Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加 Rapid7 NeXpose 扫描仪本地文件导入

在添加此扫描仪之前,需要服务器证书才能支持 HTTPS 连接。JSA 支持文件扩展名为:.crt、.cert 或 .der。要将证书复制到 /opt/qradar/conf/trusted_certificates 目录,请选择以下选项之一:

  • 使用 SCP 或 SFTP 手动将证书复制到 /opt/qradar/conf/trusted_certificates 目录。

  • SSH 进入控制台或托管主机,然后使用以下命令检索证书: /opt/qradar/bin/getcert.sh <IP or Hostname> <optional port - 443 default>。然后,从指定的主机名或 IP 下载证书,并以适当的格式放入 /opt/qradar/conf/trusted_certificates 目录中。

JSA 使用本地文件从 Rapid7 Nexpose 扫描程序导入站点漏洞数据。

本地文件导入从下载的本地文件中收集站点的漏洞。在将扫描程序添加到 JSA 时,必须将包含站点和漏洞信息的 Rapid7 NeXpose XML 文件从 Rapid7 NeXpose 设备复制到您指定的控制台或托管主机。受管主机上的目标目录必须存在,Rapid7 NeXpose 设备才能将站点报告复制到受管主机。可以使用安全复制 (SCP) 或安全文件传输协议 (SFTP) 将站点文件复制到托管主机。

在受管主机或 JSA 控制台 上创建的导入目录必须为 JSA 中的 vis 用户设置相应的所有者和权限。例如, chown -R vis:qradar <import_directory_path>chmod 755 <import_directory_path> 导入目录路径的所有者设置为具有足够读-写-执行权限的 vis user。

注意:

导入的站点文件不会从导入文件夹中删除,而是重命名为 .processed0。管理员可以创建 cron 作业来删除以前处理的站点文件。

对于将 XML 导出到 JSA,必须使用 XML 导出XML 导出 2.0 报告格式。

XML 导出 也称为 原始 XML。XML 导出包含一组具有最小结构的大量扫描数据。必须分析 XML 导出扫描数据,以便其他系统可以使用该信息。

XML 导出 2.0 类似于 XML 导出,但具有更多属性:

  • 资产风险

  • 漏洞利用标题

  • 站点名称

  • 漏洞 ID

  • 恶意软件工具包名称

  • 站点重要性

  • 需要的漏洞利用技能

  • PCI 合规状态

  • 漏洞风险

  • 漏洞利用源链接

  • 扫描 ID

  • 漏洞 Since

  • 漏洞类型

  • 扫描模板。

  1. 单击“系统配置>“管理员”。
  2. 单击“ VA 扫描仪 ”图标,然后单击 “添加”。
  3. 键入 扫描仪名称 以识别您的 Rapid7 NeXpose 扫描仪。
  4. “托管主机”列表中,选择基于以下平台之一的选项:

    • 在 JSA 控制台上,选择负责与扫描仪设备通信的受控主机。

  5. “类型”列表中,选择“Rapid7 Nexpose Scanner”。
  6. “导入类型 ”列表中,选择 “导入站点数据 - 本地文件”。
  7. 在“导入文件夹”字段中键入 XML 漏洞数据的目录路径。如果指定导入文件夹,则必须将漏洞数据从 Rapid7 Nexpose 扫描程序移动到 JSA。
  8. “导入名称模式 ”字段中,键入正则表达式 (regex) 模式,以确定要在扫描报告中包含哪些 Rapid7 Nexpose XML 文件。导入漏洞扫描报告时,将包含与正则表达式模式匹配的所有文件名。您必须在此字段中使用有效的正则表达式模式。默认值 。.*\.xml 从导入文件夹导入所有文件。
  9. 输入希望此扫描仪考虑的 CIDR 范围,或单击 “浏览” 从网络列表中选择 CIDR 范围。
  10. 点击 保存
  11. “管理 ”选项卡上,单击 “部署更改”。

现在,您已准备好创建扫描计划。请参阅 计划漏洞扫描

相关主题