Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加 Rapid7 Nexpose 扫描仪远程文件导入

在添加此扫描程序之前,请确保您具有支持 HTTPS 连接的服务器证书。JSA 支持文件扩展名为:.crt、.cert 或 .der。要将证书复制到 /opt/qradar/conf/trusted_certificates 目录,请选择以下选项之一:

  • 使用 SCP 或 SFTP 手动将证书复制到 /opt/qradar/conf/trusted_certificates 目录。

  • 使用 SSH 登录控制台或受管主机,并通过以下命令检索证书: /opt/qradar/bin/getcert.sh <IP or Hostname> <optional port - 443 default>。然后,从指定的主机名或 IP 下载证书,并以适当的格式放入 /opt/qradar/conf/ trusted_certificates目录中。

JSA 使用远程文件从 Rapid7 Nexpose 扫描程序导入站点漏洞数据。

远程文件导入从下载的远程文件中收集站点的漏洞。必须将包含站点和漏洞信息的 Rapid7 Nexpose XML 文件从 Rapid7 Nexpose 设备复制到将扫描程序添加到 JSA 时指定的控制台或托管主机。受管主机或控制台上的目标目录必须存在,Rapid7 Nexpose 设备才能复制站点报告。可以使用安全复制 (SCP) 或安全文件传输协议 (SFTP) 将站点文件复制到托管主机或控制台。

在受管主机或 JSA 控制台上创建的导入目录必须为 JSA 中的 VIS 用户设置相应的所有者和权限。例如,chown -R vis:qradar <import_directory_path> 和 chmod 755 <import_directory_path> 将导入目录路径的所有者设置为具有足够读-写-执行权限的 VIS 用户。

注意:

导入的站点文件不会从导入文件夹中删除,而是重命名为 .processed0。管理员可以创建 cron 作业来删除以前处理的站点文件。
  1. 单击“系统配置>“管理员”。
  2. 单击“ VA 扫描仪 ”图标,然后单击 “添加”。
  3. 键入 扫描仪名称 以识别您的 Rapid7 NeXpose 扫描仪。
  4. “托管主机”列表中,选择基于以下平台之一的选项:

    • 在 JSA 控制台上,选择负责与扫描仪设备通信的受控主机。

  5. “类型”中,选择“Rapid7 Nexpose Scanner”
  6. “导入类型 ”列表中,选择 “导入站点数据 - 远程文件”
  7. 输入包含扫描结果文件的服务器的 远程主机名 和远程 SSH 服务器的 远程端口
  8. 输入远程 SSH 服务器的用户名和密码。
  9. 可选:启用密钥身份验证,然后输入 SSH 私钥文件的完整本地路径。
  10. 指示包含扫描结果的远程目录在远程 SSH 服务器上的位置。
  11. “文件名模式”字段中,键入正则表达式 (regex) 模式,以确定要在扫描报告中包含哪些 Rapid7 Nexpose XML 文件。导入漏洞扫描报告时,将包含与正则表达式模式匹配的所有文件名。您必须在此字段中使用有效的正则表达式模式。默认值 。*\.xml 从导入文件夹导入所有文件。
  12. 输入使用报告文件的最长天数。超过此天数的文件将不予处理。如果要禁用报告期限检查,请将数字设置为 0。
  13. 为扫描仪配置 CIDR 范围:

    1. 在字段中,键入希望此扫描仪考虑的 CIDR 范围,或单击 “浏览” 从网络列表中选择 CIDR 范围。

    2. 单击 “添加”

  14. 点击 保存
  15. “管理 ”选项卡上,单击 “部署更改”。

现在,您已准备好创建扫描计划。请参阅 计划漏洞扫描

相关主题