5.2 Postprocessing OMR Data Using Simple Heuristics
5.2.1 Voice Detection
Los administradores pueden integrar sus exploradores de vulnerabilidades Security Administrator's Integrated Network Tool (SAINT) con QRadar para los
dispositivos de SAINT con software de la versión 7.4.x.
Los administradores pueden añadir exploradores SAINT a QRadar para recopilar datos de vulnerabilidad de SAINT de los hosts, incluida la información sobre direcciones Mac, puertos y servicios. El explorador SAINT identifica las vulnerabilidades en función del nivel de exploración especificado y utiliza
SAINTwriter para generar informes personalizados. Por lo tanto, el sistema SAINT debe incluir una plantilla de informe SAINTwriter personalizada y exploraciones que se ejecuten con regularidad para asegurarse de que los resultados sean actuales.
Los siguientes tipos de recopilación de datos están soportados para las configuraciones del explorador SAINT:
v Live scan: Iniciar una exploración remota en el explorador SAINT. La
exploración en tiempo real genera un informe de vulnerabilidad basado en el nombre de la sesión, que se importa después de que la exploración acabe. v Report only: Importar informes completados del explorador SAINT basados en
el nombre de la sesión.
Para configurar una plantilla para el informe, consulte el apartado “Configuración de una plantilla SAINTwriter”.
Configuración de una plantilla SAINTwriter
Para que los administradores puedan añadir vulnerabilidades a un explorador SAINT e importarlas de este, debe configurarse una plantilla en SAINTwriter.
Procedimiento
1. Inicie sesión en la interfaz de usuario de SAINT.
2. En el menú de navegación, seleccione Data > SAINTwriter. 3. Pulse Report Type.
4. En la lista Type, seleccione Custom.
5. En el campo File Name, escriba el nombre de un archivo de configuración. Debe utilizarse el nombre del archivo de configuración que se crea cuando se añade el explorador SAINT a QRadar.
6. En la lista Template Type, seleccione Technical Details. 7. Pulse Continue.
8. Seleccione Lists.
9. En la lista Columns to include in host, cambie una columna None por MAC
address.
10. En la lista Columns to include in vulnerability, cambie una columna None por Port.
11. En la lista Columns to include in vulnerability, cambie una columna None por Service.
12. Pulse Guardar.
Qué hacer a continuación
Ya está preparado para añadir una configuración de exploración a QRadar para el explorador SAINT. Consulte el apartado “Adición de una exploración de
vulnerabilidades de SAINT”.
Adición de una exploración de vulnerabilidades de SAINT
Los administradores pueden añadir una configuración de explorador SAINT para recopilar informes específicos o iniciar exploraciones en el explorador remoto.
Procedimiento
1. Pulse la pestaña Admin.
2. Pulse el icono Exploradores de evaluación de vulnerabilidades. 3. Pulse Añadir.
4. En el campo Nombre de explorador, escriba un nombre para identificar el explorador SAINT.
5. En la lista Host gestionado, seleccione el host gestionado del despliegue de QRadar que gestiona la importación del explorador.
6. En la lista Tipo, seleccione SAINT Scanner.
7. En el campo Remote Hostname, escriba la dirección IP o el nombre de host del explorador SAINT.
8. Elija una de las opciones de autenticación siguientes:
Opción Descripción
Login Username Para la autenticación con un nombre de
usuario y una contraseña:
1. En el campo Login Username, escriba un nombre de usuario que tenga acceso al host remoto.
2. En el campo Login Password, escriba la contraseña que está asociada con el nombre de usuario.
Enable Key Authorization Para la autenticación con un archivo de
autenticación basado en clave: 1. Seleccione la casilla de verificación
Enable Key Authentication.
2. En el campo Private Key File, escriba la vía de acceso del directorio del archivo de claves.
El directorio predeterminado del archivo de claves es /opt/qradar/conf/vis.ssh.key. Si no existe un archivo de claves, debe crear el archivo vis.ssh.key.
9. En el campo SAINT Base Directory, escriba la vía de acceso del directorio de instalación del explorador SAINT.
10. En la lista Scan Type, seleccione una de las opciones siguientes:
v Live scan: Inicia una exploración de vulnerabilidades para generar datos de informe basados en el nombre de sesión.
v Report Only: Genera un informe de exploración basado en el nombre de sesión.
11. En las configuraciones de exploración en tiempo real (Live Scan), seleccione una opción para la casilla de verificación Ignore Existing Data.
v Seleccione esta casilla de verificación para forzar la exploración en tiempo real para recopilar nuevos datos de vulnerabilidad en la red. Esta opción elimina todos los datos de la carpeta de sesión antes de que comience la exploración en tiempo real.
v Deseleccione la casilla de verificación para permitir que la exploración en tiempo real utilice los datos existentes en la carpeta de sesión.
12. En la lista Scan Level, seleccione un nivel de exploración. Las opciones son: v Vulnerability Scan: Explorar todas las vulnerabilidades.
v Port Scan: Explorar los servicios TCP o UDP a la escucha en la red. v PCI Compliance Scan: Explorar puertos y servicios con énfasis en la
conformidad con DSS PCI.
v SANS Top 20 Scan: Explorar las 20 vulnerabilidades de seguridad críticas más importantes.
v FISMA Scan: Explorar todas las vulnerabilidades e incluir todas las exploraciones personalizadas y los niveles de PCI.
13. En el campo Session Name, escriba el nombre de sesión para la configuración del explorador SAINT.
14. En el campo SAINT Writer Config, escriba el nombre del archivo de configuración de SAINTwriter.
15. Para configurar un rango de CIDR para el explorador:
a. En el campo de texto, escriba el rango de CIDR para la exploración o pulse
Examinarpara seleccionar un rango de CIDR de la lista de redes. b. Pulse Añadir.
16. Pulse Guardar.
17. En la pestaña Admin, pulse Desplegar cambios.
Qué hacer a continuación
Ya está preparado para crear una planificación de exploración. Consulte el Capítulo 26, “Planificación de una exploración de vulnerabilidades”, en la página 91.