漏洞风险评分。 您可以重新确定需要立即关注的漏洞的优先级。 如果将风险策略应用于 QRadar Risk Manager中的资产,那么将调整该资产上所有漏洞的风险评分。 有关更多信息,请参阅 QRadar Risk Manager 用户指南。

漏洞修复

根据您是否已安装和集成 BigFixQRadar Vulnerability Manager 提供了有关漏洞的以下信息。
如果未安装 BigFix
QRadar Vulnerability Manager 提供有关可用修订的漏洞的每日更新。

QRadar Vulnerability Manager 维护漏洞修订信息的列表。 修订信息与已知漏洞目录相关。

使用 QRadar Vulnerability Manager 中的搜索来识别具有可用修订的漏洞。

如果已安装 BigFix
QRadar Vulnerability Manager 还提供了有关漏洞修订过程的特定详细信息。 例如,可能已调度修订,或者资产可能已修复。

BigFix 服务器从每个 BigFix 代理程序收集修订信息。 QRadar Vulnerability Manager 按预先配置的时间间隔从 BigFix 服务器获取有关漏洞修订信息的更新。

使用 QRadar Vulnerability Manager 中的搜索来识别调度为已修复或已修复的漏洞。

集成组件

典型集成部署由以下组件组成:
  • IBM QRadar 控制台。
  • QRadar Vulnerability Manager.
  • BigFix 服务器。
  • 网络中每个扫描目标上的 BigFix 代理程序。