Los exploradores Rapid7 NeXpose pueden proporcionar informes de datos de sitios a QRadar para importar las vulnerabilidades conocidas de la red. Las opciones siguientes están disponibles para recopilar información de vulnerabilidades de los exploradores Rapid7 NeXpose:
v Importación de sitios de informes ad hoc a través de la API de Rapid7. Consulte el apartado “Adición de una importación de sitios de la API del explorador Rapid7 NeXpose”.
v Importación de sitios de un archivo local. Consulte el apartado “Adición de una importación de archivos locales del explorador Rapid7 NeXpose” en la página 66.
Adición de una importación de sitios de la API del explorador Rapid7
NeXpose
Las importaciones de la API permiten que QRadar importe desde los exploradores Rapid7 NeXpose los datos de informe ad hoc correspondientes a las
vulnerabilidades de los sitios. Los datos de sitio que la planificación de exploración importa dependen del nombre del sitio.
Antes de empezar
Antes de añadir este explorador, se necesita un certificado de servidor para dar soporte a las conexiones HTTPS. QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio /opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:
v Copie manualmente el certificado en el directorio /opt/qradar/conf/ trusted_certificatesmediante SCP o SFTP.
v Abra una sesión de SSH en la consola o el host gestionado y recupere el
certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre de host> <puerto opcional - valor predeterminado 443>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.
Procedimiento
1. Pulse la pestaña Admin.
2. Pulse el icono Exploradores de evaluación de vulnerabilidades. 3. Pulse Añadir.
4. En el campo Nombre de explorador, escriba un nombre para identificar fácilmente el explorador Rapid7 NeXpose.
5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.
6. En la lista Tipo, seleccione Rapid7 NeXpose Scanner.
7. En la lista Import Type, seleccione Import Site Data - Adhoc Report via API.
8. En el campo Remote Hostname, escriba la dirección IP o el nombre de host del explorador Rapid7 NeXpose.
9. En el campo Login Username, escriba el nombre de usuario que accederá al explorador Rapid7 NeXpose. El nombre de inicio de sesión debe ser un usuario válido. El nombre de usuario puede obtenerse en la interfaz de usuario de Rapid7 NeXpose o se puede solicitar al administrador de Rapid7 NeXpose.
10. En el campo Login Password, escriba la contraseña necesaria para acceder al explorador Rapid7 NeXpose.
11. En el campo Port, escriba el número de puerto que se utiliza para conectar con la consola de seguridad de Rapid7 NeXpose. El número de puerto es el mismo puerto que se utiliza para conectarse a la interfaz de usuario de Rapid7 NeXpose.
12. En el campo Site Name Pattern, escriba una expresión regular para
determinar qué sitios de Rapid7 NeXpose se incluirán en la exploración. Se incluyen todos los sitios que coinciden con el patrón cuando se inicia la planificación de exploración. La expresión regular predeterminada es .* para importar todos los nombres de sitio.
13. En el campo Port, escriba el número de puerto que se utiliza para conectar con la consola de seguridad de Rapid7 NeXpose.
14. En el campo Cache Timout (Minutes), escriba el periodo de tiempo que los datos del último informe de exploración generado se almacenan en la memoria caché. Si el límite de tiempo de espera de caché caduca, se solicitan nuevos datos de vulnerabilidad a la API cuando la exploración planificada se inicia.
15. Para configurar un rango de CIDR para el explorador:
a. En el campo de texto, escriba el rango de CIDR para la exploración o pulse
Examinarpara seleccionar un rango de CIDR de la lista de redes. b. Pulse Añadir.
16. Pulse Guardar.
17. En la pestaña Admin, pulse Desplegar cambios.
Qué hacer a continuación
Ya está preparado para crear una planificación de exploración. Consulte el Capítulo 26, “Planificación de una exploración de vulnerabilidades”, en la página 91.
Adición de una importación de archivos locales del explorador Rapid7
NeXpose
La importación de datos de vulnerabilidad de sitios utilizando archivos locales permite que QRadar importe las exploraciones de vulnerabilidad completadas basadas en informes de exploración completados copiados del explorador Rapid7 NeXpose a QRadar.
Antes de empezar
Antes de añadir este explorador, se necesita un certificado de servidor para dar soporte a las conexiones HTTPS. QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado al directorio /opt/qradar/conf/trusted_certificates, seleccione una de las opciones
v Copie manualmente el certificado en el directorio /opt/qradar/conf/ trusted_certificatesmediante SCP o SFTP.
v Abra una sesión de SSH en la consola o el host gestionado y recupere el
certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombre de host> <puerto opcional - valor predeterminado 443>. Se descargará un certificado del nombre de host o la dirección IP que se haya especificado y se colocará en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.
Acerca de esta tarea
Las importaciones de archivos locales recopilan las vulnerabilidades de un sitio desde un archivo local que se descarga. El archivo XML de Rapid7 NeXpose que contiene la información de sitio y vulnerabilidades debe copiarse del dispositivo de Rapid7 NeXpose a la consola o al host gestionado que especificó al añadir el explorador a QRadar. El directorio del host gestionado debe existir para que el sistema pueda copiar informes de sitios en el host gestionado. Los administradores pueden configurar la copia de los archivos de sitio en el host gestionado mediante SCP (copia segura) o SFTP (protocolo de transferencia segura de archivos).
Nota: Los archivos de sitio que se importan no se suprimen de la carpeta de importación, sino que se les cambia el nombre por .processed0. Los
administradores pueden crear un trabajo cron para suprimir los archivos de sitio procesados anteriormente, si es preciso.
Procedimiento
1. Pulse la pestaña Admin.
2. Pulse el icono Exploradores de evaluación de vulnerabilidades. 3. Pulse Añadir.
4. En el campo Nombre de explorador, escriba un nombre para identificar fácilmente el explorador Rapid7 NeXpose.
5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.
6. En la lista Tipo, seleccione Rapid7 NeXpose Scanner.
7. En la lista Import Type, seleccione Import Site Data - Local File.
8. En el campo Import Folder, escriba la vía de acceso del directorio de los datos de vulnerabilidad XML. Si especifica una carpeta de importación, debe mover los datos de vulnerabilidad del explorador Rapid7 NeXpose a QRadar. 9. En el campo Import Name Pattern, escriba un patrón de expresión regular
para determinar qué archivos XML de Rapid7 NeXpose se incluirán en el informe de exploración. Todos los nombres de archivo que coincidan con el patrón de la expresión regular se incluyen al importar el informe de
exploración de vulnerabilidad. Debe utilizar un patrón de expresión regular válido en este campo. El valor predeterminado .*\.xml importa todos los archivos de la carpeta de importación.
10. Para configurar un rango de CIDR para su explorador:
a. En el campo de texto, escriba el rango de CIDR que desea que este
explorador tenga en cuenta o pulse Examinar para seleccionar un rango de CIDR de la lista de redes.
b. Pulse Añadir. 11. Pulse Guardar.
12. En la pestaña Admin, pulse Desplegar cambios.
Qué hacer a continuación
Ya está preparado para crear una planificación de exploración. Consulte el Capítulo 26, “Planificación de una exploración de vulnerabilidades”, en la página 91.