IBM Security QRadar Versión Guía de configuración de evaluación de vulnerabilidades

(1)

IBM Security QRadar

Versión 7.2.4

Guía de configuración de evaluación

de vulnerabilidades

(2)

Nota

Antes de utilizar esta información y el producto al que da soporte, lea la información del apartado “Avisos” en la página 97.

Información sobre el producto

(3)

Contenido

Introducción a las configuraciones de evaluación de vulnerabilidades de QRadar. . . . v

Capítulo 1. Visión general de los exploradores de evaluación de vulnerabilidades. . . . 1

Capítulo 2. Visión general del explorador Beyond Security Automatic Vulnerability

Detection System

. . . 3

Adición de un explorador de vulnerabilidades Beyond Security AVDS . . . 3

Capítulo 3. Adición de un explorador Digital Defense Inc AVS

. . . 7

Capítulo 4. Visión general del explorador eEye . . . 9

Adición de una exploración de SNMP de eEye REM . . . 9

Adición de una exploración de JDBC de eEye REM . . . 10

Instalación de Java Cryptography Extension sin restricciones . . . 12

Capítulo 5. Visión general del explorador IBM Security AppScan Enterprise . . . 13

Creación de un tipo de usuario cliente para IBM AppScan. . . 13

Habilitación de la integración con IBM Security AppScan Enterprise . . . 14

Creación de una correlación de despliegue de aplicación en IBM Security AppScan Enterprise. . . 14

Publicación de informes completados en IBM AppScan . . . 15

Adición de un explorador de vulnerabilidades IBM AppScan . . . 15

Capítulo 6. Visión general del explorador IBM Security Guardium . . . 19

Adición de un explorador de vulnerabilidades IBM Security Guardium . . . 19

Capítulo 7. Visión general del explorador IBM Security SiteProtector . . . 23

Adición de un explorador de vulnerabilidades IBM SiteProtector . . . 23

Capítulo 8. Visión general del explorador IBM Security Tivoli Endpoint Manager . . . . 25

Adición de un explorador de vulnerabilidades IBM Security Tivoli Endpoint Manager . . . 25

Capítulo 9. Visión general del explorador Foundstone FoundScan . . . 27

Adición de un explorador Foundstone FoundScan . . . 27

Importación de certificados para Foundstone FoundScan . . . 28

Capítulo 10. Visión general del explorador Microsoft SCCM . . . 31

Capítulo 11. Habilitación de WMI en el host explorador . . . 33

Capítulo 12. Adición de un explorador Microsoft SCCM . . . 35

Capítulo 13. Visión general del explorador nCircle IP360 . . . 37

Exportación de los resultados de exploración de nCircle IP360 a un servidor SSH . . . 37

Adición de un explorador nCircle IP360 . . . 38

Capítulo 14. Visión general del explorador Nessus . . . 41

Adición de una exploración en tiempo real de Nessus . . . 41

Adición de una exploración en tiempo real de Nessus con la API XMLRPC . . . 43

Adición de una importación de resultados planificada de Nessus . . . 45

Adición de una importación de informes completados de Nessus con la API XMLRPC . . . 47

(4)

Capítulo 15. Visión general del explorador Nmap

. . . 49

Adición de una importación de resultados remota de Nmap . . . 49

Adición de una exploración en tiempo real remota de Nmap . . . 51

Capítulo 16. Visión general del explorador Qualys . . . 55

Adición de un explorador Qualys Detection . . . 55

Adición de una exploración en tiempo real de Qualys . . . 57

Adición de un informe de datos de activos de importación planificada de Qualys . . . 58

Adición de un informe de exploración de importación planificada de Qualys . . . 60

Capítulo 17. Visión general del explorador Juniper Profiler NSM . . . 63

Adición de un explorador Juniper NSM Profiler . . . 63

Capítulo 18. Visión general de los exploradores Rapid7 NeXpose . . . 65

Adición de una importación de sitios de la API del explorador Rapid7 NeXpose . . . 65

Adición de una importación de archivos locales del explorador Rapid7 NeXpose . . . 66

Capítulo 19. Visión general del explorador netVigilance SecureScout . . . 69

Adición de una exploración de netVigilance SecureScout . . . 69

Capítulo 20. Visión general del explorador McAfee Vulnerability Manager . . . 71

Adición de una exploración de importación de XML remota . . . 71

Adición de una exploración de API SOAP de McAfee Vulnerability Manager . . . 72

Creación de certificados para McAfee Vulnerability Manager . . . 74

Proceso de certificados para McAfee Vulnerability Manager . . . 75

Importación de certificados para McAfee Vulnerability Manager . . . 75

Capítulo 21. Visión general de Escáner de vulnerabilidad de Outpost24. . . 77

Creación de una señal de autenticación de API de Outpost24 para QRadar . . . 78

Capítulo 22. Visión general del explorador SAINT . . . 79

Configuración de una plantilla SAINTwriter . . . 79

Adición de una exploración de vulnerabilidades de SAINT . . . 80

Capítulo 23. Visión general del explorador Tenable SecurityCenter . . . 83

Adición de una exploración de Tenable SecurityCenter . . . 83

Capítulo 24. Explorador AXIS . . . 85

Adición de una exploración de vulnerabilidades de AXIS . . . 85

Capítulo 25. Positive Technologies MaxPatrol . . . 87

Integración de Positive Technologies MaxPatrol con QRadar . . . 87

Adición de un explorador Positive Technologies MaxPatrol . . . 87

Capítulo 26. Planificación de una exploración de vulnerabilidades . . . 91

Capítulo 27. Visualización del estado de una exploración de vulnerabilidades . . . 93

Capítulo 28. Exploradores de vulnerabilidades soportados . . . 95

Avisos . . . 97

Marcas registradas . . . 99

Consideraciones sobre la política de privacidad . . . 99

(5)

Introducción a las configuraciones de evaluación de

vulnerabilidades de QRadar

La integración con los exploradores de evaluación de vulnerabilidades proporciona a los administradores y a los profesionales responsables de la seguridad

información para crear perfiles de evaluación de vulnerabilidades para los activos de red.

Público al que se dirige

Los administradores deben tener acceso a QRadar y conocer la red corporativa y las tecnologías de red.

Documentación técnica

Para obtener información sobre cómo acceder a más documentación técnica, notas técnicas y notas de release, consulte Accessing IBM®_{Security Documentation} Technical Note (http://www.ibm.com/support/docview.wss?rs=0

&uid=swg21612861).

Cómo ponerse en contacto con el servicio de soporte al cliente

Para obtener información acerca de cómo ponerse en contacto con el servicio de soporte al cliente, consulte la nota técnica sobre soporte y descarga

(http://www.ibm.com/support/docview.wss?rs=0&uid=swg21612861).

Declaración de buenas prácticas de seguridad

La seguridad de los sistemas de tecnologías de la información supone proteger los sistemas y la información mediante la prevención, detección y respuesta al acceso no autorizado desde dentro y fuera de la empresa. El acceso no autorizado puede dar como resultado la alteración, destrucción, apropiación indebida o mal uso de la información, y también daños en los sistemas o mal uso de ellos, incluida su utilización para atacar a otros sistemas. Ningún producto o sistema de tecnologías de la información se debe considerar completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para impedir la utilización o acceso no autorizado. Los sistemas, productos y servicios de IBM están diseñados para formar parte de un sistema de seguridad completo, que necesariamente incluye procedimientos operativos adicionales y puede necesitar otros sistemas, productos o servicios para lograr la máxima efectividad. IBM NO GARANTIZA QUE UN SISTEMA, PRODUCTO O SERVICIO SEA INMUNE, O HAGA QUE SU EMPRESA SEA INMUNE, FRENTE A LA CONDUCTA MALICIOSA O ILEGAL DE UN TERCERO CUALQUIERA.

(6)

(7)

Capítulo 1. Visión general de los exploradores de evaluación

de vulnerabilidades

Integre exploradores de evaluación de vulnerabilidades con IBM Security QRadar para proporcionar perfiles de evaluación de vulnerabilidades para los activos de red.

Las referencias a QRadar se aplican a todos los productos capaces de recopilar información de evaluación de vulnerabilidades.

Los perfiles de activo de los servidores y hosts de la red proporcionan información que puede ayudarle a resolver los problemas de seguridad. Con el uso de perfiles de activo, puede conectar los delitos que se producen en el sistema con los activos físicos o virtuales como parte de la investigación de la seguridad. Los datos de activo son útiles para identificar las amenazas, las vulnerabilidades, los servicios y los puertos y supervisar el uso de los activos en la red.

La pestaña Activos proporciona una vista unificada de la información de la que se dispone acerca de los activos. A medida que se proporciona más información al sistema a través de la evaluación de vulnerabilidades, el sistema actualiza el perfil de activo. Los perfiles de evaluación de vulnerabilidades utilizan datos de sucesos relacionados, la actividad de la red y los cambios de comportamiento para

determinar el nivel de amenaza y las vulnerabilidades existentes en los activos de la empresa más importantes en la red. Puede planificar exploraciones y asegurarse de que la información de vulnerabilidades es relevante para los activos de la red.

(8)

(9)

Capítulo 2. Visión general del explorador Beyond Security

Automatic Vulnerability Detection System

La evaluación de vulnerabilidades consiste en la evaluación de los activos de la red para identificar los problemas de seguridad potenciales y asignarles una prioridad. Los productos de QRadar que dan soporte a la evaluación de vulnerabilidades pueden importar los datos de vulnerabilidad desde productos de explorador externos para identificar los perfiles de las vulnerabilidades de los activos. Los perfiles de evaluación de vulnerabilidades utilizan datos de sucesos relacionados, la actividad de la red y los cambios de comportamiento para determinar el nivel de amenaza y las vulnerabilidades existentes en los activos de la empresa más importantes en la red. A medida que los exploradores externos generan datos de exploración, QRadar puede recuperar los datos de vulnerabilidad con una planificación de exploración.

Para configurar un explorador Beyond Security AVDS, consulte el apartado “Adición de un explorador de vulnerabilidades Beyond Security AVDS”.

Adición de un explorador de vulnerabilidades Beyond Security AVDS

Los dispositivos Beyond Security Automated Vulnerability Detection System (AVDS) crean datos de vulnerabilidad en el formato AXIS (Asset Export

Information Source). Los archivos con formato AXIS se pueden importar mediante archivos XML que se puedan importar.

Acerca de esta tarea

Para integrar con éxito las vulnerabilidades de Beyond Security AVDS con QRadar, debe configurar el dispositivo de Beyond Security AVDS para que publique los datos de vulnerabilidad en un archivo de resultados XML con formato AXIS. Los datos de vulnerabilidad XML deben publicarse en un servidor remoto al que se pueda acceder a través de SFTP (protocolo de transferencia segura de archivos). El término servidor remoto hace referencia a cualquier dispositivo, host de terceros o ubicación de almacenamiento de red que pueda alojar los archivos XML de resultados de la exploración publicados.

Los resultados XML más recientes que contienen vulnerabilidades de Beyond Security AVDS se importan cuando comienza una planificación de exploración. Las planificaciones de exploración determinan la frecuencia con la que se importan los datos de vulnerabilidad creados por Beyond Security AVDS. Después de añadir el dispositivo de Beyond Security AVDS a QRadar, cree una planificación de

exploración para importar los archivos de resultados de la exploración. Las vulnerabilidades de la planificación de exploración actualizan la pestaña Activos una vez finalizada la planificación de exploración.

Procedimiento

1. Pulse la pestaña Admin.

2. Pulse el icono Exploradores de evaluación de vulnerabilidades. 3. Pulse Añadir.

4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador Beyond Security AVDS.

(10)

5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.

6. En la lista Tipo, seleccione Beyond Security AVDS.

7. En el campo Remote Hostname, escriba la dirección IP o el nombre de host del sistema que contiene los resultados de exploración publicados del explorador Beyond Security AVDS.

8. Elija una de las opciones de autenticación siguientes:

Opción Descripción

Login Username Para la autenticación con un nombre de

usuario y una contraseña:

1. En el campo Login Username, escriba un nombre de usuario que tenga acceso para recuperar los resultados de la

exploración del host remoto.

2. En el campo Login Password, escriba la contraseña que está asociada con el nombre de usuario.

Enable Key Authorization Para la autenticación con un archivo de

autenticación basado en clave: 1. Seleccione la casilla de verificación

Enable Key Authentication.

2. En el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves.

El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh.key. Si no existe un archivo de claves, debe crear el archivo vis.ssh.key.

9. En el campo Remote Directory, escriba la ubicación del directorio de los archivos de resultados de la exploración.

10. En el campo File Name Pattern, escriba una expresión regular para filtrar la lista de archivos del directorio remoto. Todos los archivos coincidentes se incluyen en el proceso.

El valor predeterminado es .*\.xml. El patrón .*\.xml importa todos los archivos xml del directorio remoto.

11. En el campo Max Reports Age (Days), escriba la antigüedad máxima de los archivos de resultados de la exploración. Los archivos que sean más antiguos que los días y la indicación de fecha y hora que están especificados en el archivo de informe se excluyen cuando se inicia la exploración planificada. El valor predeterminado es de 7 días.

12. Para configurar la opción Ignore Duplicates:

v _{Seleccione esta casilla de verificación para realizar el seguimiento de los} archivos que una planificación de exploración ya ha procesado. Esta opción impide que un archivo de resultados de exploración se procese por segunda vez.

v _{Deseleccione esta casilla de verificación para importar los resultados de la} exploración de vulnerabilidades cada vez que se inicia la planificación de la exploración. Esta opción puede hacer que haya varias vulnerabilidades asociadas con un mismo activo.

(11)

Si un archivo de resultados no se explora en un plazo de 10 días, el archivo se elimina de la lista de seguimiento y se procesa la siguiente vez que se inicia la planificación de exploración.

13. Para configurar un rango de CIDR para su explorador:

a. Escriba el rango de CIDR para la exploración o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.

b. Pulse Añadir. 14. Pulse Guardar.

15. En la pestaña Admin, pulse Desplegar cambios.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración. Consulte el Capítulo 26, “Planificación de una exploración de vulnerabilidades”, en la página 91.

(12)

(13)

Capítulo 3. Adición de un explorador Digital Defense Inc AVS

Puede añadir un explorador Digital Defense Inc AVS al despliegue de IBM Security QRadar.

Antes de empezar

Antes de añadir este explorador, se necesita un certificado de servidor para dar soporte a las conexiones HTTPS. QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio /opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:

v _{Copie manualmente el certificado en el directorio /opt/qradar/conf/} trusted_certificatesmediante SCP o SFTP.

v _{Abra una sesión de SSH en la consola o el host gestionado y recupere el}

certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre de host> <puerto opcional - valor predeterminado 443>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.

Acerca de esta tarea

A intervalos que están determinados por una planificación de exploración, QRadar importa los resultados XML más recientes que contienen vulnerabilidades de Digital Defense Inc AVS. Para permitir la comunicación con el explorador Digital Defense Inc AVS, QRadar utiliza las credenciales que especifique en la

configuración del explorador.

En la lista siguiente se proporciona más información sobre los parámetros de exploración de Digital Defense Inc AVS:

Remote Hostname

Nombre de host del servidor remoto que aloja el explorador Digital Defense Inc AVS.

Remote Port

Número de puerto del servidor remoto que aloja el explorador Digital Defense Inc AVS.

Remote URL

URL del servidor remoto que aloja el explorador Digital Defense Inc AVS.

Client ID

El ID de cliente maestro que se utiliza para conectarse al explorador Digital Defense Inc AVS.

Host Scope

Cuando se establece en Internal, recupera la vista activa para los hosts internos del explorador Digital Defense Inc AVS. Cuando se establece en External, recupera la vista activa externa del explorador Digital Defense Inc AVS.

Retrieve Data For Account

La opción Default indica que solamente se incluyen los datos del ID de cliente (Client ID) especificado. Si desea incluir datos del ID de cliente y

(14)

de todas sus subcuentas, seleccione All Sub Accounts. Si desea especificar un solo ID de cliente alternativo, seleccione Alternate Client ID.

Correlation Method

Especifica el método por el que se correlacionan las vulnerabilidades. v _{La opción All Available consulta el catálogo de vulnerabilidades de}

Digital Defense Inc e intenta correlacionar las vulnerabilidades que están basadas en todas las referencias que se devuelven para esa

vulnerabilidad específica. Las referencias podrían incluir CVE, Bugtraq, boletín de seguridad de Microsoft y OSVDB. Cuando hay varias referencias suelen correlacionarse con la misma vulnerabilidad, pero se devuelven más resultados y se tarda más en procesar que con la opción

CVE.

v _{La opción CVE correlaciona las vulnerabilidades que se basan solamente} en el ID de CVE.

Procedimiento

2. En el menú de navegación, pulse Orígenes de datos.

5. En el cuadro de lista Tipo, seleccione Digital Defense Inc AVS. 6. Configure los parámetros.

7. Para configurar los rangos de CIDR que desea que este explorador tenga en cuenta, escriba el rango de CIDR o pulse Examinar para seleccionar el rango de CIDR de la lista de redes.

8. Pulse Añadir. 9. Pulse Guardar.

Qué hacer a continuación

Después de añadir el explorador Digital Defense Inc AVS, puede añadir una planificación de exploración para recuperar la información de vulnerabilidades.

(15)

Capítulo 4. Visión general del explorador eEye

QRadar puede recopilar datos de vulnerabilidad de los exploradores eEye Retina CS o eEye REM Security Management Console.

Las opciones de protocolo siguientes están disponibles para recopilar información de vulnerabilidades de los exploradores eEye:

v _{Añadir un explorador eEye de protocolo SNMP. Consulte el apartado “Adición} de una exploración de SNMP de eEye REM”.

v _{Añadir un explorador eEye de protocolo JDBC. Consulte el apartado “Adición} de una exploración de JDBC de eEye REM” en la página 10.

Adición de una exploración de SNMP de eEye REM

Puede añadir un explorador para recopilar datos de vulnerabilidad sobre SNMP con exploradores eEye REM o CS Retina.

Antes de empezar

Para utilizar identificadores y descripciones de CVE, debe copiar el archivo

audits.xmldel explorador eEye REM al host gestionado responsable de la escucha de datos de SNMP. Si el host gestionado está en un despliegue distribuido, debe copiar audits.xml a la consola en primer lugar y abrir una sesión de SSH para enviar el archivo a /opt/qradar/conf/audits.xml en el host gestionado. La ubicación predeterminada de audits.xml en el explorador eEye es

%ProgramFiles(x86)%\eEye Digital Security\Retina CS\Applications\ RetinaManager\Database\audits.xml.

Para recibir la información de CVE más actualizada,actualice periódicamente QRadar con el último archivo audits.xml.

Procedimiento

4. En el campo Nombre de explorador, escriba un nombre para identificar el servidor de SecureScout.

6. En la lista Tipo, seleccione eEye REM Scanner. 7. En la lista Import Type, seleccione SNMP.

8. En el campo Base Directory, escriba una ubicación para almacenar los archivos temporales que contienen datos de exploración eEye REM. El directorio predeterminado es /store/tmp/vis/eEye/.

9. En el campo Cache Size, escriba el número de transacciones que desea almacenar en la memoria caché antes de que los datos de SNMP se escriban en el archivo temporal. El valor predeterminado es 40. El valor

predeterminado es de 40 transacciones.

10. En el campo Retention Period, escriba el periodo de tiempo, en días, que el sistema almacena la información de exploración. Si una planificación de

(16)

exploración no ha importado datos antes de que el periodo de retención caduque, la información de exploración de la memoria caché se suprime. 11. Seleccione la casilla de verificación Use Vulnerability Data para correlacionar

las vulnerabilidades de eEye con los identificadores de CVE (Common Vulnerabilities and Exposures) y la información de descripción. .

12. En el campo Vulnerability Data File, escriba la vía de acceso del directorio del archivo audits.xml de eEye.

13. En el campo Listen Port, escriba el número de puerto que se utiliza para supervisar la información de vulnerabilidades de SNMP entrante que llega del explorador eEye REM. El puerto predeterminado es el 1162.

14. En el campo Source Host, escriba la dirección IP del explorador eEye. 15. En la lista SNMP Version, seleccione la versión del protocolo SNMP. El

protocolo predeterminado es SNMPv2.

16. En el campo Community String, escriba la cadena de comunidad de SNMP correspondiente al protocolo SNMPv2 como, por ejemplo, Public.

17. En la lista Authentication Protocol, seleccione el algoritmo para autenticar las condiciones de excepción de SNMPv3.

18. En el campo Authentication Password, escriba la contraseña que desea utilizar para autenticar las comunicaciones SNMPv3. La contraseña debe contener un mínimo de ocho caracteres.

19. En la lista Encryption Protocol, seleccione el algoritmo de descifrado de SNMPv3.

20. En el campo Encryption Password, escriba la contraseña para descifrar las condiciones de excepción de SNMPv3.

a. Escriba el rango de CIDR para la exploración o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.

Qué hacer a continuación

Seleccione una de las opciones siguientes:

v _{Si no utiliza SNMPv3 o si utiliza un cifrado de SNMP de bajo nivel, ya puede} crear una planificación de exploración. Consulte el Capítulo 26, “Planificación de una exploración de vulnerabilidades”, en la página 91.

v _{Si la configuración de SNMPv3 utiliza el cifrado AES192 o AES256, debe instalar} Java™Cryptography Extension en cada consola o host gestionado que reciba condiciones de excepción de SNMPv3. Consulte el apartado “Instalación de Java Cryptography Extension sin restricciones” en la página 12.

Adición de una exploración de JDBC de eEye REM

Puede añadir un explorador para recopilar datos de vulnerabilidad sobre JDBC con exploradores eEye REM o CS Retina.

Antes de empezar

Antes de configurar QRadar para sondear los datos de vulnerabilidad, le

(17)

RetinaCSDatabase, puede restringir el acceso a la base de datos que contiene las vulnerabilidades de eEye. El protocolo JDBC permite que QRadar inicie una sesión y sondee los sucesos de la base de datos de MSDE. Asegúrese de que ninguna regla de cortafuegos bloquee la comunicación entre el explorador eEye y la consola o el host gestionado responsable del sondeo con el protocolo JDBC. Si utiliza instancias de base de datos, debe verificar que el puerto 1433 esté disponible para que el servicio SQL Server Browser Service resuelva el nombre de instancia.

Procedimiento

4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador eEye.

6. En la lista Tipo, seleccione eEye REM Scanner. 7. En la lista Import Type, seleccione JDBC.

8. En el campo Hostname, escriba la dirección IP o el nombre de host de la base de datos de eEye.

9. En el campo Port, escriba 1433.

10. Opcional. En el campo Database Instance, escriba la instancia de base de datos correspondiente a la base de datos de eEye.

Si no se utiliza una instancia de base de datos, deje este campo en blanco. 11. En el campo Username, escriba el nombre de usuario necesario para consultar

la base de datos de eEye.

12. En el campo Password, escriba la contraseña necesaria para consultar la base de datos de eEye.

13. En el campo Domain, escriba el dominio necesario, si es preciso, para conectarse a la base de datos de eEye.

Si la base de datos está configurada para Windows y está dentro de un dominio, debe especificar el nombre de dominio.

14. En el campo Database Name, escriba RetinaCSDatabase como el nombre de la base de datos.

15. Seleccione la casilla de verificación Use Named Pipe Communication si se necesitan conductos con nombre para comunicarse con la base de datos de eEye. De forma predeterminada, esta casilla de verificación no está

seleccionada.

16. Seleccione la casilla de verificación Use NTLMv2 si el explorador eEye utiliza NTLMv2 como protocolo de autenticación. De forma predeterminada, esta casilla de verificación no está seleccionada.

La casilla de verificación Use NTLMv2 hace que las conexiones MSDE utilicen obligatoriamente el protocolo NTLMv2 al comunicarse con los servidores SQL que necesitan autenticación NTLMv2. La selección de la casilla de verificación Use NTLMv2 no tiene efecto alguno sobre las conexiones MSDE a servidores SQL que no necesitan autenticación NTLMv2.

17. Para configurar un rango de CIDR para el explorador:

a. En el campo de texto, escriba el rango de CIDR que desea que este

explorador tenga en cuenta o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.

(18)

Qué hacer a continuación

Instalación de Java Cryptography Extension sin restricciones

Java Cryptography Extension (JCE) es una infraestructura Java necesaria para descifrar los algoritmos de cifrado avanzados para las condiciones de excepción de SNMPv3 AES de 192 bits o AES de 256 bits.

Antes de empezar

Cada host gestionado que recibe condiciones de excepción de alto nivel de

SNMPv3 necesita JCE sin restricciones. Si necesita algoritmos de cifrado avanzados para la comunicación SNMP, debe actualizar la extensión de cifrado existente en el host gestionado con una JCE sin restricciones.

Procedimiento

1. Utilice SSH para iniciar la sesión en la consola de QRadar.

2. Para verificar la versión de Java de la consola, escriba el mandato siguiente: java -version.

El archivo de JCE debe coincidir con la versión de Java instalada en la consola. 3. Descargue la versión más reciente de Java Cryptography Extension del sitio

web de IBM.

https://www14.software.ibm.com/webapp/iwm/web/ preLogin.do?source=jcesdk

4. Haga una copia segura (SCP) de los archivos local.policy.jar y US_export_policy.jaren el directorio siguiente de la consola: /opt/ibm/java-[versión]/jre/lib/security/.

5. Opcional. Los despliegues distribuidos requieren que los administradores copien los archivos local.policy.jar y US_export_policy.jar del dispositivo de consola al host gestionado.

Qué hacer a continuación

(19)

Capítulo 5. Visión general del explorador IBM Security

AppScan Enterprise

QRadar recupera los informes de AppScan Enterprise con el servicio web REST (Representational State Transfer) para importar los datos de vulnerabilidad y generar delitos para el equipo de seguridad.

Puede importar los resultados de la exploración a partir de los datos de informe de IBM Security AppScan Enterprise, lo que le proporciona un entorno de seguridad centralizada para la exploración avanzada de aplicaciones y la generación de informes de conformidad de seguridad. Puede importar los resultados de la exploración de IBM Security AppScan Enterprise para recopilar información de vulnerabilidades de activos relacionada con programas maliciosos (malware), aplicaciones web y servicios web en su despliegue.

Para integrar AppScan Enterprise con QRadar, debe realizar las tareas siguientes: 1. Genere informes de exploración en IBM AppScan Enterprise.

La información de configuración de informes se encuentra en la documentación de IBM Security AppScan Enterprise.

2. Configure AppScan Enterprise para dar a QRadar acceso a los datos de informe.

3. Configure el explorador de AppScan Enterprise en QRadar.

4. Cree una planificación en QRadar para importar los resultados de AppScan Enterprise.

Para configurar IBM AppScan Enterprise para otorgar permiso a los datos de informe, el administrador de AppScan debe determinar qué usuarios tienen permiso para publicar informes en QRadar. Después de que los usuarios de AppScan Enterprise configuren informes, los informes generados por AppScan Enterprise se pueden publicar en QRadar, para que se puedan descargar.

Para configurar AppScan Enterprise para otorgar acceso a los datos de informe de exploración, consulte el apartado “Creación de un tipo de usuario cliente para IBM AppScan”.

Creación de un tipo de usuario cliente para IBM AppScan

Puede crear tipos de usuario personalizados para asignar a los administradores permisos para tareas de administración limitadas y específicas.

Procedimiento

1. Inicie sesión en el dispositivo de IBM AppScan Enterprise. 2. Pulse la pestaña Administración.

3. En la página User Types, pulse Create.

4. Seleccione todos los permisos de usuario siguientes:

v _{Configure QRadar Integration}_{: Seleccione esta casilla de verificación para} que los usuarios puedan acceder a las opciones de integración de QRadar para AppScan Enterprise.

v _{Publish to QRadar}_{: Seleccione esta casilla de verificación para que QRadar} pueda acceder a los datos de informe de exploración publicados.

(20)

v _{QRadar Service Account}_{: Seleccione esta casilla de verificación para añadir} acceso a la API REST en la cuenta de usuario. Este permiso no proporciona acceso a la interfaz de usuario.

5. Pulse Guardar.

Qué hacer a continuación

Ya está preparado para habilitar los permisos de integración. Consulte el apartado “Habilitación de la integración con IBM Security AppScan Enterprise”.

Habilitación de la integración con IBM Security AppScan Enterprise

IBM Security AppScan Enterprise debe estar configurado de modo que permita la integración con QRadar.

Antes de empezar

Para completar estos pasos, debe haber iniciado la sesión con un tipo de usuario personalizado.

Procedimiento

1. Pulse la pestaña Administración.

2. En el menú de navegación, seleccione Network Security Systems. 3. En el panel QRadar Integration Setting, pulse Edit.

4. Seleccione la casilla de verificación Enable QRadar Integration. Se visualizan los informes que se hayan publicado anteriormente en QRadar. Si alguno de los informes que se visualizan ya no es necesario, puede eliminarlo de la lista. A medida que publique más informes en QRadar, se irán mostrando en esta lista.

Qué hacer a continuación

Ya está preparado para configurar la correlación de despliegue de aplicación en AppScan Enterprise. Consulte el apartado “Creación de una correlación de despliegue de aplicación en IBM Security AppScan Enterprise”.

Creación de una correlación de despliegue de aplicación en IBM

Security AppScan Enterprise

La correlación de despliegue de aplicación permite que AppScan Enterprise determine las ubicaciones que alojan la aplicación en el entorno de producción.

Acerca de esta tarea

A medida que se descubren vulnerabilidades, AppScan Enterprise averigua la ubicación de los hosts y las direcciones IP afectadas por la vulnerabilidad. Si una aplicación está desplegada en varios hosts, AppScan Enterprise genera una vulnerabilidad para cada host en los resultados de la exploración.

Procedimiento

1. Pulse la pestaña Administración.

2. En el menú de navegación, seleccione Network Security Systems. 3. En el panel QRadar Integration Setting, pulse Edit.

(21)

4. En el campo Application test location (host or pattern), escriba la ubicación de prueba de la aplicación.

5. En el campo Application production location (host), escriba la dirección IP del entorno de producción. Para añadir información de vulnerabilidades a QRadar, la correlación de despliegue de aplicación debe incluir una dirección IP. Si la dirección IP no está disponible en los resultados de exploración de AppScan Enterprise, los datos de vulnerabilidad sin una dirección IP se excluyen de QRadar.

6. Pulse Añadir.

7. Repita este procedimiento para correlacionar más entornos de producción en AppScan Enterprise.

8. Pulse Done.

Qué hacer a continuación

Ya está preparado para publicar los informes completados. Consulte el apartado “Publicación de informes completados en IBM AppScan”.

Publicación de informes completados en IBM AppScan

Los informes de vulnerabilidades completados generados por AppScan Enterprise deben publicarse para ponerlos a disposición de QRadar.

Procedimiento

1. Pulse la pestaña Jobs & Reports.

2. Vaya al informe de seguridad que desea poner a disposición de QRadar. 3. En la barra de menús de cualquier informe de seguridad, seleccione Publish >

Grantpara proporcionar acceso al informe a QRadar. 4. Pulse Guardar.

Qué hacer a continuación

Ya está preparado para habilitar los permisos de integración. Consulte el apartado “Adición de un explorador de vulnerabilidades IBM AppScan”.

Adición de un explorador de vulnerabilidades IBM AppScan

Puede añadir un explorador para definir qué informes de exploración de IBM Security AppScan recopilará QRadar.

Antes de empezar

Si la instalación de AppScan está configurada para utilizar HTTPS, se necesita un certificado de servidor. QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio

/opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:

v _{Copie manualmente el certificado en el directorio /opt/qradar/conf/} trusted_certificatesmediante SCP o SFTP.

v _{Abra una sesión de SSH en la consola o el host gestionado y recupere el}

certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre

de host> <puerto opcional - valor predeterminado 443>. Se descargará un

(22)

certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.

Acerca de esta tarea

Puede añadir varios exploradores IBM AppScan a QRadar, y cada uno de ellos puede tener una configuración diferente. La existencia de varias configuraciones permite a QRadar importar datos de AppScan para resultados específicos. La planificación de exploración determina la frecuencia con la que los resultados de la exploración se importan desde el servicio web REST a IBM AppScan Enterprise.

Procedimiento

4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador IBM AppScan Enterprise.

6. En la lista Tipo, seleccione IBM AppScan Scanner.

7. En el campo ASE Instance Base URL, escriba el URL base completo de la instancia de AppScan Enterprise. Este campo da soporte a direcciones HTTP y HTTPS; por ejemplo, http://minombrehostase/ase/.

8. En la lista Tipo de autenticación, seleccione una de las opciones siguientes: v _{Windows Authentication}_{: Seleccione esta opción para utilizar la}

autenticación de Windows con el servicio web REST.

v _{Jazz Authentication}_{: Seleccione esta opción para utilizar la autenticación de} Jazz™con el servicio web REST.

9. En el campo Username, escriba el nombre de usuario para recuperar los datos de exploración de AppScan Enterprise.

10. En el campo Password, escriba la contraseña para recuperar los datos de exploración de AppScan Enterprise.

11. En el campo Report Name Pattern, escriba una expresión regular para filtrar la lista de informes de vulnerabilidad disponibles en AppScan Enterprise. De forma predeterminada, el campo Report Name Pattern contiene .* como patrón de expresión regular. El patrón .* importa todos los informes de exploración que están publicados en QRadar. QRadar procesa todos los archivos que coinciden con el patrón. Puede especificar un grupo de informes de vulnerabilidad o un informe individual utilizando un patrón de expresión regular.

a. Escriba el rango de CIDR para el explorador o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.

(23)

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración para IBM Security AppScan Enterprise. Consulte el Capítulo 26, “Planificación de una exploración de vulnerabilidades”, en la página 91.

(24)

(25)

Capítulo 6. Visión general del explorador IBM Security

Guardium

Los dispositivos de IBM InfoSphere Guardium pueden exportar información de vulnerabilidades de base de datos que puede ser esencial para la protección de los datos de los clientes.

Los procesos de auditoría de IBM Guardium exportan los resultados de las pruebas que no superan las pruebas de CVE (Common Vulnerability and

Exposures) generadas al ejecutar las pruebas de evaluación de la seguridad en el dispositivo de IBM Guardium. Los datos de vulnerabilidad de IBM Guardium deben exportarse a un servidor remoto o a un servidor de transferencia con el formato SCAP (Security Content Automation Protocol). QRadar puede recuperar a continuación los resultados de la exploración del servidor remoto en el que se almacena la vulnerabilidad mediante SFTP.

IBM Guardium solo exporta la vulnerabilidad de las bases de datos que contienen resultados de pruebas de CVE no superadas. Si no hay ninguna prueba de CVE que no se haya superado, puede que IBM Guardium no exporte un archivo al final de la evaluación de la seguridad. Para obtener información sobre la configuración de las pruebas de evaluación de la seguridad y la creación de un proceso de auditoría para exportar los datos de vulnerabilidad en formato SCAP, consulte la documentación de IBM InfoSphere Guardium.

Una vez que haya configurado el dispositivo de IBM Guardium, ya está preparado para configurar QRadar para importar los resultados del servidor remoto que aloja los datos de vulnerabilidad. Debe añadir un explorador IBM Guardium en QRadar y configurarlo para recuperar datos desde el servidor remoto. QRadar importa las vulnerabilidades más recientes cuando se crea una planificación de exploración. Las planificaciones de exploración permiten determinar la frecuencia con la que QRadar solicita datos del servidor remoto que aloja los datos de vulnerabilidad de IBM Guardium.

Visión general de la integración de IBM InfoSphere Guardium y QRadar.

1. En el dispositivo de IBM InfoSphere Guardium, cree un archivo SCAP con la información de vulnerabilidades. Consulte la documentación de IBM

InfoSphere Guardium.

2. En la consola de QRadar, añada un explorador IBM Guardium. Consulte el apartado “Adición de un explorador de vulnerabilidades IBM Security Guardium”.

3. En la consola de QRadar, cree una planificación de exploración para importar los datos de resultados de la exploración. Consulte el Capítulo 26,

“Planificación de una exploración de vulnerabilidades”, en la página 91.

Adición de un explorador de vulnerabilidades IBM Security Guardium

La adición de un explorador permite que QRadar recopile archivos de vulnerabilidad SCAP de IBM InfoSphere Guardium.

(26)

Acerca de esta tarea

Los administradores pueden añadir varios exploradores IBM Guardium a QRadar, y cada uno de ellos puede tener una configuración diferente. La existencia de varias configuraciones permite a QRadar importar datos de vulnerabilidad para resultados específicos. La planificación de exploración determina la frecuencia con la que los resultados de la exploración SCAP se importan de IBM InfoSphere Guardium.

Procedimiento

4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador IBM Guardium.

6. En la lista Tipo, seleccione IBM Guardium SCAP Scanner. 7. Elija una de las opciones de autenticación siguientes:

Opción Descripción

Login Username Para la autenticación con un nombre de

usuario y una contraseña:

1. En el campo Login Username, escriba un nombre de usuario que tenga acceso para recuperar los resultados de la

exploración del host remoto.

2. En el campo Login Password, escriba la contraseña que está asociada con el nombre de usuario.

Enable Key Authorization Para la autenticación con un archivo de

autenticación basado en clave: 1. Seleccione la casilla de verificación

Enable Key Authentication.

2. En el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves.

El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh. Si no existe un archivo de claves, debe crear el archivo vis.ssh.

8. En el campo Remote Directory, escriba la ubicación del directorio de los archivos de resultados de la exploración.

9. En el campo File Name Pattern, escriba la expresión regular necesaria para filtrar la lista de archivos de vulnerabilidad SCAP que se ha especificado en el campo Remote Directory. Todos los archivos coincidentes se incluyen en el proceso. De forma predeterminada, el campo Report Name Pattern contiene .*\.xml como patrón de expresión regular. El patrón .*\.xml importa todos los archivos xml del directorio remoto.

10. En el campo Max Reports Age (Days), escriba la antigüedad máxima de los archivos de resultados de la exploración. Los archivos que sean más antiguos

(27)

que los días y la indicación de fecha y hora que están especificados en el archivo de informe se excluyen cuando se inicia la exploración planificada. El valor predeterminado es de 7 días.

11. Para configurar la opción Ignore Duplicates:

v _{Seleccione esta casilla de verificación para realizar el seguimiento de los} archivos que una planificación de exploración ya ha procesado. Esta opción impide que un archivo de resultados de exploración se procese por segunda vez.

v _{Deseleccione esta casilla de verificación para importar los resultados de la} exploración de vulnerabilidades cada vez que se inicia la planificación de la exploración. Esta opción puede hacer que haya varias vulnerabilidades asociadas con un mismo activo.

Si un archivo de resultados no se explora en un plazo de 10 días, el archivo se elimina de la lista de seguimiento y se procesa la siguiente vez que se inicia la planificación de exploración.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración para IBM InfoSphere Guardium. Consulte el Capítulo 26, “Planificación de una exploración de

vulnerabilidades”, en la página 91.

(28)

(29)

Capítulo 7. Visión general del explorador IBM Security

SiteProtector

El módulo rastreador IBM SiteProtector para QRadar accede a los datos de vulnerabilidad de los exploradores SiteProtector a través de consultas JDBC (Java Database Connectivity).

El explorador IBM SiteProtector recupera datos de vulnerabilidad de la tabla RealSecureDB y realiza sondeos para detectar nuevas vulnerabilidades cada vez que se inicia una planificación de exploración. El campo Compare permite que la consulta recupere vulnerabilidades nuevas de la tabla RealSecureDB para

garantizar que no se importan vulnerabilidades duplicadas. Cuando se configura un explorador IBM SiteProtector, el administrador puede crear una cuenta de usuario de SiteProtector específicamente para el sondeo de los datos de vulnerabilidad. Una vez creada la cuenta de usuario, el administrador puede comprobar que no haya cortafuegos que rechacen la consultas en el puerto configurado para sondear la base de datos.

Para configurar un explorador IBM Security SiteProtector, consulte el apartado “Adición de un explorador de vulnerabilidades IBM SiteProtector”.

Adición de un explorador de vulnerabilidades IBM SiteProtector

QRadar puede sondear los dispositivos de IBM InfoSphere SiteProtector para obtener datos de vulnerabilidad con JDBC.

Acerca de esta tarea

Los administradores pueden añadir varios exploradores IBM SiteProtector a QRadar, y cada uno de ellos puede tener una configuración diferente. La existencia de varias configuraciones permite a QRadar consultar SiteProtector e importar únicamente los resultados de rangos de CIDR concretos. La planificación de exploración determina la frecuencia con la que se consulta la base de datos en el explorador SiteProtector para obtener datos de vulnerabilidad.

Procedimiento

4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador IBM SiteProtector.

6. En la lista Tipo, seleccione IBM SiteProtector Scanner.

7. En el campo Hostname, escriba la dirección IP o el nombre de host del IBM SiteProtector que contiene vulnerabilidades para importar.

8. En el campo Port, escriba 1433 como puerto para la base de datos de IBM SiteProtector.

9. En el campo Username, escriba el nombre de usuario necesario para consultar la base de datos de IBM SiteProtector.

(30)

10. En el campo Password, escriba la contraseña necesaria para consultar la base de datos de IBM SiteProtector.

11. En el campo Domain, escriba el dominio necesario, si es preciso, para conectarse a la base de datos de IBM SiteProtector.

Si la base de datos está configurada para Windows y está dentro de un dominio, debe especificar el nombre de dominio.

12. En el campo Database Name, escriba RealSecureDB como el nombre de la base de datos.

13. En el campo Database Instance, escriba la instancia de base de datos correspondiente a la base de datos de IBM SiteProtector. Si no utiliza una instancia de base de datos, puede dejar este campo en blanco.

14. Seleccione Use Named Pipe Communication si se necesitan conductos con nombre para comunicarse con la base de datos de IBM SiteProtector. De forma predeterminada, esta casilla de verificación no está seleccionada.

15. Seleccione la casilla de verificación Use NTLMv2 si el explorador IBM SiteProtector utiliza NTLMv2 como protocolo de autenticación. De forma predeterminada, esta casilla de verificación no está seleccionada.

La casilla de verificación Use NTLMv2 hace que las conexiones MSDE utilicen obligatoriamente el protocolo NTLMv2 al comunicarse con los servidores SQL que necesitan autenticación NTLMv2. La selección de la casilla de verificación Use NTLMv2 no tiene efecto alguno sobre las conexiones MSDE a servidores SQL que no necesitan autenticación NTLMv2.

a. En el campo de texto, escriba el rango de CIDR para la exploración o pulse

Examinarpara seleccionar un rango de CIDR de la lista de redes. b. Pulse Añadir.

Qué hacer a continuación

(31)

Capítulo 8. Visión general del explorador IBM Security Tivoli

Endpoint Manager

El módulo rastreador IBM Tivoli Endpoint Manager accede a los datos de

vulnerabilidad de IBM Tivoli Endpoint Manager mediante la API SOAP instalada con la aplicación Web Reports.

Se necesita la aplicación Web Reports para Tivoli Endpoint Manager para recuperar los datos de vulnerabilidad de Tivoli Endpoint Manager para QRadar. Los

administradores pueden crear un usuario en IBM Tivoli Endpoint Manager para QRadar para su uso cuando el sistema recopila las vulnerabilidades.

Nota: QRadar es compatible con las versiones 8.2.x de IBM Tivoli Endpoint Manager. Sin embargo, los administradores pueden utilizar la versión más reciente de IBM Tivoli Endpoint Manager que esté disponible.

Para añadir un explorador IBM Tivoli Endpoint Manager, consulte el apartado “Adición de un explorador de vulnerabilidades IBM Security Tivoli Endpoint Manager”.

Adición de un explorador de vulnerabilidades IBM Security Tivoli

Endpoint Manager

QRadar accede a los datos de vulnerabilidad de IBM Tivoli Endpoint Manager mediante la API SOAP instalada con la aplicación Web Reports.

Acerca de esta tarea

Puede añadir varios exploradores IBM Tivoli Endpoint Manager en QRadar. Cada explorador necesita una configuración diferente para determinar qué rangos de CIDR debe tener en cuenta.

Utilice varias configuraciones para un único explorador IBM Tivoli Endpoint Manager para crear exploradores individuales que recopilen datos de resultados específicos de ubicaciones concretas o vulnerabilidades para tipos determinados de sistemas operativos.

Procedimiento

4. En el campo Nombre de explorador, escriba un nombre para identificar su IBM Tivoli Endpoint Manager.

6. En la lista Tipo, seleccione IBM Tivoli Endpoint Manager.

7. En el campo Hostname, escriba la dirección IP o el nombre de host del IBM Tivoli Endpoint Manager que contiene las vulnerabilidades que desea recuperar con la API SOAP.

(32)

8. En el campo Port, escriba el número de puerto que se utiliza para conectar con IBM Tivoli Endpoint Manager mediante la API SOAP. De forma predeterminada, el puerto 80 es el número de puerto para comunicarse con IBM Tivoli Endpoint Manager. Si utiliza HTTPS, debe actualizar este campo con el número de puerto HTTPS. Para la mayoría de las configuraciones, utilice el puerto 443.

9. Seleccione la casilla de verificación Use HTTPS para conectar de forma segura con el protocolo HTTPS.

Si selecciona esta casilla de verificación, el nombre de host principal o la dirección IP que especifique utiliza HTTPS para conectarse a IBM Tivoli Endpoint Manager. Cuando se utiliza HTTPS se necesita un certificado de servidor. Los certificados deben colocarse en la carpeta /opt/qradar/conf/ trusted_certificates. QRadar da soporte a los certificados con las

extensiones de archivo siguientes: .crt, .cert o .der. Puede utilizar SCP o SFTP para copiar manualmente el certificado en el directorio /opt/qradar/conf/ trusted_certificates. Como alternativa, puede descargar una copia del certificado directamente del host de QRadar. Para ello, utilice SSH para

conectarse al host y escriba el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre de host> <puerto opcional - valor predeterminado 443>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/

trusted_certificatescon el formato adecuado.

10. En el campo Username, escriba el nombre de usuario que accederá a IBM Tivoli Endpoint Manager.

11. En el campo Password, escriba la contraseña necesaria para acceder a IBM Tivoli Endpoint Manager.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración para IBM Security Tivoli Endpoint Manager. Consulte el Capítulo 26, “Planificación de una

(33)

Capítulo 9. Visión general del explorador Foundstone

FoundScan

El explorador FoundScan Foundstone consulta el motor FoundScan Engine para obtener la información de host y vulnerabilidades de la OpenAPI de FoundScan. QRadar da soporte a las versiones de la 5.0 a la 6.5 de Foundstone FoundScan. El dispositivo FoundScan debe incluir una configuración de exploración que se ejecute con regularidad para mantener al día los resultados de las vulnerabilidades y el host. Para garantizar que el explorador FoundScan pueda recuperar la

información de exploración, asegúrese de que el sistema FoundScan cumple los siguientes requisitos:

v _{La aplicación FoundScan debe estar activa. Puesto que la API proporciona acceso} a la aplicación FoundScan, los administradores pueden verificar que la

aplicación FoundScan se ejecuta continuamente en el servidor de FoundScan. v _{Los datos de exploración para importar deben ser completos y visibles en la}

interfaz de usuario de FoundScan para recuperar los resultados de la

exploración. Si la exploración se ha planificado para que se elimine después de su finalización, la planificación de la exploración debe importar los resultados antes de que la exploración se elimine de FoundScan.

v _{Los privilegios de usuario adecuados deben estar configurados en la aplicación} FoundScan para permitir la comunicación entre QRadar y FoundScan. La OpenAPI de FoundScan proporciona información de host y vulnerabilidades. Todas las vulnerabilidades de un host asignado se asignan al puerto 0.

Para conectarse a FoundScan, el motor FoundScan Engine requiere la autenticación con certificados del lado de cliente. FoundScan incluye una entidad emisora de certificados predeterminada y certificados de cliente que son los mismos para todas las instalaciones del explorador. El plug-in de FoundScan plug-in también incluye certificados para su uso con FoundScan 5.0. Si el servidor de FoundScan utiliza certificados personalizados, los administradores deben importar los certificados y claves pertinentes. En la documentación de esta configuración se proporcionan instrucciones para la importación de los certificados.

Para añadir una exploración de vulnerabilidades de API FoundScan, consulte el apartado “Adición de un explorador Foundstone FoundScan”.

Adición de un explorador Foundstone FoundScan

Los administradores pueden añadir un explorador Foundstone FoundScan para recopilar información de host y vulnerabilidades a través de la OpenAPI de FoundScan.

Procedimiento

4. En el campo Nombre de explorador, escriba un nombre para identificar el servidor de FoundScan.

(34)

5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador. Los certificados del explorador FoundScan deben residir en el host gestionado seleccionado en el cuadro de lista Host gestionado.

6. En la lista Tipo, seleccione FoundScan Scanner.

7. En el campo SOAP API URL, escriba la dirección IP o el nombre de host del Foundstone FoundScan que contiene las vulnerabilidades que desea recuperar con la API SOAP. Por ejemplo, https://dirección IP foundstone:puerto SOAP. El valor predeterminado es https://localhost:3800.

8. En el campo Customer Name, escriba el nombre del cliente que pertenece al nombre de usuario.

9. En el campo User Name, escriba el nombre de usuario necesario para acceder al servidor de Foundstone FoundScan.

10. Opcional. En el campo Client IP Address, escriba la dirección IP del servidor en el que desea realizar la exploración. De forma predeterminada, este valor no se utiliza; sin embargo, es necesario cuando los administradores validan algunos entornos de exploración.

11. Opcional. En el campo Password, escriba la contraseña necesaria para acceder al servidor de Foundstone FoundScan.

12. En el campo Portal Name, escriba el nombre del portal. Este campo puede dejarse en blanco para QRadar. Consulte al administrador de FoundScan para obtener más información.

13. En el campo Configuration Name, escriba el nombre de configuración de exploración que existe en FoundScan y a la que el usuario tiene acceso. Asegúrese de que esta configuración de exploración está activa o que se ejecuta con frecuencia.

14. En el campo CA Truststore, escriba la vía de acceso del directorio y el nombre de archivo correspondientes al archivo de almacén de confianza de la entidad emisora de certificados. La vía de acceso predeterminada es

/opt/qradar/conf/foundscan.keystore.

15. En el campo CA Keystore, escriba la vía de acceso del directorio y el nombre de archivo correspondientes al almacén de claves de cliente. La vía de acceso predeterminada es /opt/qradar/conf/foundscan.truststore.

a. En el campo de texto, escriba el rango de CIDR que el explorador debe tener en cuenta o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.

Qué hacer a continuación

Los administradores ya pueden importar certificados del servidor de FoundScan para permitir la comunicación. Consulte el apartado “Importación de certificados para Foundstone FoundScan”.

Importación de certificados para Foundstone FoundScan

Los administradores que utilizan certificados personalizados o una versión de Foundstone FoundScan anterior a la 5.0 deben importar los certificados adecuados al host gestionado desde la configuración del explorador.

(35)

Antes de empezar

El explorador debe añadirse a un host gestionado en la configuración de exploración antes de importar los certificados del servidor de FoundScan. Los certificados deben importarse al host gestionado correcto para recopilar datos de vulnerabilidad y de exploración de host.

Procedimiento

1. Solicite al administrador de FoundScan los dos archivos de certificado y la frase de contraseña.

v _{El archivo TrustedCA.pem es el certificado de autoridad emisora de} certificados correspondiente al motor de FoundScan.

v _{El archivo de certificado Portal.pem es la clave privada que incluye la} cadena de certificados del cliente.

2. Mediante SSH, copie los dos archivos pem al host gestionado asignado en la configuración de FoundScan. Si tiene un despliegue distribuido, debe copiar los archivos en la consola y enviar los archivos por SSH desde el dispositivo de la consola al host gestionado.

3. Vaya a la ubicación del directorio de los archivos pem.

4. Para eliminar del host gestionado el certificado de almacén de claves anterior, escriba el mandato siguiente: rm -f /opt/qradar/conf/foundscan.keystore 5. Para eliminar del host gestionado el certificado de almacén de confianza

anterior, escriba el mandato siguiente: rm -f /opt/qradar/conf/ foundscan.truststore

6. Para importar los archivos pem al host gestionado, escriba el mandato siguiente: /opt/qradar/bin/foundstone-cert-import.sh [TrustedCA.pem] [Portal.pem]

7. Repita la importación de certificados para otros hosts gestionados del despliegue que se conecten al dispositivo de Foundstone FoundScan.

Qué hacer a continuación

(36)

(37)

Capítulo 10. Visión general del explorador Microsoft SCCM

IBM Security QRadar puede importar informes de exploración de los exploradores Microsoft System Center Configuration Manager (SCCM).

Para integrar un explorador Microsoft SCCM, siga estos pasos:

1. En el explorador Microsoft SCCM, configure WMI. Consulte el Capítulo 11, “Habilitación de WMI en el host explorador”, en la página 33.

2. Si las actualizaciones automáticas no están habilitadas en la consola de QRadar, descargue e instale el RPM de Microsoft SCCM.

3. En la consola de QRadar, añada un explorador Microsoft SCCM. Consulte el Capítulo 12, “Adición de un explorador Microsoft SCCM”, en la página 35. 4. En la consola de QRadar, cree una planificación de exploración para importar

los datos de resultados de la exploración. Consulte el Capítulo 26, “Planificación de una exploración de vulnerabilidades”, en la página 91.

(38)

(39)

Capítulo 11. Habilitación de WMI en el host explorador

Para poder configurar un explorador Microsoft SCCM, debe configurar los valores de DCOM del sistema para cada host que desee supervisar.

Asegúrese de que el host explorador cumple las condiciones siguientes: v _{Usted es miembro del grupo Administradores en ese host.}

v _{Está instalado uno de los sistemas operativos siguientes:} – Windows 2000 – Windows 2003 – Windows 2008 – XP – Software Vista – Windows 7

Nota: Se da soporte a los sistemas operativos de 32 y 64 bits. v _{DCOM está configurado y habilitado.}

Si hay un cortafuegos instalado en el host o situado entre el host y QRadar (como un cortafuegos de hardware u otro cortafuegos intermediario), el cortafuegos debe estar configurado para permitir la comunicación DCOM. Configure el cortafuegos de modo que el puerto 135 sea accesible en el host y se permitan los puertos de DCOM (puertos aleatorio por encima de 1024). En función de la versión de Windows que utilice, puede que también tenga que configurar puertos específicos para que DCOM pueda acceder a ellos. Para obtener más información, consulte la documentación de Windows.

v _{Windows Management Instrumentation (WMI) está habilitado.} v _{El servicio de registro remoto está activado.}

Para obtener instrucciones específicas sobre la configuración de DCOM y WMI en Windows 2008 y Windows 7, consulte los documentos del sitio web de soporte de IBM:

v _{Windows 2008 (http://www-01.ibm.com/support/} docview.wss?uid=swg21681046)

v _{Windows 7 (http://www-01.ibm.com/support/docview.wss?uid=swg21678809)}

(40)

(41)

Capítulo 12. Adición de un explorador Microsoft SCCM

Antes de empezar

Asegúrese de que WMI está habilitado en el host explorador.

Procedimiento

4. Configure los siguientes parámetros de Microsoft SCCM:

Parámetro Descripción

Nombre de explorador Nombre que identifica la instancia del

explorador.

Host gestionado Host gestionado del despliegue de QRadar

que gestiona la importación del explorador.

Tipo Microsoft SCCM

Nombre de host Dirección IP o nombre de host del servidor

remoto que aloja los archivos de resultados de la exploración.

Dominio Dominio utilizado para conectar con el

servidor remoto.

5. Configure los parámetros restantes.

a. Escriba el rango de CIDR que desea que este explorador tenga en cuenta o pulse Examinar para seleccionar un rango de CIDR de la lista de redes. b. Pulse Añadir.

(42)