• No se han encontrado resultados

QRadar puede recuperar informes de exploración de vulnerabilidades acerca de los activos de la red mediante la relación de cliente y servidor de Nessus o mediante la API Nessus XMLRPC para acceder a los datos de exploración directamente desde Nessus.

Cuando se configura el cliente Nessus, los administradores pueden crear una cuenta de usuario de Nessus para el sistema de QRadar. Una cuenta de usuario exclusiva garantiza que QRadar posee las credenciales necesarias para iniciar la sesión y comunicarse con el servidor de Nessus. Después de que el administrador crea la cuenta de usuario, una prueba de la conexión de QRadar con el cliente de Nessus con SSH puede verificar las credenciales de usuario y el acceso remoto. De este modo se garantiza que cada sistema pueda comunicarse antes de intentar recopilar datos de exploración o iniciar una exploración en tiempo real. La API Nessus XMLRPC solo está disponible en los servidores y clientes de Nessus con el software de la versión 4.2 y versiones posteriores.

Nota: Los administradores no deben instalar software Nessus en un sistema crítico debido a los requisitos de CPU cuando las exploraciones están activas.

Las opciones siguientes están disponibles para la recopilación de datos de información de vulnerabilidades de los exploradores Nessus:

v Exploración en tiempo real planificada. Las exploraciones en tiempo real permiten que las exploraciones predefinidas se inicien remotamente sobre SSH en Nessus y que los datos se importen al final de la exploración. Consulte el apartado “Adición de una exploración en tiempo real de Nessus”.

v Importaciones de la API de exploración en tiempo real. La API XMLRPC

permite que las exploraciones predefinidas se inicien remotamente y se recopilen de forma activa. Consulte el apartado “Adición de una exploración en tiempo real de Nessus con la API XMLRPC” en la página 43.

v Importaciones de resultados planificadas. Los archivos de resultados estáticos de las exploraciones completadas se importan desde un repositorio a través de SSH que contiene los resultados de exploración de Nessus. Consulte el apartado “Adición de una importación de resultados planificada de Nessus” en la página 45.

v Importación de API de informes completados planificados. La API XMLPRC permite que los informes completados se importen desde el servidor de Nessus. Consulte el apartado “Adición de una importación de informes completados de Nessus con la API XMLRPC” en la página 47.

Adición de una exploración en tiempo real de Nessus

Una exploración en tiempo real se ejecuta en el servidor de Nessus e importa los datos de resultados desde un directorio temporal del cliente de Nessus que contiene los datos de informe de exploración.

Antes de empezar

Antes de añadir este explorador, se necesita un certificado de servidor para dar soporte a las conexiones HTTPS. QRadar da soporte a los certificados con las

extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio /opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:

v Copie manualmente el certificado en el directorio /opt/qradar/conf/ trusted_certificatesmediante SCP o SFTP.

v Abra una sesión de SSH en la consola o el host gestionado y recupere el

certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre de host> <puerto opcional - valor predeterminado 443>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.

Procedimiento

1. Pulse la pestaña Admin.

2. Pulse el icono Exploradores de evaluación de vulnerabilidades. 3. Pulse Añadir.

4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador Nessus.

5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.

6. En la lista Tipo, seleccione Nessus Scanner.

7. En la lista Collection Type, seleccione Scheduled Live Scan - XMLRPC API. 8. En el campo Hostname, escriba la dirección IP o el nombre de host del

servidor de Nessus.

9. En el campo Port, escriba el número de puerto del servidor de Nessus. El valor del puerto de API predeterminado es 8843.

10. En el campo Server Username, escriba el nombre de usuario que accederá al servidor de Nessus.

11. En el campo Server Password, escriba la contraseña para acceder al servidor de Nessus. La contraseña del servidor de Nessus no debe contener el signo de exclamación (!); de lo contrario podrían producirse errores de autenticación a través de SSH.

12. En el campo Client Temp Dir, escriba la vía de acceso del directorio del cliente de Nessus que QRadar puede utilizar para almacenar los archivos temporales. QRadar utiliza el directorio temporal del cliente de Nessus como ubicación de lectura y escritura para cargar los destinos de exploración y leer los resultados de exploración. Los archivos temporales se eliminarán del directorio temporal del cliente cuando la exploración finalice y el informe de exploración se descargue. La vía de acceso del directorio predeterminada en el cliente de Nessus es /tmp.

13. En el campo Nessus Executable, escriba la vía de acceso del directorio del archivo ejecutable en el servidor de Nessus. De forma predeterminada, la vía de acceso del directorio del archivo ejecutable es /usr/bin/nessus.

14. En el campo Nessus Configuration File, escriba la vía de acceso del directorio del archivo de configuración de Nessus en el cliente de Nessus.

15. En el campo Client Hostname, escriba el nombre de host o la dirección IP del cliente de Nessus.

16. En el campo Client SSH Port, escriba el número del puerto SSH del servidor de Nessus que se puede utilizar para recuperar los archivos de resultados de exploración. El valor predeterminado es el puerto 22.

17. En el campo Client Username, escriba el nombre de usuario para autenticar la conexión SSH.

18. En el campo Client Password, escriba la contraseña que corresponde al campo

Client Username. Si el campo Enable Key Authentication está habilitado, la contraseña se pasa por alto. Si el explorador está configurado para utilizar una contraseña, el servidor de exploración SSH al que QRadar se conecta debe dar soporte a la autenticación de contraseña. Si no es así, la autenticación SSH para el explorador falla. Asegúrese de que la línea siguiente aparece en el archivo /etc/ssh/sshd_config: PasswordAuthentication yes. Si el servidor de exploración no utiliza OpenSSH, consulte la documentación del proveedor para obtener información sobre la configuración del explorador.

19. Si el sistema utiliza la autenticación de clave, seleccione la casilla de verificación Enable Key Authentication.

20. Para los sistemas de autenticación de clave: en el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves. El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh.key. Si no existe un archivo de claves, debe crear el archivo vis.ssh.key.

21. En el campo CIDR Mask, escriba el tamaño de la subred explorada. El valor que se especifica para la máscara representa la parte más grande de la subred que el explorador puede explorar de una sola vez. La máscara segmenta la exploración para optimizar el rendimiento de la exploración.

22. Para configurar un rango de CIDR para su explorador:

a. En el campo de texto, escriba el rango de CIDR que desea que este

explorador tenga en cuenta o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.

b. Pulse Añadir. 23. Pulse Guardar.

24. En la pestaña Admin, pulse Desplegar cambios.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración para el explorador Nessus. Consulte el Capítulo 26, “Planificación de una exploración de

vulnerabilidades”, en la página 91.

Adición de una exploración en tiempo real de Nessus con la API

XMLRPC

La API XMLRPC permite a QRadar iniciar una exploración preconfigurada basada en un nombre de exploración y un nombre de política opcional en el servidor de Nessus.

Antes de empezar

Antes de añadir este explorador, se necesita un certificado de servidor para dar soporte a las conexiones HTTPS. QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio /opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:

v Copie manualmente el certificado en el directorio /opt/qradar/conf/ trusted_certificatesmediante SCP o SFTP.

v Abra una sesión de SSH en la consola o el host gestionado y recupere el

certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre

de host> <puerto opcional - valor predeterminado 443>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.

Acerca de esta tarea

Para iniciar una exploración en tiempo real desde QRadar, debe especificar el nombre de la exploración y el nombre de la política correspondientes a los datos de exploración en tiempo real que desea recuperar. A medida que la exploración en tiempo real avanza, puede pasar el puntero del ratón sobre el explorador Nessus en la ventana Planificación de la exploración para ver el porcentaje de la

exploración en tiempo real que se ha llevado a cabo. Una vez que la exploración en tiempo real acaba, QRadar utiliza la API XMLRPC para recuperar los datos de exploración y actualizar la información de vulnerabilidades de los activos.

La API Nessus XMLRPC solo está disponible en los servidores y clientes de Nessus con el software de la versión 4.2 y versiones posteriores.

Procedimiento

1. Pulse la pestaña Admin.

2. Pulse el icono Exploradores de evaluación de vulnerabilidades. 3. Pulse Añadir.

4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador Nessus.

5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.

6. En la lista Tipo, seleccione Nessus Scanner.

7. En la lista Collection Type, seleccione Scheduled Live Scan - XMLRPC API. 8. En el campo Hostname, escriba la dirección IP o el nombre de host del

servidor de Nessus.

9. En el campo Port, escriba el número de puerto del servidor de Nessus. El valor del puerto de API predeterminado es 8843.

10. En el campo Username, escriba el nombre de usuario que accederá al servidor de Nessus.

11. En el campo Password, escriba la contraseña para acceder al servidor de Nessus. La contraseña del servidor de Nessus no debe contener el signo de exclamación (!); de lo contrario podrían producirse errores de autenticación a través de SSH.

12. Opcional: En el campo Scan Name, escriba el nombre de la exploración que desea que se visualice cuando la exploración en tiempo real se ejecute en el servidor de Nessus. Si este campo está vacío, la API intenta iniciar una exploración en tiempo real para la exploración de QRadar. Este campo no da soporte al uso del carácter ampersand (&) en este campo.

13. En el campo Policy Name, escriba el nombre de una política del servidor de Nessus para iniciar una exploración en tiempo real. La política deberá existir en el servidor de Nessus cuando el sistema intente iniciar la exploración. Si la política no existe, se visualiza un error en la columna Estado. Es habitual que los sistemas tengan nombres de políticas personalizadas, pero se incluyan diversos nombres de políticas predeterminadas. External Network Scan, Internal Network Scan, Web App Tests y Prepare for PCI DSS audits son nombres de políticas predeterminadas.

14. Para configurar un rango de CIDR para su explorador:

a. En el campo de texto, escriba el rango de CIDR que desea que este

explorador tenga en cuenta o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.

b. Pulse Añadir. 15. Pulse Guardar.

16. En la pestaña Admin, pulse Desplegar cambios.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración para el explorador Nessus. Consulte el Capítulo 26, “Planificación de una exploración de

vulnerabilidades”, en la página 91.

Adición de una importación de resultados planificada de Nessus

Una importación de resultados planificada recupera los informes de exploración de Nessus completados de una ubicación externa.

Antes de empezar

Antes de añadir este explorador, se necesita un certificado de servidor para dar soporte a las conexiones HTTPS. QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio /opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:

v Copie manualmente el certificado en el directorio /opt/qradar/conf/ trusted_certificatesmediante SCP o SFTP.

v Abra una sesión de SSH en la consola o el host gestionado y recupere el

certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre de host> <puerto opcional - valor predeterminado 443>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.

Acerca de esta tarea

La ubicación externa puede ser un servidor de Nessus o un repositorio de archivos que contenga un informe de exploración completado. QRadar se conecta a la ubicación de los informes de exploración mediante SSH e importa los archivos de informe de exploración completados desde el directorio remoto utilizando una expresión regular o la antigüedad máxima para filtrar los informes. QRadar da soporte a las importaciones de informes de exploración de Nessus en formato .nessus o de informes de exploración que se exportan a un formato de salida de Nessus, como por ejemplo XML2.

Procedimiento

1. Pulse la pestaña Admin.

2. Pulse el icono Exploradores de evaluación de vulnerabilidades. 3. Pulse Añadir.

4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador Nessus.

5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.

6. En la lista Tipo, seleccione Nessus Scanner.

7. En la lista Collection Type, seleccione Scheduled Results Import.

8. En el campo Remote Results Hostname, escriba la dirección IP o el nombre de host del cliente o el servidor de Nessus en el que se alojan los archivos de resultados de exploración de Nessus o XML2.

9. Elija una de las opciones de autenticación siguientes:

Opción Descripción

Login Username Para la autenticación con un nombre de

usuario y una contraseña:

1. En el campo SSH Username, escriba el nombre de usuario que accederá al explorador Nessus o al repositorio que aloja los archivos de resultados de exploración.

2. En el campo SSH Password, escriba la contraseña que está asociada con el nombre de usuario.

La contraseña no debe contener el signo de exclamación (!). Este carácter podría

provocar errores de autenticación a través de SSH.

Enable Key Authorization Para la autenticación con un archivo de

autenticación basado en clave: 1. Seleccione la casilla de verificación

Enable Key Authentication.

2. En el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves.

El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh.key. Si no existe un archivo de claves, debe crear el archivo vis.ssh.key.

10. En el campo Remote Results Directory, escriba la ubicación del directorio de los archivos de resultados de la exploración. La vía de acceso del directorio predeterminada es ./.

11. En el campo File Name Pattern, escriba una expresión regular para filtrar la lista de archivos del directorio remoto. Todos los archivos coincidentes se incluyen en el proceso. De forma predeterminada, el campo Report Name

Patterncontiene .*\.nessus como patrón de expresión regular. El patrón .*\.nessusimporta todos los archivos de resultados con formato de Nessus del directorio remoto.

12. En el campo Max Reports Age (Days), escriba la antigüedad máxima de los archivos de resultados de la exploración. Los archivos que sean más antiguos que los días y la indicación de fecha y hora que están especificados en el archivo de informe se excluyen cuando se inicia la exploración planificada. El valor predeterminado es de 7 días.

a. En el campo de texto, escriba el rango de CIDR que desea que este

explorador tenga en cuenta o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.

b. Pulse Añadir. 14. Pulse Guardar.

15. En la pestaña Admin, pulse Desplegar cambios.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración para IBM Security Tivoli Endpoint Manager. Consulte el Capítulo 26, “Planificación de una

exploración de vulnerabilidades”, en la página 91.

Adición de una importación de informes completados de Nessus con

la API XMLRPC

Una importación de resultados planificada que utilice la API XMLRPC permite descargar los informes de vulnerabilidades completados del servidor de Nessus.

Antes de empezar

Antes de añadir este explorador, se necesita un certificado de servidor para dar soporte a las conexiones HTTPS. QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio /opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:

v Copie manualmente el certificado en el directorio /opt/qradar/conf/ trusted_certificatesmediante SCP o SFTP.

v Abra una sesión de SSH en la consola o el host gestionado y recupere el

certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre de host> <puerto opcional - valor predeterminado 443>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.

Acerca de esta tarea

QRadar se conecta al servidor de Nessus y descarga los datos de los informes completados que coincidan con el filtro de nombre y antigüedad máxima del informe. La API Nessus XMLRPC está disponible en los servidores y clientes de Nessus en los que se utiliza el software de la versión 4.2 y versiones posteriores.

Procedimiento

1. Pulse la pestaña Admin.

2. Pulse el icono Exploradores de evaluación de vulnerabilidades. 3. Pulse Añadir.

4. En el campo Nombre de explorador, escriba un nombre para identificar el servidor de Nessus.

5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.

6. En la lista Tipo, seleccione Scheduled Completed Report Import - XMLRPC

API.

7. En el campo Hostname, escriba la dirección IP o el nombre de hostname del IBM Tivoli Endpoint Manager que contiene las vulnerabilidades que desea recuperar con la API SOAP.

8. En el campo Port, escriba el número de puerto del servidor de Nessus. El valor del puerto de API predeterminado es 8843.

9. En el campo Username, escriba el nombre de usuario necesario para acceder al servidor de Nessus.

10. En el campo Password, escriba la contraseña necesaria para acceder al servidor de Nessus.

11. En el campo Report Name Pattern, escriba la expresión regular necesaria para filtrar la lista de archivos especificada en el campo Remote Directory. Todos