subsiguientes a menos que sea r eemplazado por una versión...

IBM Security QRadar

Guía de configuración de evaluaciónde vulnerabilidadesOctubre de 2016

IBM

NotaAntes de utilizar esta información y el producto al que da soporte, lea la información del apartado “Avisos” en la página103.

Información sobre el producto

Este documento corresponde a IBM Security QRadar Security Intelligence Platform V7.2.5 y a todos los releasessubsiguientes a menos que sea reemplazado por una versión actualizada de este documento.

© Copyright IBM Corporation 2007, 2016.

Contenido

Introducción a las configuraciones de evaluación de vulnerabilidades de QRadar . . . vii

Capítulo 1. Visión general de los exploradores de evaluación de vulnerabilidades. . . . 1Instalación de Java Cryptography Extension sin restricciones . . . . . . . . . . . . . . . . . . . 1

Capítulo 2. Explorador AXIS . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Adición de una exploración de vulnerabilidades de AXIS . . . . . . . . . . . . . . . . . . . . 3

Capítulo 3. Visión general del explorador Beyond Security Automatic VulnerabilityDetection System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Adición de un explorador de vulnerabilidades Beyond Security AVDS . . . . . . . . . . . . . . . . 5

Capítulo 4. Exploradores de Digital Defense Inc AVS . . . . . . . . . . . . . . . . 9

Capítulo 5. Visión general del explorador eEye . . . . . . . . . . . . . . . . . . 11Adición de una exploración de SNMP de eEye REM. . . . . . . . . . . . . . . . . . . . . . 11Adición de una exploración de JDBC de eEye REM . . . . . . . . . . . . . . . . . . . . . . 13

Capítulo 6. Visión general del explorador IBM AppScan Enterprise . . . . . . . . . . 15Creación de un tipo de usuario cliente para IBM AppScan Enterprise . . . . . . . . . . . . . . . . 15Habilitación de la integración con IBM AppScan Enterprise . . . . . . . . . . . . . . . . . . . 16Creación de una correlación de despliegue de aplicación en IBM AppScan Enterprise . . . . . . . . . . 16Publicación de informes completados en IBM AppScan Enterprise . . . . . . . . . . . . . . . . . 17Adición de un explorador de vulnerabilidades IBM AppScan Enterprise . . . . . . . . . . . . . . . 17

Capítulo 7. Visión general del explorador IBM Guardium . . . . . . . . . . . . . . 21Adición de un explorador de vulnerabilidades IBM Guardium . . . . . . . . . . . . . . . . . . 21

Capítulo 8. Visión general del explorador IBM SiteProtector . . . . . . . . . . . . . 25Adición de un explorador de vulnerabilidades IBM SiteProtector . . . . . . . . . . . . . . . . . 25

Capítulo 9. Visión general del explorador IBM BigFix . . . . . . . . . . . . . . . . 27Adición de un explorador de vulnerabilidades de IBM BigFix . . . . . . . . . . . . . . . . . . 27Configuración de credenciales de API SOAP para el servicio de plug-in de servidor BES de IBM BigFixen unservidor Windows de 32 bits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Configuración de credenciales de API SOAP para el servicio de plug-in de servidor BES de IBM BigFixen unservidor Windows de 64 bits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Configuración de credenciales de API SOAP para el servicio de plug-in de servidor BES de IBM BigFixen unservidor Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Capítulo 10. Visión general del explorador IBM Tivoli Endpoint Manager . . . . . . . 31

Capítulo 11. Visión general del explorador Juniper Profiler NSM . . . . . . . . . . . 33Adición de un explorador Juniper NSM Profiler . . . . . . . . . . . . . . . . . . . . . . . 33

Capítulo 12. Visión general del explorador McAfee Vulnerability Manager . . . . . . . 35Adición de una exploración de importación de XML remota . . . . . . . . . . . . . . . . . . . 35

Adición de una exploración de importación de XML remota mediante SFTP. . . . . . . . . . . . . 36Adición de una exploración de importación de XML remota mediante SMB . . . . . . . . . . . . . 38

Adición de una exploración de API SOAP de McAfee Vulnerability Manager . . . . . . . . . . . . . 39Creación de certificados para McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . . 40Proceso de certificados para McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . . 41

© Copyright IBM Corp. 2007, 2016 iii

Importación de certificados para McAfee Vulnerability Manager. . . . . . . . . . . . . . . . . . 42

Capítulo 13. Visión general del explorador Microsoft SCCM . . . . . . . . . . . . . 45Habilitar WMI para exploradores Microsoft SCCM . . . . . . . . . . . . . . . . . . . . . . 45Adición de un explorador Microsoft SCCM. . . . . . . . . . . . . . . . . . . . . . . . . 46

Capítulo 14. Visión general del explorador nCircle IP360 . . . . . . . . . . . . . . 49Exportación de los resultados de exploración de nCircle IP360 a un servidor SSH . . . . . . . . . . . . 49Adición de un explorador nCircle IP360 . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Capítulo 15. Visión general del explorador Nessus . . . . . . . . . . . . . . . . . 53Adición de una exploración en tiempo real de Nessus . . . . . . . . . . . . . . . . . . . . . 54Adición de una importación de resultados planificada de Nessus . . . . . . . . . . . . . . . . . 55Adición de una exploración en tiempo real de Nessus con la API XMLRPC . . . . . . . . . . . . . . 57Adición de una importación de informes completados de Nessus con la API XMLRPC . . . . . . . . . . 58Adición de una exploración en tiempo real de Nessus con la API JSON . . . . . . . . . . . . . . . 59Adición de una importación de informes completados de Nessus con la API JSON . . . . . . . . . . . 61

Capítulo 16. Visión general del explorador netVigilance SecureScout . . . . . . . . . 63Adición de una exploración de netVigilance SecureScout . . . . . . . . . . . . . . . . . . . . 63

Capítulo 17. Visión general del explorador Nmap . . . . . . . . . . . . . . . . . 65Adición de una importación de resultados remota de Nmap . . . . . . . . . . . . . . . . . . . 65Adición de una exploración en tiempo real remota de Nmap . . . . . . . . . . . . . . . . . . . 67

Capítulo 18. Visión general de Explorador de vulnerabilidades de Outpost24 . . . . . 71Creación de una señal de autenticación de API de Outpost24 para QRadar . . . . . . . . . . . . . . 72

Capítulo 19. Positive Technologies MaxPatrol . . . . . . . . . . . . . . . . . . . 75Integración de Positive Technologies MaxPatrol con QRadar . . . . . . . . . . . . . . . . . . . 75Adición de un explorador Positive Technologies MaxPatrol . . . . . . . . . . . . . . . . . . . 75

Capítulo 20. Visión general del explorador Qualys . . . . . . . . . . . . . . . . . 79Instalación del certificado de Qualys . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Adición de un explorador Qualys Detection . . . . . . . . . . . . . . . . . . . . . . . . 79Adición de una exploración en tiempo real de Qualys . . . . . . . . . . . . . . . . . . . . . 81Adición de un informe de activos de importación planificada de Qualys . . . . . . . . . . . . . . . 82Adición de un informe de exploración de importación planificada de Qualys . . . . . . . . . . . . . 83

Capítulo 21. Visión general de los exploradores Rapid7 NeXpose . . . . . . . . . . 87Adición de una importación de sitios de la API del explorador Rapid7 NeXpose . . . . . . . . . . . . 87Adición de una importación de archivos locales del explorador Rapid7 NeXpose . . . . . . . . . . . . 88

Capítulo 22. Visión general del explorador SAINT . . . . . . . . . . . . . . . . . 91Configuración de una plantilla SAINTwriter . . . . . . . . . . . . . . . . . . . . . . . . 91Adición de una exploración de vulnerabilidades de SAINT . . . . . . . . . . . . . . . . . . . 92

Capítulo 23. Visión general del explorador Tenable SecurityCenter . . . . . . . . . . 95Adición de una exploración de Tenable SecurityCenter . . . . . . . . . . . . . . . . . . . . . 95

iv Guía de configuración de evaluación de vulnerabilidades de QRadar

Capítulo 24. Planificación de una exploración de vulnerabilidades . . . . . . . . . . 97

Capítulo 25. Visualización del estado de una exploración de vulnerabilidades . . . . . 99

Capítulo 26. Exploradores de vulnerabilidades soportados . . . . . . . . . . . . . 101

Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Marcas registradas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Consideraciones sobre la política de privacidad . . . . . . . . . . . . . . . . . . . . . . . 105

Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Contenido v

vi Guía de configuración de evaluación de vulnerabilidades de QRadar

Introducción a las configuraciones de evaluación devulnerabilidades de QRadar

La integración con los exploradores de evaluación de vulnerabilidades proporcionaa los administradores y a los profesionales responsables de la seguridadinformación para crear perfiles de evaluación de vulnerabilidades para los activosde red.

Público al que se dirige

Los administradores deben tener acceso a QRadar y conocer la red corporativa ylas tecnologías de red.

Documentación técnica

Para obtener información sobre cómo acceder a más documentación técnica, notastécnicas y notas de release, consulte Accessing IBM® Security DocumentationTechnical Note (http://www.ibm.com/support/docview.wss?rs=0&uid=swg21612861).

Cómo ponerse en contacto con el servicio de soporte al cliente

Para obtener información acerca de cómo ponerse en contacto con el servicio desoporte al cliente, consulte la nota técnica sobre soporte y descarga(http://www.ibm.com/support/docview.wss?rs=0&uid=swg21612861).

Declaración de buenas prácticas de seguridad

La seguridad de los sistemas de tecnologías de la información supone proteger lossistemas y la información mediante la prevención, detección y respuesta al accesono autorizado desde dentro y fuera de la empresa. El acceso no autorizado puededar como resultado la alteración, destrucción, apropiación indebida o mal uso de lainformación, y también daños en los sistemas o mal uso de ellos, incluida suutilización para atacar a otros sistemas. Ningún producto o sistema de tecnologíasde la información se debe considerar completamente seguro y ningún producto,servicio o medida de seguridad puede ser completamente efectivo para impedir lautilización o acceso no autorizado. Los sistemas, productos y servicios de IBMestán diseñados para formar parte de un sistema de seguridad completo ylegítimo, que necesariamente incluye procedimientos operativos adicionales ypuede necesitar otros sistemas, productos o servicios para lograr la máximaefectividad. IBM NO GARANTIZA QUE UN SISTEMA, PRODUCTO O SERVICIOSEA INMUNE, O HAGA QUE SU EMPRESA SEA INMUNE, FRENTE A LACONDUCTA MALICIOSA O ILEGAL DE UN TERCERO CUALQUIERA.

Tenga en cuenta lo siguiente:

El uso de este Programa puede estar sujeto a diversas leyes o disposiciones, talescomo las relacionadas con la privacidad, la protección de datos, el empleo, lascomunicaciones y el almacenamiento electrónicos. IBM Security QRadar solamentese puede utilizar con fines legales y de forma legal. El cliente se compromete autilizar este programa en conformidad con las leyes, regulaciones y políticasaplicables y asume toda la responsabilidad de su cumplimiento. El licenciatario

© Copyright IBM Corp. 2007, 2016 vii

http://www.ibm.com/support/docview.wss?rs=0&uid=swg21614644



declara que obtendrá o ha obtenido los consentimientos, permisos o licenciasnecesarios para permitir el uso legal de IBM Security QRadar.

viii Guía de configuración de evaluación de vulnerabilidades de QRadar

Capítulo 1. Visión general de los exploradores de evaluaciónde vulnerabilidades

Integre exploradores de evaluación de vulnerabilidades con IBM Security QRadarpara proporcionar perfiles de evaluación de vulnerabilidades para los activos dered.

Las referencias a QRadar se aplican a todos los productos capaces de recopilarinformación de evaluación de vulnerabilidades.

Los perfiles de activo de los servidores y hosts de la red proporcionan informaciónque puede ayudarle a resolver los problemas de seguridad. Con el uso de perfilesde activo, puede conectar los delitos que se producen en el sistema con los activosfísicos o virtuales como parte de la investigación de la seguridad. Los datos deactivo son útiles para identificar las amenazas, las vulnerabilidades, los servicios ylos puertos y supervisar el uso de los activos en la red.

La pestaña Activos proporciona una vista unificada de la información de la que sedispone acerca de los activos. A medida que se proporciona más información alsistema a través de la evaluación de vulnerabilidades, el sistema actualiza el perfilde activo. Los perfiles de evaluación de vulnerabilidades utilizan datos de sucesosrelacionados, la actividad de la red y los cambios de comportamiento paradeterminar el nivel de amenaza y las vulnerabilidades existentes en los activos dela empresa más importantes en la red. Puede planificar exploraciones y asegurarsede que la información de vulnerabilidades es relevante para los activos de la red.

Instalación de Java Cryptography Extension sin restriccionesJava™ Cryptography Extension (JCE) es una infraestructura Java necesaria paradescifrar los algoritmos de cifrado avanzados para las condiciones de excepción deSNMPv3 AES de 192 bits o AES de 256 bits.

Antes de empezar

Cada host gestionado que recibe condiciones de excepción de alto nivel deSNMPv3 necesita JCE sin restricciones. Si necesita algoritmos de cifrado avanzadospara la comunicación SNMP, debe actualizar la extensión de cifrado existente en elhost gestionado con una JCE sin restricciones.

Procedimiento1. Utilice SSH para iniciar la sesión en la consola de QRadar.2. Para verificar la versión de Java de la consola, escriba el mandato siguiente:

java -version.El archivo de JCE debe coincidir con la versión de Java instalada en la consola.

3. Descargue la versión más reciente de Java Cryptography Extension del sitioweb de IBM.https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk

4. Haga una copia segura (SCP) de los archivos local.policy.jar yUS_export_policy.jar en el directorio siguiente de la consola:/opt/ibm/java-[versión]/jre/lib/security/.

© Copyright IBM Corp. 2007, 2016 1

https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk

https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk

5. Opcional. Los despliegues distribuidos requieren que los administradorescopien los archivos local.policy.jar y US_export_policy.jar del dispositivode consola al host gestionado.

Qué hacer a continuación

Ya está preparado para crear una planificación de exploración. Consulte elCapítulo 24, “Planificación de una exploración de vulnerabilidades”, en la página97.

2 Guía de configuración de evaluación de vulnerabilidades de QRadar

Capítulo 2. Explorador AXIS

Puede importar datos de vulnerabilidad de cualquier explorador que genere datosen formato AXIS (Asset Export Information Source). Axis es un formato de datosXML que se ha creado específicamente para la compatibilidad de activos yvulnerabilidades con productos de IBM Security QRadar.

AXIS es un formato estándar para las importaciones de resultados de exploraciónde datos de vulnerabilidad. Los datos de vulnerabilidad para los exploradores Axisdeben ser compatibles con el esquema de formato AXIS para importarsesatisfactoriamente. Para integrar satisfactoriamente un explorador AXIS conQRadar, los archivos de resultado XML deben estar disponibles en un servidorremoto o un explorador que dé soporte a la comunicación con recursos compartidosSMB o SFTP. Un servidor remoto es un sistema o un dispositivo de terceros quepuede alojar los resultados de exploración XML.

Adición de una exploración de vulnerabilidades de AXISAñada una configuración de explorador AXIS para recopilar informes específicos oiniciar exploraciones en el explorador remoto.

Acerca de esta tarea

En la tabla siguiente se describen los parámetros del explorador AXIS cuando seselecciona SFTP como método de importación:

Tabla 1. Explorador AXIS - Propiedades de SFTP

Parámetro Descripción

Remote Hostname Dirección IP o nombre de host del servidorque contiene los archivos de resultados de laexploración.

Login Username Nombre de usuario que QRadar utiliza parainiciar la sesión en el servidor.

Enable Key Authentication Especifica que QRadar se autentica con unarchivo de autenticación basado en clave.

Remote directory Ubicación de los archivos de resultados deexploración.

Private Key File Vía de acceso completa del archivo quecontiene la clave privada. Si no existe unarchivo de claves, debe crear el archivovis.ssh.key.

File Name Pattern Expresión regular necesaria para filtrar lalista de archivos que se especifican enRemote Directory. El patrón .*\.xml importatodos los archivos XML del directorioremoto.

En la tabla siguiente se describen los parámetros del explorador AXIS cuando seselecciona el recurso compartido SMB como método de importación:


Tabla 2. Explorador AXIS - Propiedades de recurso compartido SMB


Hostname Dirección IP o nombre de host del recursocompartido SMB.

Login Username Nombre de usuario que QRadar utiliza parainiciar la sesión en el recurso compartidoSMB.

Domain Dominio que se utiliza para conectar con elrecurso compartido SMB.

SMB Folder Path Vía de acceso completa al recursocompartido desde la raíz del host SMB.Utilice barras inclinadas; por ejemplo,/share/logs/.

File Name Pattern Expresión regular necesaria para filtrar lalista de archivos de Remote Directory. Elpatrón .*\.xml importa todos los archivosxml del directorio remoto.

Procedimiento1. Pulse la pestaña Admin.2. Pulse el icono Exploradores de evaluación de vulnerabilidades.3. Pulse Añadir.4. En el campo Nombre de explorador, escriba un nombre para identificar el

explorador AXIS.5. En la lista Host gestionado, seleccione el host gestionado que gestiona la

importación del explorador.6. En la lista Tipo, seleccione Axis Scanner.7. En la lista Import Method, seleccione SFTP o SMB Share.8. Configure los parámetros.9. Configure un rango de CIDR para el explorador.

10. Pulse Guardar.11. En la pestaña Admin, pulse Desplegar cambios.


Para obtener más información sobre la creación de una planificación deexploración, consulte el Capítulo 24, “Planificación de una exploración devulnerabilidades”, en la página 97.


Capítulo 3. Visión general del explorador Beyond SecurityAutomatic Vulnerability Detection System

La evaluación de vulnerabilidades consiste en la evaluación de los activos de la redpara identificar los problemas de seguridad potenciales y asignarles una prioridad.Los productos de QRadar que dan soporte a la evaluación de vulnerabilidadespueden importar los datos de vulnerabilidad desde productos de exploradorexternos para identificar los perfiles de las vulnerabilidades de los activos.

Los perfiles de evaluación de vulnerabilidades utilizan datos de sucesosrelacionados, la actividad de la red y los cambios de comportamiento paradeterminar el nivel de amenaza y las vulnerabilidades existentes en los activos dela empresa más importantes en la red. A medida que los exploradores externosgeneran datos de exploración, QRadar puede recuperar los datos de vulnerabilidadcon una planificación de exploración.

Para configurar un explorador Beyond Security AVDS, consulte el apartado“Adición de un explorador de vulnerabilidades Beyond Security AVDS”.

Adición de un explorador de vulnerabilidades Beyond Security AVDSLos dispositivos Beyond Security Automated Vulnerability Detection System(AVDS) crean datos de vulnerabilidad en el formato AXIS (Asset ExportInformation Source). Los archivos con formato AXIS se pueden importar mediantearchivos XML que se puedan importar.


Para integrar con éxito las vulnerabilidades de Beyond Security AVDS con QRadar,debe configurar el dispositivo de Beyond Security AVDS para que publique losdatos de vulnerabilidad en un archivo de resultados XML con formato AXIS. Losdatos de vulnerabilidad XML deben publicarse en un servidor remoto al que sepueda acceder a través de SFTP (protocolo de transferencia segura de archivos). Eltérmino servidor remoto hace referencia a cualquier dispositivo, host de terceros oubicación de almacenamiento de red que pueda alojar los archivos XML deresultados de la exploración publicados.

Los resultados XML más recientes que contienen vulnerabilidades de BeyondSecurity AVDS se importan cuando comienza una planificación de exploración. Lasplanificaciones de exploración determinan la frecuencia con la que se importan losdatos de vulnerabilidad creados por Beyond Security AVDS. Después de añadir eldispositivo de Beyond Security AVDS a QRadar, cree una planificación deexploración para importar los archivos de resultados de la exploración. Lasvulnerabilidades de la planificación de exploración actualizan la pestaña Activosuna vez finalizada la planificación de exploración.


explorador Beyond Security AVDS.


5. En la lista Host gestionado, seleccione el host gestionado del despliegue deQRadar que gestiona la importación del explorador.

6. En la lista Tipo, seleccione Beyond Security AVDS.7. En el campo Remote Hostname, escriba la dirección IP o el nombre de host

del sistema que contiene los resultados de exploración publicados delexplorador Beyond Security AVDS.

8. Elija una de las opciones de autenticación siguientes:

Opción Descripción

Login Username Para la autenticación con un nombre deusuario y una contraseña:

1. En el campo Login Username, escriba unnombre de usuario que tenga acceso pararecuperar los resultados de laexploración del host remoto.

2. En el campo Login Password, escriba lacontraseña que está asociada con elnombre de usuario.

Enable Key Authorization Para la autenticación con un archivo deautenticación basado en clave:

1. Seleccione la casilla de verificaciónEnable Key Authentication.

2. En el campo Private Key File, escriba lavía de acceso del directorio del archivode claves.

El directorio predeterminado del archivo declaves es /opt/qradar/conf/vis.ssh.key.

Si no existe un archivo de claves, debe crearel archivo vis.ssh.key.

9. En el campo Remote Directory, escriba la ubicación del directorio de losarchivos de resultados de la exploración.

10. En el campo File Name Pattern, escriba una expresión regular para filtrar lalista de archivos del directorio remoto. Todos los archivos coincidentes seincluyen en el proceso.El valor predeterminado es .*\.xml. El patrón .*\.xml importa todos losarchivos xml del directorio remoto.

11. En el campo Max Reports Age (Days), escriba la antigüedad máxima de losarchivos de resultados de la exploración. Los archivos que sean más antiguosque los días y la indicación de fecha y hora que están especificados en elarchivo de informe se excluyen cuando se inicia la exploración planificada. Elvalor predeterminado es de 7 días.

12. Para configurar la opción Ignore Duplicates:v Seleccione esta casilla de verificación para realizar el seguimiento de los

archivos que una planificación de exploración ya ha procesado. Esta opciónimpide que un archivo de resultados de exploración se procese por segundavez.

v Deseleccione esta casilla de verificación para importar los resultados de laexploración de vulnerabilidades cada vez que se inicia la planificación de laexploración. Esta opción puede hacer que haya varias vulnerabilidadesasociadas con un mismo activo.


Si un archivo de resultados no se explora en un plazo de 10 días, el archivo seelimina de la lista de seguimiento y se procesa la siguiente vez que se inicia laplanificación de exploración.

13. Para configurar un rango de CIDR para su explorador:a. Escriba el rango de CIDR para la exploración o pulse Examinar para

seleccionar un rango de CIDR de la lista de redes.b. Pulse Añadir.




Capítulo 3. Visión general del explorador Beyond Security AVDS 7

Capítulo 4. Exploradores de Digital Defense Inc AVS

Puede añadir un explorador Digital Defense Inc AVS al despliegue de IBM SecurityQRadar.

Antes de empezar

Antes de añadir este explorador, se necesita un certificado de servidor para darsoporte a las conexiones HTTPS. QRadar da soporte a los certificados con lasextensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado aldirectorio /opt/qradar/conf/trusted_certificates, seleccione una de las opcionessiguientes:v Copie manualmente el certificado en el directorio /opt/qradar/conf/

trusted_certificates mediante SCP o SFTP.v Abra una sesión de SSH en la consola o el host gestionado y recupere el

certificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombrede host> <puerto opcional - valor predeterminado 443>. Se descargará uncertificado del nombre de host o la dirección IP que se haya especificado y secolocará en el directorio /opt/qradar/conf/trusted_certificates con el formatoadecuado.


A intervalos que están determinados por una planificación de exploración, QRadarimporta los resultados XML más recientes que contienen vulnerabilidades deDigital Defense Inc AVS. Para permitir la comunicación con el explorador DigitalDefense Inc AVS, QRadar utiliza las credenciales que especifique en laconfiguración del explorador.

En la lista siguiente se proporciona más información sobre los parámetros deexploración de Digital Defense Inc AVS:

Remote HostnameNombre de host del servidor remoto que aloja el explorador DigitalDefense Inc AVS.

Remote PortNúmero de puerto del servidor remoto que aloja el explorador DigitalDefense Inc AVS.

Remote URLURL del servidor remoto que aloja el explorador Digital Defense Inc AVS.

Client IDEl ID de cliente maestro que se utiliza para conectarse al explorador DigitalDefense Inc AVS.

Host ScopeCuando se establece en Internal, recupera la vista activa para los hostsinternos del explorador Digital Defense Inc AVS. Cuando se establece enExternal, recupera la vista activa externa del explorador Digital Defense IncAVS.

Retrieve Data For AccountLa opción Default indica que solamente se incluyen los datos del ID decliente (Client ID) especificado. Si desea incluir datos del ID de cliente y


de todas sus subcuentas, seleccione All Sub Accounts. Si desea especificarun solo ID de cliente alternativo, seleccione Alternate Client ID.

Correlation MethodEspecifica el método por el que se correlacionan las vulnerabilidades.v La opción All Available consulta el catálogo de vulnerabilidades de

Digital Defense Inc e intenta correlacionar las vulnerabilidades que estánbasadas en todas las referencias que se devuelven para esavulnerabilidad específica. Las referencias podrían incluir CVE, Bugtraq,boletín de seguridad de Microsoft y OSVDB. Cuando hay variasreferencias suelen correlacionarse con la misma vulnerabilidad, pero sedevuelven más resultados y se tarda más en procesar que con la opciónCVE.

v La opción CVE correlaciona las vulnerabilidades que se basan solamenteen el ID de CVE.

Procedimiento1. Pulse la pestaña Admin.2. En el menú de navegación, pulse Orígenes de datos.3. Pulse el icono Exploradores de evaluación de vulnerabilidades.4. Pulse Añadir.5. En el cuadro de lista Tipo, seleccione Digital Defense Inc AVS.6. Configure los parámetros.7. Para configurar los rangos de CIDR que desea que este explorador tenga en

cuenta, escriba el rango de CIDR o pulse Examinar para seleccionar el rangode CIDR de la lista de redes.

8. Pulse Añadir.9. Pulse Guardar.

10. En la pestaña Admin, pulse Desplegar cambios.


Después de añadir el explorador Digital Defense Inc AVS, puede añadir unaplanificación de exploración para recuperar la información de vulnerabilidades.


Capítulo 5. Visión general del explorador eEye

QRadar puede recopilar datos de vulnerabilidad de los exploradores eEye RetinaCS o eEye REM Security Management Console.

Las opciones de protocolo siguientes están disponibles para recopilar informaciónde vulnerabilidades de los exploradores eEye:v Añadir un explorador eEye de protocolo SNMP. Consulte el apartado “Adición

de una exploración de SNMP de eEye REM”.v Añadir un explorador eEye de protocolo JDBC. Consulte el apartado “Adición

de una exploración de JDBC de eEye REM” en la página 13.Tareas relacionadas:“Instalación de Java Cryptography Extension sin restricciones” en la página 1Java Cryptography Extension (JCE) es una infraestructura Java necesaria paradescifrar los algoritmos de cifrado avanzados para las condiciones de excepción deSNMPv3 AES de 192 bits o AES de 256 bits.

Adición de una exploración de SNMP de eEye REMPuede añadir un explorador para recopilar datos de vulnerabilidad sobre SNMPcon exploradores eEye REM o CS Retina.

Antes de empezar

Para utilizar identificadores y descripciones de CVE, debe copiar el archivoaudits.xml del explorador eEye REM al host gestionado responsable de la escuchade datos de SNMP. Si el host gestionado está en un despliegue distribuido, debecopiar audits.xml a la consola en primer lugar y abrir una sesión de SSH paraenviar el archivo a /opt/qradar/conf/audits.xml en el host gestionado. Laubicación predeterminada de audits.xml en el explorador eEye es%ProgramFiles(x86)%\eEye Digital Security\Retina CS\Applications\RetinaManager\Database\audits.xml.

Para recibir la información de CVE más actualizada,actualice periódicamenteQRadar con el último archivo audits.xml.


servidor de SecureScout.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione eEye REM Scanner.7. En la lista Import Type, seleccione SNMP.8. En el campo Base Directory, escriba una ubicación para almacenar los

archivos temporales que contienen datos de exploración eEye REM. Eldirectorio predeterminado es /store/tmp/vis/eEye/.


9. En el campo Cache Size, escriba el número de transacciones que deseaalmacenar en la memoria caché antes de que los datos de SNMP se escribanen el archivo temporal. El valor predeterminado es 40. El valorpredeterminado es de 40 transacciones.

10. En el campo Retention Period, escriba el periodo de tiempo, en días, que elsistema almacena la información de exploración. Si una planificación deexploración no ha importado datos antes de que el periodo de retencióncaduque, la información de exploración de la memoria caché se suprime.

11. Seleccione la casilla de verificación Use Vulnerability Data para correlacionarlas vulnerabilidades de eEye con los identificadores de CVE (CommonVulnerabilities and Exposures) y la información de descripción. .

12. En el campo Vulnerability Data File, escriba la vía de acceso del directoriodel archivo audits.xml de eEye.

13. En el campo Listen Port, escriba el número de puerto que se utiliza parasupervisar la información de vulnerabilidades de SNMP entrante que llega delexplorador eEye REM. El puerto predeterminado es el 1162.

14. En el campo Source Host, escriba la dirección IP del explorador eEye.15. En la lista SNMP Version, seleccione la versión del protocolo SNMP. El

protocolo predeterminado es SNMPv2.16. En el campo Community String, escriba la cadena de comunidad de SNMP

correspondiente al protocolo SNMPv2 como, por ejemplo, Public.17. En la lista Authentication Protocol, seleccione el algoritmo para autenticar las

condiciones de excepción de SNMPv3.18. En el campo Authentication Password, escriba la contraseña que desea

utilizar para autenticar las comunicaciones SNMPv3. La contraseña debecontener un mínimo de ocho caracteres.

19. En la lista Encryption Protocol, seleccione el algoritmo de descifrado deSNMPv3.

20. En el campo Encryption Password, escriba la contraseña para descifrar lascondiciones de excepción de SNMPv3.

21. Para configurar un rango de CIDR para su explorador:a. Escriba el rango de CIDR para la exploración o pulse Examinar para




Seleccione una de las opciones siguientes:v Si no utiliza SNMPv3 o si utiliza un cifrado de SNMP de bajo nivel, ya puede

crear una planificación de exploración. Consulte el Capítulo 24, “Planificación deuna exploración de vulnerabilidades”, en la página 97.

v Si la configuración de SNMPv3 utiliza el cifrado AES192 o AES256, debe instalarJava Cryptography Extension en cada consola o host gestionado que recibacondiciones de excepción de SNMPv3. Consulte el apartado “Instalación de JavaCryptography Extension sin restricciones” en la página 1.


Adición de una exploración de JDBC de eEye REMPuede añadir un explorador para recopilar datos de vulnerabilidad sobre JDBC conexploradores eEye REM o CS Retina.

Antes de empezar

Antes de configurar QRadar para sondear los datos de vulnerabilidad, lerecomendamos que cree una cuenta de usuario y una contraseña de base de datospara QRadar. Si asigna a la cuenta de usuario el permiso de solo lectura sobreRetinaCSDatabase, puede restringir el acceso a la base de datos que contiene lasvulnerabilidades de eEye. El protocolo JDBC permite que QRadar inicie una sesióny sondee los sucesos de la base de datos de MSDE. Asegúrese de que ningunaregla de cortafuegos bloquee la comunicación entre el explorador eEye y la consolao el host gestionado responsable del sondeo con el protocolo JDBC. Si utilizainstancias de base de datos, debe verificar que el puerto 1433 esté disponible paraque el servicio SQL Server Browser Service resuelva el nombre de instancia.


explorador eEye.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione eEye REM Scanner.7. En la lista Import Type, seleccione JDBC.8. En el campo Hostname, escriba la dirección IP o el nombre de host de la base

de datos de eEye.9. En el campo Port, escriba 1433.

10. Opcional. En el campo Database Instance, escriba la instancia de base dedatos correspondiente a la base de datos de eEye.Si no se utiliza una instancia de base de datos, deje este campo en blanco.

11. En el campo Username, escriba el nombre de usuario necesario para consultarla base de datos de eEye.

12. En el campo Password, escriba la contraseña necesaria para consultar la basede datos de eEye.

13. En el campo Domain, escriba el dominio necesario, si es preciso, paraconectarse a la base de datos de eEye.Si la base de datos está configurada para Windows y está dentro de undominio, debe especificar el nombre de dominio.

14. En el campo Database Name, escriba RetinaCSDatabase como el nombre de labase de datos.

15. Seleccione la casilla de verificación Use Named Pipe Communication si senecesitan conductos con nombre para comunicarse con la base de datos deeEye. De forma predeterminada, esta casilla de verificación no estáseleccionada.

16. Seleccione la casilla de verificación Use NTLMv2 si el explorador eEye utilizaNTLMv2 como protocolo de autenticación. De forma predeterminada, estacasilla de verificación no está seleccionada.

Capítulo 5. Visión general del explorador eEye 13

La casilla de verificación Use NTLMv2 hace que las conexiones MSDE utilicenobligatoriamente el protocolo NTLMv2 al comunicarse con los servidores SQLque necesitan autenticación NTLMv2. La selección de la casilla de verificaciónUse NTLMv2 no tiene efecto alguno sobre las conexiones MSDE a servidoresSQL que no necesitan autenticación NTLMv2.

17. Para configurar un rango de CIDR para el explorador:a. En el campo de texto, escriba el rango de CIDR que desea que este

explorador tenga en cuenta o pulse Examinar para seleccionar un rango deCIDR de la lista de redes.

b. Pulse Añadir.18. Pulse Guardar.19. En la pestaña Admin, pulse Desplegar cambios.




Capítulo 6. Visión general del explorador IBM AppScanEnterprise

QRadar recupera los informes de AppScan Enterprise con el servicio web REST(Representational State Transfer) para importar los datos de vulnerabilidad ygenerar delitos para el equipo de seguridad. AppScan Enterprise

Puede importar los resultados de la exploración a partir de los datos de informe deIBM Security AppScan Enterprise, lo que le proporciona un entorno de seguridadcentralizada para la exploración avanzada de aplicaciones y la generación deinformes de conformidad de seguridad. Puede importar los resultados de laexploración de IBM Security AppScan Enterprise para recopilar información devulnerabilidades de activos relacionada con programas maliciosos (malware),aplicaciones web y servicios web en su despliegue.

Para integrar AppScan Enterprise con IBM Security QRadar, debe realizar las tareassiguientes:1. Genere informes de exploración en IBM AppScan Enterprise.

La información de configuración de informes se encuentra en la documentaciónde IBM AppScan Enterprise.

2. Configure AppScan Enterprise para dar a QRadar acceso a los datos deinforme.

3. Configure el explorador de AppScan Enterprise en QRadar.4. Cree una planificación en QRadar para importar los resultados de AppScan

Enterprise.

Para configurar IBM AppScan Enterprise para otorgar permiso a los datos deinforme, el administrador de AppScan debe determinar qué usuarios tienenpermiso para publicar informes en QRadar. Después de que los usuarios deAppScan Enterprise configuren informes, los informes generados por AppScanEnterprise se pueden publicar en QRadar, para que se puedan descargar.

Para configurar AppScan Enterprise para otorgar acceso a los datos de informe deexploración, consulte el apartado “Creación de un tipo de usuario cliente para IBMAppScan Enterprise”.

Creación de un tipo de usuario cliente para IBM AppScan EnterprisePuede crear tipos de usuario personalizados para asignar a los administradorespermisos para tareas de administración limitadas y específicas.

Procedimiento1. Inicie sesión en el dispositivo de IBM AppScan Enterprise.2. Pulse la pestaña Administración.3. En la página User Types, pulse Create.4. Seleccione todos los permisos de usuario siguientes:v Configure QRadar Integration: Seleccione esta casilla de verificación para

que los usuarios puedan acceder a las opciones de integración de QRadarpara AppScan Enterprise.


v Publish to QRadar: Seleccione esta casilla de verificación para que QRadarpueda acceder a los datos de informe de exploración publicados.

v QRadar Service Account: Seleccione esta casilla de verificación para añadiracceso a la API REST en la cuenta de usuario. Este permiso no proporcionaacceso a la interfaz de usuario.

5. Pulse Guardar.


Ya está preparado para habilitar los permisos de integración. Consulte el apartado“Habilitación de la integración con IBM AppScan Enterprise”.

Habilitación de la integración con IBM AppScan EnterpriseIBM AppScan Enterprise debe estar configurado de modo que permita laintegración con QRadar.

Antes de empezar

Para completar estos pasos, debe haber iniciado la sesión con un tipo de usuariopersonalizado.

Procedimiento1. Pulse la pestaña Administración.2. En el menú de navegación, seleccione Network Security Systems.3. En el panel QRadar Integration Setting, pulse Edit.4. Seleccione la casilla de verificación Enable QRadar Integration. Se visualizan

los informes que se hayan publicado anteriormente en QRadar. Si alguno de losinformes que se visualizan ya no es necesario, puede eliminarlo de la lista. Amedida que publique más informes en QRadar, se irán mostrando en esta lista.


Ya está preparado para configurar la correlación de despliegue de aplicación enAppScan Enterprise. Consulte el apartado “Creación de una correlación dedespliegue de aplicación en IBM AppScan Enterprise”.

Creación de una correlación de despliegue de aplicación en IBMAppScan Enterprise

La correlación de despliegue de aplicación permite que AppScan Enterprisedetermine las ubicaciones que alojan la aplicación en el entorno de producción.


A medida que se descubren vulnerabilidades, AppScan Enterprise averigua laubicación de los hosts y las direcciones IP afectadas por la vulnerabilidad. Si unaaplicación está desplegada en varios hosts, AppScan Enterprise genera unavulnerabilidad para cada host en los resultados de la exploración.

Procedimiento1. Pulse la pestaña Administración.2. En el menú de navegación, seleccione Network Security Systems.


3. En el panel QRadar Integration Setting, pulse Edit.4. En el campo Application test location (host or pattern), escriba la ubicación de

prueba de la aplicación.5. En el campo Application production location (host), escriba la dirección IP del

entorno de producción. Para añadir información de vulnerabilidades a IBMSecurity QRadar, la correlación de despliegue de aplicación debe incluir unadirección IP. Si la dirección IP no está disponible en los resultados deexploración de AppScan Enterprise, los datos de vulnerabilidad sin unadirección IP se excluyen de QRadar.

6. Pulse Añadir.7. Repita este procedimiento para correlacionar más entornos de producción en

AppScan Enterprise.8. Pulse Done.


Ya está preparado para publicar los informes completados. Consulte el apartado“Publicación de informes completados en IBM AppScan Enterprise”.

Publicación de informes completados en IBM AppScan EnterpriseLos informes de vulnerabilidades completados generados por AppScan Enterprisedeben publicarse para ponerlos a disposición de QRadar.

Procedimiento1. Pulse la pestaña Jobs & Reports.2. Vaya al informe de seguridad que desea poner a disposición de IBM Security

QRadar.3. En la barra de menús de cualquier informe de seguridad, seleccione Publish >

Grant para proporcionar acceso al informe a QRadar.4. Pulse Guardar.


Ya está preparado para habilitar los permisos de integración. Consulte el apartado“Adición de un explorador de vulnerabilidades IBM AppScan Enterprise”.

Adición de un explorador de vulnerabilidades IBM AppScan EnterprisePuede añadir un explorador para definir qué informes de exploración de IBMSecurity AppScan recopilará QRadar.

Antes de empezar

Si la instalación de AppScan está configurada para utilizar HTTPS, se necesita uncertificado de servidor. IBM Security QRadar da soporte a los certificados con lasextensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado aldirectorio /opt/qradar/conf/trusted_certificates, seleccione una de las opcionessiguientes:v Copie manualmente el certificado en el directorio /opt/qradar/conf/

trusted_certificates mediante SCP o SFTP.

Capítulo 6. Visión general del explorador IBM AppScan Enterprise 17

v Abra una sesión de SSH en la consola o el host gestionado y recupere elcertificado con el mandato siguiente: /opt/qradar/bin/getcert.sh <IP o nombrede host> <puerto opcional - valor predeterminado 443>. Se descargará uncertificado del nombre de host o la dirección IP que se haya especificado y secolocará en el directorio /opt/qradar/conf/trusted_certificates con el formatoadecuado.


Puede añadir varios exploradores IBM AppScan a QRadar y cada uno de ellospuede tener una configuración diferente. La existencia de varias configuracionespermite a QRadar importar datos de AppScan para resultados específicos. Laplanificación de exploración determina la frecuencia con la que los resultados de laexploración se importan desde el servicio web REST a IBM AppScan Enterprise.


explorador IBM AppScan Enterprise.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione IBM AppScan Scanner.7. En el campo ASE Instance Base URL, escriba el URL base completo de la

instancia de AppScan Enterprise. HTTP y HTTPS se admiten en la direcciónURL.

Ejemplo: XML API - http://minombrehostase/ase

Ejemplo: JSON API - http://minombrehostase/ase/api8. En la lista Tipo de API, seleccione una de las opciones siguientes:v XML (anterior a v9.02): si su versión de AppScan Enterprise es anterior a

v9.02, seleccione esta opción. Este tipo de API utiliza el servicio web RESTXML de AppScan.

v JSON (v9.0.2 y posterior): si su versión de AppScan Enterprise es 9.02 oposterior, seleccione esta opción. Este tipo de API utiliza el servicio webREST JSON de AppScan.

9. Si ha seleccionado XML (antes de v9.02) como el Tipo de API, seleccione unade las opciones siguientes de la lista Tipo de autenticación:v Windows Authentication (AppScan Enterprise 9.0 y anteriores): seleccione

esta opción para utilizar la autenticación de Windows con el servicio webREST.

v AppScan Enterprise Authentication: seleccione esta opción para utilizarAppScan Enterprise Authentication con el servicio web REST.

10. En el campo Username, escriba el nombre de usuario para recuperar los datosde exploración de AppScan Enterprise.

11. En el campo Password, escriba la contraseña para recuperar los datos deexploración de AppScan Enterprise.

12. En el campo Report Name Pattern, escriba una expresión regular para filtrarla lista de informes de vulnerabilidad disponibles en AppScan Enterprise. Deforma predeterminada, el campo Report Name Pattern contiene .* como


patrón de expresión regular. El patrón .* importa todos los informes deexploración que están publicados en QRadar. QRadar procesa todos losarchivos que coinciden con el patrón. Puede especificar un grupo de informesde vulnerabilidad o un informe individual utilizando un patrón de expresiónregular.

13. Configure un rango de CIDR para su explorador:a. Escriba el rango de CIDR para el explorador o pulse Examinar para




Ya está preparado para crear una planificación de exploración para IBM AppScanEnterprise. Consulte el Capítulo 24, “Planificación de una exploración devulnerabilidades”, en la página 97.

Capítulo 6. Visión general del explorador IBM AppScan Enterprise 19

Capítulo 7. Visión general del explorador IBM Guardium

Los dispositivos de IBM InfoSphere Guardium pueden exportar información devulnerabilidades de base de datos que puede ser esencial para la protección de losdatos de los clientes.

Los procesos de auditoría de IBM Guardium exportan los resultados de laspruebas que no superan las pruebas de CVE (Common Vulnerability andExposures) generadas al ejecutar las pruebas de evaluación de la seguridad en eldispositivo de IBM Guardium. Los datos de vulnerabilidad de IBM Guardiumdeben exportarse a un servidor remoto o a un servidor de transferencia con elformato SCAP (Security Content Automation Protocol). IBM Security QRadarpuede recuperar a continuación los resultados de la exploración del servidorremoto en el que se almacena la vulnerabilidad mediante SFTP.

IBM Guardium solo exporta la vulnerabilidad de las bases de datos que contienenresultados de pruebas de CVE no superadas. Si no hay ninguna prueba de CVEque no se haya superado, puede que IBM Guardium no exporte un archivo al finalde la evaluación de la seguridad. Para obtener información sobre la configuraciónde las pruebas de evaluación de la seguridad y la creación de un proceso deauditoría para exportar los datos de vulnerabilidad en formato SCAP, consulte ladocumentación de IBM InfoSphere Guardium.

Una vez que haya configurado el dispositivo de IBM Guardium, ya está preparadopara configurar QRadar para importar los resultados del servidor remoto que alojalos datos de vulnerabilidad. Debe añadir un explorador IBM Guardium en QRadary configurarlo para recuperar datos desde el servidor remoto. QRadar importa lasvulnerabilidades más recientes cuando se crea una planificación de exploración.Las planificaciones de exploración permiten determinar la frecuencia con la queQRadar solicita datos del servidor remoto que aloja los datos de vulnerabilidad deIBM Guardium.

Visión general de la integración de IBM InfoSphere Guardium y QRadar.1. En el dispositivo de IBM InfoSphere Guardium, cree un archivo SCAP con la

información de vulnerabilidades. Consulte la documentación de IBMInfoSphere Guardium.

2. En la consola de QRadar, añada un explorador IBM Guardium. Consulte elapartado “Adición de un explorador de vulnerabilidades IBM Guardium”.

3. En la consola de QRadar, cree una planificación de exploración para importarlos datos de resultados de la exploración. Consulte el Capítulo 24,“Planificación de una exploración de vulnerabilidades”, en la página 97.

Adición de un explorador de vulnerabilidades IBM GuardiumLa adición de un explorador permite que QRadar recopile archivos devulnerabilidad SCAP de IBM InfoSphere Guardium.


Los administradores pueden añadir varios exploradores IBM Guardium a IBMSecurity QRadar, y cada uno de ellos puede tener una configuración diferente. Laexistencia de varias configuraciones permite a QRadar importar datos de


vulnerabilidad para resultados específicos. La planificación de exploracióndetermina la frecuencia con la que los resultados de la exploración SCAP seimportan de IBM InfoSphere Guardium.


explorador IBM Guardium.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione IBM Guardium SCAP Scanner.7. Elija una de las opciones de autenticación siguientes:



1. En el campo Login Username, escriba unnombre de usuario que tenga acceso pararecuperar los resultados de laexploración del host remoto.





El directorio predeterminado del archivo declaves es /opt/qradar/conf/vis.ssh. Si noexiste un archivo de claves, debe crear elarchivo vis.ssh.

8. En el campo Remote Directory, escriba la ubicación del directorio de losarchivos de resultados de la exploración.

9. En el campo File Name Pattern, escriba la expresión regular necesaria parafiltrar la lista de archivos de vulnerabilidad SCAP que se ha especificado en elcampo Remote Directory. Todos los archivos coincidentes se incluyen en elproceso. De forma predeterminada, el campo Report Name Pattern contiene.*\.xml como patrón de expresión regular. El patrón .*\.xml importa todoslos archivos xml del directorio remoto.


11. Para configurar la opción Ignore Duplicates:


v Seleccione esta casilla de verificación para realizar el seguimiento de losarchivos que una planificación de exploración ya ha procesado. Esta opciónimpide que un archivo de resultados de exploración se procese por segundavez.

v Deseleccione esta casilla de verificación para importar los resultados de laexploración de vulnerabilidades cada vez que se inicia la planificación de laexploración. Esta opción puede hacer que haya varias vulnerabilidadesasociadas con un mismo activo.

Si un archivo de resultados no se explora en un plazo de 10 días, el archivo seelimina de la lista de seguimiento y se procesa la siguiente vez que se inicia laplanificación de exploración.

12. Para configurar un rango de CIDR para su explorador:a. En el campo de texto, escriba el rango de CIDR que desea que este




Ya está preparado para crear una planificación de exploración para IBM InfoSphereGuardium. Consulte el Capítulo 24, “Planificación de una exploración devulnerabilidades”, en la página 97.

Capítulo 7. Visión general del explorador IBM Guardium 23

Capítulo 8. Visión general del explorador IBM SiteProtector

El módulo rastreador IBM SiteProtector para QRadar accede a los datos devulnerabilidad de los exploradores SiteProtector a través de consultas JDBC (JavaDatabase Connectivity).

El explorador IBM SiteProtector recupera datos de vulnerabilidad de la tablaRealSecureDB y realiza sondeos para detectar nuevas vulnerabilidades cada vezque se inicia una planificación de exploración. El campo Compare permite que laconsulta recupere vulnerabilidades nuevas de la tabla RealSecureDB paragarantizar que no se importan vulnerabilidades duplicadas. Cuando se configuraun explorador IBM SiteProtector, el administrador puede crear una cuenta deusuario de SiteProtector específicamente para el sondeo de los datos devulnerabilidad. Una vez creada la cuenta de usuario, el administrador puedecomprobar que no haya cortafuegos que rechacen la consultas en el puertoconfigurado para sondear la base de datos.

Para configurar un explorador IBM SiteProtector, consulte el apartado “Adición deun explorador de vulnerabilidades IBM SiteProtector”.

Adición de un explorador de vulnerabilidades IBM SiteProtectorQRadar puede sondear los dispositivos de IBM InfoSphere SiteProtector paraobtener datos de vulnerabilidad con JDBC.


Los administradores pueden añadir varios exploradores IBM SiteProtector a IBMSecurity QRadar, y cada uno de ellos puede tener una configuración diferente. Laexistencia de varias configuraciones permite a QRadar consultar SiteProtector eimportar únicamente los resultados de rangos de CIDR concretos. La planificaciónde exploración determina la frecuencia con la que se consulta la base de datos enel explorador SiteProtector para obtener datos de vulnerabilidad.


explorador IBM SiteProtector.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione IBM SiteProtector Scanner.7. En el campo Hostname, escriba la dirección IP o el nombre de host del IBM

SiteProtector que contiene vulnerabilidades para importar.8. En el campo Port, escriba 1433 como puerto para la base de datos de IBM

SiteProtector.9. En el campo Username, escriba el nombre de usuario necesario para consultar

la base de datos de IBM SiteProtector.


10. En el campo Password, escriba la contraseña necesaria para consultar la basede datos de IBM SiteProtector.

11. En el campo Domain, escriba el dominio necesario, si es preciso, paraconectarse a la base de datos de IBM SiteProtector.Si la base de datos está configurada para Windows y está dentro de undominio, debe especificar el nombre de dominio.

12. En el campo Database Name, escriba RealSecureDB como el nombre de la basede datos.

13. En el campo Database Instance, escriba la instancia de base de datoscorrespondiente a la base de datos de IBM SiteProtector. Si no utiliza unainstancia de base de datos, puede dejar este campo en blanco.

14. Seleccione Use Named Pipe Communication si se necesitan conductos connombre para comunicarse con la base de datos de IBM SiteProtector. De formapredeterminada, esta casilla de verificación no está seleccionada.

15. Seleccione la casilla de verificación Use NTLMv2 si el explorador IBMSiteProtector utiliza NTLMv2 como protocolo de autenticación. De formapredeterminada, esta casilla de verificación no está seleccionada.La casilla de verificación Use NTLMv2 hace que las conexiones MSDE utilicenobligatoriamente el protocolo NTLMv2 al comunicarse con los servidores SQLque necesitan autenticación NTLMv2. La selección de la casilla de verificaciónUse NTLMv2 no tiene efecto alguno sobre las conexiones MSDE a servidoresSQL que no necesitan autenticación NTLMv2.

16. Para configurar un rango de CIDR para el explorador:a. En el campo de texto, escriba el rango de CIDR para la exploración o pulse

Examinar para seleccionar un rango de CIDR de la lista de redes.b. Pulse Añadir.





Capítulo 9. Visión general del explorador IBM BigFix

El módulo de explorador IBM BigFix accede a datos de vulnerabilidad de IBMBigFix mediante la API SOAP que se instala con la aplicación Web Reports.

Para recuperar datos de vulnerabilidad de BigFix para IBM Security QRadar, senecesita la aplicación Web Reports de BigFix. Los administradores crean un usuariode IBM BigFix para que QRadar lo utilice cuando el sistema recopilavulnerabilidades.

QRadar es compatible con IBM BigFix para las versiones 8.2.x a 9.5.2.

Adición de un explorador de vulnerabilidades de IBM BigFixQRadar accede a los datos de vulnerabilidad de IBM BigFix mediante la API SOAPinstalada con la aplicación Web Reports.


Puede añadir varios exploradores IBM BigFix en QRadar. Cada explorador necesitauna configuración diferente para cada rango de CIDR que el explorador debaexplorar.

Utilice varias configuraciones para un único explorador IBM BigFix para crearexploradores individuales que recopilen datos de resultados específicos deubicaciones o vulnerabilidades para tipos determinados de sistemas operativos.


IBM BigFix.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione IBM BigFix.7. En el campo Hostname, escriba la dirección IP o el nombre de host del

explorador IBM BigFix que contiene las vulnerabilidades que desea recuperarcon la API SOAP.

8. En el campo Port, escriba el número de puerto que se utiliza para conectarcon el explorador IBM BigFix mediante la API SOAP. De formapredeterminada, el puerto 80 es el número de puerto para comunicarse conIBM BigFix. Si utiliza HTTPS, debe actualizar este campo con el número depuerto HTTPS. Para la mayoría de las configuraciones, utilice el puerto 443.

9. Seleccione la casilla de verificación Use HTTPS para conectar de forma seguracon el protocolo HTTPS.Si selecciona esta casilla de verificación, el nombre de host principal o ladirección IP que especifique utiliza HTTPS para conectarse a IBM BigFix.Cuando se utiliza HTTPS se necesita un certificado de servidor. Loscertificados deben colocarse en el directorio /opt/qradar/conf/


trusted_certificates. QRadar da soporte a los certificados con lasextensiones de archivo siguientes: .crt, .cert o .der. Puede utilizar SCP o SFTPpara copiar manualmente el certificado en el directorio /opt/qradar/conf/trusted_certificates. Como alternativa, puede descargar una copia delcertificado directamente del host de QRadar. Para ello, utilice SSH paraconectarse al host y escriba el mandato siguiente: /opt/qradar/bin/getcert.sh[IP_o_nombre_de_host]. También puede añadir un número de puerto almandato. El puerto predeterminado es 443. Se descargará un certificado delnombre de host o la dirección IP que se haya especificado y se colocará en eldirectorio /opt/qradar/conf/trusted_certificates con el formato adecuado.

10. En el campo Nombre de usuario, teclee el nombre de usuario de la cuentaque tiene acceso a IBM BigFix.

11. En el campo Contraseña, escriba la contraseña.12. Para configurar un rango de CIDR para su explorador:

a. En el campo de texto, escriba el rango de CIDR que desea que esteexplorador explore o pulse Examinar para seleccionar un rango de CIDRde la lista de redes.


Configuración de credenciales de API SOAP para el servicio de plug-inde servidor BES de IBM BigFixen un servidor Windows de 32 bits

Para la configuración de las credenciales de API SOAP para el servidor BES en unservidor Windows de 32 bits es necesario seguir pasos específicos.

Procedimiento

Para configurar las credenciales de API SOAP para el servidor BES en el servidorWindows de 32 bits, siga estos pasos.1. Especifique su nombre de usuario de Web Reports para <NombreUsuarioSOAP>

en la clave de registro siguiente: [HKEY_LOCAL_MACHINE\SOFTWARE\BigFix\Enterprise Server\BESReports]NombreUsuarioSOAP.

2. Especifique su contraseña cifrada de Web Reports para <ContraseñaSOAP> en laclave de registro siguiente: [HKEY_LOCAL_MACHINE\SOFTWARE\BigFix\EnterpriseServer\BESReports]ContraseñaSOAP.

3. Especifique el URL del servidor de Web Reports para <WRHTTP> en la clavede registro siguiente: [HKEY_LOCAL_MACHINE\SOFTWARE\BigFix\EnterpriseServer\BESReports]WRHTTP

4. Especifique el número 2 como el valor del método de cifrado de contraseñapara <ContraseñaSOAPEstáCifrada> en la clave de registro siguiente:[HKEY_LOCAL_MACHINE\SOFTWARE\BigFix\Enterprise Server\BESReports]ContraseñaSOAPEstáCifrada.

Para obtener más información sobre la configuración de las credenciales de APISOAP, consulte la nota técnica BigFix Server Plugin Service installation and setup(http://www-01.ibm.com/support/docview.wss?uid=swg21506199).


http://www-01.ibm.com/support/docview.wss?uid=swg21506199

Configuración de credenciales de API SOAP para el servicio de plug-inde servidor BES de IBM BigFixen un servidor Windows de 64 bits

Para la configuración de las credenciales de API SOAP para el servidor BES en unservidor Windows de 64 bits es necesario seguir pasos específicos.

Procedimiento

Para configurar las credenciales de API SOAP para el servidor BES en el servidorWindows de 64 bits, siga estos pasos.1. Especifique su nombre de usuario de Web Reports para <NombreUsuarioSOAP>

en la clave de registro siguiente:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix\EnterpriseServer\BESReports] NombreUsuarioSOAP.

2. Especifique su contraseña cifrada de Web Reports para <ContraseñaSOAP> en laclave de registro siguiente:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix\EnterpriseServer\BESReports] ContraseñaSOAP.

3. Especifique el URL del servidor de Web Reports para <WRHTTP> en la clavede registro siguiente:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix\EnterpriseServer\BESReports]WRHTTP.

4. Especifique el número 2 como el valor del método de cifrado de contraseñapara <ContraseñaSOAPEstáCifrada> en la clave de registro siguiente:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix\EnterpriseServer\BESReports] ContraseñaSOAPEstáCifrada.


Configuración de credenciales de API SOAP para el servicio de plug-inde servidor BES de IBM BigFixen un servidor Linux

Para la configuración de las credenciales de API SOAP para el servidor BES en unservidor Linux es necesario seguir pasos específicos.

Procedimiento

Para configurar las credenciales de API SOAP para el servidor BES en el servidorLinux, siga estos pasos.1. Abra el archivo /var/opt/BESServer/Applications/SOAPCredentials.2. Sustituya <NombreUsuarioSOAP> por el nombre de usuario de la cuenta que

tiene acceso al archivo.3. Sustituya <ContraseñaSOAP> por la contraseña de la cuenta que tiene acceso al

archivo.4. Sustituya <WRHTTP> por el URL de Web Reports de la cuenta que tiene acceso

al archivo.


Capítulo 9. Visión general del explorador IBM BigFix 29



Capítulo 10. Visión general del explorador IBM Tivoli EndpointManager

IBM Tivoli Endpoint Manager se conoce ahora como IBM BigFix.

Para obtener más información sobre exploradores de IBM BigFix, consulteCapítulo 9, “Visión general del explorador IBM BigFix”, en la página 27


Capítulo 11. Visión general del explorador Juniper ProfilerNSM

QRadar puede recopilar datos de vulnerabilidad de la base de datos PostgreSQL enel explorador Juniper Profiler NSM mediante el sondeo de los datos con JDBC.

La consola de Juniper Networks Netscreen Security Manager (NSM) recopila deforma pasiva importante información de activos en la red a través de los sensoresJuniper Networks IDP desplegados. QRadar se conecta a la base de datos deProfiler almacenada en el servidor de NSM para recuperar estos registros. Elservidor de QRadar debe tener acceso a la base de datos de Profiler. QRadar dasoporte a las versiones 2007.1r2, 2007.2r2, 2008.1r2, 2009r1.1 y 2010.x de NSM. Paraobtener más información, consulte la documentación del proveedor. Para recopilardatos de la base de datos PostgreSQL, QRadar debe tener acceso al puerto de labase de datos Postgres a través del puerto TCP 5432. El acceso se proporciona en elarchivo pg_hba.conf, que se encuentra en /var/netscreen/DevSvr/pgsql/data/pg_hba.conf en el sistema que aloja Juniper NSM Profiler.

Para añadir un explorador Juniper NSM Profiler, consulte el apartado “Adición deun explorador Juniper NSM Profiler”.

Adición de un explorador Juniper NSM ProfilerLos administradores pueden añadir un explorador Juniper NSM Profiler parasondear los datos de vulnerabilidad con JDBC.


servidor Juniper NSM Profiler.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador. Los certificados delexplorador Juniper NSM Profiler deben residir en el host gestionadoseleccionado en la lista Host gestionado.

6. En la lista Tipo, seleccione Explorador Juniper NSM Profiler y configure losparámetros.


Nombre de host de servidor La dirección IP o el nombre de host delexplorador Juniper NSM Profiler quecontiene las vulnerabilidades que desearecuperar.

Nombre de usuario de base de datos El nombre de usuario que debe acceder alexplorador Juniper NSM Profiler.

Contraseña de base de datos La contraseña necesaria para acceder alexplorador Juniper NSM Profiler.



Nombre de base de datos El nombre de la base de datos del servidorindicado más arriba que contiene los datosdel explorador Juniper NSM Profiler.

7. Para configurar un rango de CIDR para el explorador, siga estos pasos:a. En el campo de texto, escriba el rango de CIDR para el explorador o pulse


8. Pulse Guardar.


Capítulo 12. Visión general del explorador McAfeeVulnerability Manager

El explorador McAfee Vulnerability Manager permite que QRadar importe lasvulnerabilidades de un archivo XML o que consulte un archivo de resultadosdesde McAfee OpenAPI.

QRadar puede recopilar datos de vulnerabilidad de los dispositivos de McAfeeVulnerability Manager. Se da soporte a las versiones del software siguientes:v Versiones 6.8 y 7.0 para la API SOAP de McAfee Vulnerability Managerv Versiones 6.8, 7.0 y 7.5 para las importaciones de XML remotas

Las opciones de importación siguientes están disponibles para recopilarinformación de vulnerabilidades de los exploradores McAfee VulnerabilityManager:v Para añadir una importación de XML remota para los datos de vulnerabilidad,

consulte el apartado “Adición de una exploración de importación de XMLremota”.

Nota: al exportar desde McAfee Vulnerability Manager, debe pulsar la pestañaInformes de exploración y seleccionar la opción de salida XML.

v Para recuperar las vulnerabilidades de la API SOAP, consulte el apartado“Adición de una exploración de API SOAP de McAfee Vulnerability Manager”en la página 39.

Adición de una exploración de importación de XML remotaEl explorador McAfee Vulnerability Manager permite que QRadar importe lasvulnerabilidades de un archivo XML mediante SFTP o SMB o que consulte unarchivo de resultados desde McAfee OpenAPI.

QRadar puede recopilar datos de vulnerabilidad de los dispositivos de McAfeeVulnerability Manager. Se da soporte a las versiones del software siguientes:v Versiones 6.8 y 7.0 para la API SOAP de McAfee Vulnerability Managerv Versiones 6.8, 7.0 y 7.5 para las importaciones de XML remotas

Las opciones de importación siguientes están disponibles para recopilarinformación de vulnerabilidades de los exploradores McAfee VulnerabilityManager:v Añadir una importación XML remota para datos de vulnerabilidad mediante

SFTP.v Añadir una importación XML remota para datos de vulnerabilidad mediante

SMB.

Nota: al exportar desde McAfee Vulnerability Manager, debe pulsar la pestañaInformes de exploración y seleccionar la opción de salida XML.

v Recuperar vulnerabilidades de la API SOAP.Tareas relacionadas:


“Adición de una exploración de importación de XML remota mediante SFTP”Las importaciones de XML remotas por medio de SFTP permiten que QRadar seconecte a un servidor remoto e importe datos de vulnerabilidad XML HostDatacreados por el dispositivo de McAfee Vulnerability Manager.“Adición de una exploración de importación de XML remota mediante SMB” en lapágina 38Las importaciones de XML remotas por medio de SMB permiten que QRadar seconecte a un servidor remoto e importe datos de vulnerabilidad XML HostDatacreados por el dispositivo de McAfee Vulnerability Manager.“Adición de una exploración de API SOAP de McAfee Vulnerability Manager” enla página 39Puede añadir un explorador McAfee Vulnerability Manager para permitir queQRadar recopile información de host y vulnerabilidades a través de la OpenAPI deMcAfee.

Adición de una exploración de importación de XML remotamediante SFTP

Las importaciones de XML remotas por medio de SFTP permiten que QRadar seconecte a un servidor remoto e importe datos de vulnerabilidad XML HostDatacreados por el dispositivo de McAfee Vulnerability Manager.


Las importaciones de XML remotas le permiten configurar McAfee VulnerabilityManager para que exporte los resultados de exploración a un servidor remoto.QRadar se conecta al repositorio remoto mediante SFTP e importa los informes deexploración XML completados de un directorio remoto. Para configurar, siga estospasos:1. En el servidor de gestión de configuraciones, pulse Start y a continuación

seleccione All Programs > Foundstone > FCM Console.2. Seleccione Tools > Preferences y pulse la pestaña Report Server.3. Seleccione Copy Reports to a Network Drive.4. Escriba la vía de acceso a la unidad de red. Por ejemplo, \\CompName\

ShareName.5. Pulse Apply.

Nota: Si el servicio Report Server no tiene los permisos adecuados para launidad de almacenamiento, configure los valores para el servicio ReportServer.

Puede utilizar el método de recopilación de importación de archivos para importarlos informes de exploración completados de McAfee Vulnerability Managerversiones 7.0 y 7.5.

Atención: La importación podría contener archivos XML HostData y RiskData.Solamente se da soporte a los archivos XML HostData, ya que contienen lainformación de host y vulnerabilidades necesaria. Asegúrese de que solo hayarchivos XML HostData en el directorio remoto o de que el patrón de nombre dearchivo que configure solo encuentre coincidencias con los informes HostData.



explorador McAfee Vulnerability Manager.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione McAfee Vulnerability Manager.7. En la lista Import Type, seleccione Remote XML Import.8. En el campo Remote Hostname, escriba la dirección IP o el nombre de host

del servidor remoto que aloja los datos XML de McAfee VulnerabilityManager.

9. En el campo Remote Port, escriba el puerto para recuperar los datos devulnerabilidad XML.



Login Username Se autentica con un nombre de usuario yuna contraseña. La contraseña no debecontener el carácter (!). Este carácter podríaprovocar errores de autenticación a través deSFTP.

Enable Key Authorization Se autentica con un archivo de autenticaciónbasado en clave. Si no existe un archivo declaves, debe crear el archivo vis.ssh.key ycolocarlo en el directorio/opt/qradar/conf/vis.ssh.key.

11. En el campo Remote Directory, escriba la vía de acceso del directorio de losdatos de vulnerabilidad XML.

12. En el campo File Name Pattern, escriba una expresión regular para filtrar lalista de archivos del directorio remoto. Todos los archivos coincidentes seincluyen en el proceso. Asegúrese de que este patrón solamente encuentracoincidencias con los informes XML HostData.

13. En el campo Max Reports Age (days), escriba la antigüedad máxima de losarchivos de resultados de la exploración.

14. Para configurar un rango de CIDR para el explorador:a. En el campo de texto, escriba el rango de CIDR para la exploración o pulse


15. Pulse Guardar.16. En la pestaña Admin, pulse Desplegar cambios.Conceptos relacionados:“Adición de una exploración de importación de XML remota” en la página 35El explorador McAfee Vulnerability Manager permite que QRadar importe lasvulnerabilidades de un archivo XML mediante SFTP o SMB o que consulte unarchivo de resultados desde McAfee OpenAPI.

Capítulo 12. Visión general del explorador McAfee Vulnerability Manager 37

Adición de una exploración de importación de XML remotamediante SMB

Las importaciones de XML remotas por medio de SMB permiten que QRadar seconecte a un servidor remoto e importe datos de vulnerabilidad XML HostDatacreados por el dispositivo de McAfee Vulnerability Manager.


Las importaciones de XML remotas le permiten configurar McAfee VulnerabilityManager para que exporte los resultados de exploración a un servidor remoto.QRadar se conecta al repositorio remoto mediante SMB e importa los informes deexploración XML completados de un directorio remoto. Para configurar, siga estospasos:1. En el servidor de gestión de configuraciones, pulse Start y a continuación

seleccione All Programs > Foundstone > FCM Console.2. Seleccione Tools > Preferences y pulse la pestaña Report Server.3. Seleccione Copy Reports to a Network Drive.4. Escriba la vía de acceso a la unidad de red. Por ejemplo, \\CompName\

ShareName.5. Pulse Apply.

Nota: Si el servicio Report Server no tiene los permisos adecuados para launidad de almacenamiento, configure los valores para el servicio ReportServer.

Puede utilizar el método de recopilación de importación de archivos para importarlos informes de exploración completados de McAfee Vulnerability Managerversiones 7.0 y 7.5.

Atención: La importación podría contener archivos XML HostData y RiskData.Solamente se da soporte a los archivos XML HostData, ya que contienen lainformación de host y vulnerabilidades necesaria. Asegúrese de que solo hayarchivos XML HostData en el directorio remoto o de que el patrón de nombre dearchivo que configure solo encuentre coincidencias con los informes HostData.


explorador McAfee Vulnerability Manager.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione McAfee Vulnerability Manager.7. En la lista Import Type, seleccione SMB Share.8. En el campo Nombre de host, escriba el nombre de usuario del servidor

remoto que aloja los datos XML de McAfee Vulnerability Manager.9. En el campo Nombre de usuario de inicio de sesión, escriba el nombre de

usuario que QRadar utiliza para iniciar la sesión en el Recurso compartidoSMB.


10. En el campo Contraseña de inicio de sesión, escriba la contraseña queQRadar utiliza para iniciar la sesión en el Recurso compartido SMB.

11. En el campo Dominio, escriba el dominio utilizado para conectar con elRecurso compartido SMB.

12. En el campo SMB Folder Path, teclee la vía de acceso completa al recursocompartido desde la raíz del host SMB. Utilice barras diagonales cuandoescriba la vía de acceso. Por ejemplo, /share/logs.

13. En el campo File Name Pattern, escriba una expresión regular para filtrar lalista de archivos del directorio remoto. Todos los archivos coincidentes seincluyen en el proceso. Asegúrese de que este patrón solamente encuentracoincidencias con los informes XML HostData.

14. En el campo Max Reports Age (days), escriba la antigüedad máxima de losarchivos de resultados de la exploración.

15. Configure un rango de CIDR para el explorador.a. En el campo de texto, escriba el rango de CIDR para la exploración o pulse


16. Pulse Guardar.17. En la pestaña Admin, pulse Desplegar cambios.Conceptos relacionados:“Adición de una exploración de importación de XML remota” en la página 35El explorador McAfee Vulnerability Manager permite que QRadar importe lasvulnerabilidades de un archivo XML mediante SFTP o SMB o que consulte unarchivo de resultados desde McAfee OpenAPI.

Adición de una exploración de API SOAP de McAfee VulnerabilityManager

Puede añadir un explorador McAfee Vulnerability Manager para permitir queQRadar recopile información de host y vulnerabilidades a través de la OpenAPI deMcAfee.


explorador.5. En la lista Host gestionado, seleccione el host gestionado que gestiona la

importación del explorador. Los certificados del explorador deben estar en elhost gestionado que se ha seleccionado en la lista Host gestionado.

6. En la lista Tipo, seleccione McAfee Vulnerability Manager.7. En el campo SOAP API URL, escriba la dirección IP o el nombre de host del

McAfee Vulnerability Manager que contiene las vulnerabilidades que desearecuperar con la API SOAP. Por ejemplo, https://dirección IPfoundstone:puerto SOAP. El valor predeterminado es https://localhost:3800.

8. En el campo Customer Name, escriba el nombre del cliente que pertenece alnombre de usuario.

9. En el campo User Name, escriba el nombre de usuario que accederá a McAfeeVulnerability Manager.


10. Opcional: En el campo Client IP Address, escriba la dirección IP del servidoren el que desea realizar la exploración.

Consejo: Este campo no se suele utilizar; sin embargo, puede ser necesariopara que pueda validar algunos entornos de exploración.

11. En el campo Password, escriba la contraseña para acceder a McAfeeVulnerability Manager.

12. En el campo Configuration Name, escriba el nombre de configuración deexploración que existe en McAfee Vulnerability Manager y a la que el usuariotiene acceso. Asegúrese de que esta configuración de exploración está activa oque se ejecuta con frecuencia.

13. En el campo CA Truststore, escriba la vía de acceso del directorio y el nombrede archivo correspondientes al archivo de almacén de confianza de la entidademisora de certificados.La vía de acceso predeterminada es /opt/qradar/conf/mvm.keystore.

14. En el campo CA Keystore, escriba la vía de acceso del directorio y el nombrede archivo correspondientes al almacén de claves de cliente.La vía de acceso predeterminada es /opt/qradar/conf/mvm.truststore.

15. En la lista McAfee Vulnerability Manager Version, seleccione la versión desoftware de McAfee Vulnerability Manager.

16. Para eliminar vulnerabilidades detectadas anteriormente que no se handetectado en la exploración más reciente, seleccione la casilla de verificaciónVulnerability Cleanup.

17. Para configurar un rango de CIDR para el explorador:a. Escriba el rango de CIDR para la exploración o pulse Examinar para

seleccionar un rango de CIDR de la lista de redes.McAfee Vulnerability Manager solamente acepta rangos de direccionesCIDR para una subred 0/0 que se añada como 0.0.0.0/0.



Ya está preparado para crear certificados desde McAfee Vulnerability Manager.Consulte el apartado “Creación de certificados para McAfee VulnerabilityManager”.Conceptos relacionados:“Adición de una exploración de importación de XML remota” en la página 35El explorador McAfee Vulnerability Manager permite que QRadar importe lasvulnerabilidades de un archivo XML mediante SFTP o SMB o que consulte unarchivo de resultados desde McAfee OpenAPI.

Creación de certificados para McAfee Vulnerability ManagerPara conectarse a través de la OpenAPI de Foundstone, configure los certificadosde terceros con la herramienta McAfee Certificate Manager.


Antes de empezar

Si la herramienta Certificate Manager no está instalada en el servidor de McAfeeFoundstone Enterprise Manager, póngase en contacto con el soporte técnico deMcAfee.


Debe procesar certificados del lado de cliente en archivos de almacén de claves yde almacén de confianza válidos para QRadar en el servidor de McAfeeFoundstone Enterprise Manager.

El servidor de McAfee Foundstone Enterprise Manager debe ser compatible con laversión de OpenSSL con capacidades FIPS utilizada por Foundstone CertificateManager para crear correctamente los certificados. Debe haber un SDK de Java(Java Software Development Kit) en este servidor para este proceso. Para obtener elSDK de Java más reciente, vaya al sitio web siguiente:

http://java.sun.com.

Procedimiento1. Inicie sesión en el servidor de McAfee Foundstone Enterprise Manager.2. Ejecute Foundstone Certificate Manager.3. Pulse la pestaña Create SSL Certificates.4. Escriba la dirección de host de QRadar.

El certificado debe crearse con la dirección de host del dispositivo de QRadarque recupera los datos de vulnerabilidad de McAfee Vulnerability Manager.

5. Opcional: Pulse Resolve.Si se produce un error cuando Foundstone Certificate Manager intentaresolver el host, escriba la dirección IP en el campo Host Address. Si el hostno se puede resolver, consulte el paso 7.

6. Pulse Create Certificate Using Common Name.7. Pulse Create Certificate Using Host Address.8. Guarde el archivo comprimido que contiene los archivos de certificado en un

directorio de McAfee Vulnerability Manager.9. Copie en un archivo de texto la frase de contraseña.

10. Repita este proceso para generar más certificados para los hosts gestionadosdel despliegue.


Ya está preparado para procesar los certificados para crear los archivos de almacénde claves y almacén de confianza. Consulte el apartado “Proceso de certificadospara McAfee Vulnerability Manager”.

Proceso de certificados para McAfee Vulnerability ManagerPara crear los archivos de almacén de claves y de almacén de confianza queQRadar necesita, procese los certificados que Foundstone Certificate Manager hacreado.


http://java.sun.com

Antes de empezar

Debe tener acceso al portal de soporte para descargar los archivos que sonnecesarios para crear los archivos de almacén de confianza y almacén de claves.Los archivos de proceso por lotes requieren la vía de acceso del directorio de iniciode Java en McAfee Vulnerability Manager.

Procedimiento1. Inicie sesión en el portal de soporte para descargar los archivos siguientes:v VulnerabilityManager-Cert.bat.gz

v q1labs_vis_mvm_cert.jar

2. Extraiga los archivos comprimidos y copie los certificados y los archivosdescargados en el mismo directorio en McAfee Vulnerability Manager.

3. Abra la interfaz de línea de mandatos en McAfee Vulnerability Manager.4. Vaya a la ubicación del directorio de los archivos.5. Para ejecutar el archivo de proceso por lotes, escriba el mandato siguiente:

VulnerabilityManager-Cert.bat "C:\Archivos de programa\Java\jdk1.6.0_20".Las comillas en el mandato especifican el directorio de inicio de Java.

6. Repita este proceso para crear los archivos de almacén de claves y almacén deconfianza para más hosts gestionados del despliegue.

Resultados

Se crean los archivos de almacén de claves y de almacén de confianza. Si semuestra un error, los administradores pueden verificar la vía de acceso deldirectorio de inicio de Java.


Ya está preparado para importar los certificados para el dispositivo QRadar.Consulte el apartado “Importación de certificados para McAfee VulnerabilityManager”.

Importación de certificados para McAfee Vulnerability ManagerLos archivos de almacén de claves y de almacén de confianza deben importarse alhost gestionado responsable de la exploración.

Antes de empezar

Debe añadir el explorador a un host gestionado en la configuración de exploraciónantes de importar los certificados. Por motivos de seguridad, utilice un protocolode transferencia segura de archivos para copiar un archivo de certificado.

Procedimiento1. Para importar los certificados, copie de forma segura los archivos

mvm.keystore y mvm.truststore en los directorios siguientes de QRadar:v /opt/qradar/conf/

v /opt/qradar/conf/trusted_certificates/


Nota: Si el directorio /opt/qradar/conf/trusted_certificates/ no existe, nolo cree. Si el directorio no existe, los administradores pueden pasar por altola copia del archivo en el directorio que falta.

Si tiene un despliegue distribuido, debe copiar los archivos en la consola yenviar los archivos por SSH desde el dispositivo de la consola al hostgestionado.

2. Inicie sesión en QRadar.3. Pulse la pestaña Admin.4. En la pestaña Admin, seleccione Avanzado > Desplegar configuración

completa.

Nota: Cuando pulse Desplegar configuración completa, QRadar reiniciarátodos los servicios. El reinicio de los servicios da como resultado un espaciovacío en la recopilación de datos para los sucesos y los flujos hasta que elproceso de despliegue acabe.

5. Repita la importación de certificados de más hosts gestionados del despliegueque recopilan las vulnerabilidades de McAfee Vulnerability Manager.


Capítulo 13. Visión general del explorador Microsoft SCCM

IBM Security QRadar puede importar informes de exploración de los exploradoresMicrosoft System Center Configuration Manager (SCCM).

Para integrar un explorador Microsoft SCCM, siga estos pasos:1. En el explorador Microsoft SCCM, configure la habilitación de WMI.2. Si las actualizaciones automáticas no están habilitadas en QRadar Console,

descargue e instale el RPM de Microsoft SCCM.3. En QRadar Console, añada un explorador de Microsoft SCCM.4. En QRadar Console, cree una planificación de exploración para importar los

datos de resultados de la exploración.Conceptos relacionados:“Habilitar WMI para exploradores Microsoft SCCM”Antes de configurar un explorador Microsoft SCCM, configure los valores DCOMdel sistema para cada host que desee supervisar.Tareas relacionadas:“Adición de un explorador Microsoft SCCM” en la página 46

Capítulo 24, “Planificación de una exploración de vulnerabilidades”, en la página97Las planificaciones de exploración son intervalos asignados a los exploradores quedeterminan cuándo se importan los datos de evaluación de vulnerabilidades desdelos dispositivos de exploración externos de la red. Las planificaciones deexploración también pueden definir los rangos de CIDR o las subredes que seincluyen en la importación de datos cuando se produce la importación de los datosde vulnerabilidad.

Habilitar WMI para exploradores Microsoft SCCMAntes de configurar un explorador Microsoft SCCM, configure los valores DCOMdel sistema para cada host que desee supervisar.

El host del explorador debe cumplir las condiciones siguientes:v Usted es miembro del grupo Administradores en ese host.v Está instalado uno de los sistemas operativos siguientes:

– Windows 7– Windows 2008– Windows 2008 R2– Windows 2012– Windows 2012 R2 (solo se da soporte para 64 bits)– Software Vista

Importante: SCCM no está soportado en versiones de Windows que Microsofthaya puesto en Fin de vida. Si una fecha de versión de software es posterior a laFecha de fin de soporte extendido, el producto puede funcionar según lo esperado.IBM no hace arreglos de código o de vulnerabilidad para resolver problemas desistemas operativos antiguos. Por ejemplo, Microsoft Windows Server 2003 R2 y


Microsoft Windows XP son sistemas operativos que están más allá de la Fecha defin de soporte extendido. Cualquier pregunta sobre este anuncio se puede tratar enlos foros de IBM Security QRadar. Para obtener más información sobre los ciclosde vida de soporte, consulte el sitio web de ciclo de vida de soporte deMicrosoft (https://support.microsoft.com//en-us/lifecycle/search)

v DCOM está configurado y habilitado.Si hay un cortafuegos instalado en el host o está ubicado entre el host y QRadar,como por ejemplo un hardware u otro cortafuegos intermedio, es necesarioconfigurar el cortafuegos para que permita la comunicación de DCOM.Configure el cortafuegos de modo que el puerto 135 sea accesible en el host y sepermitan los puertos de DCOM. Los puertos de DCOM son puertos aleatoriospor encima de 1024. En función de su versión de Windows, puede que seanecesario configurar puertos específicos para que sean accesibles para DCOM.Para obtener más información, consulte la documentación de Windows.

v Windows Management Instrumentation (WMI) está habilitado.v El servicio de registro remoto está activado.

Para obtener instrucciones específicas sobre la configuración de DCOM y WMI enWindows 7, Windows 2008 y Windows 2012 R2, consulte los documentossiguientes en el sitio web de soporte de IBM:v Windows 7 (http://www.ibm.com/support/docview.wss?uid=swg21678809)v Windows 2008 (http://www.ibm.com/support/docview.wss?uid=swg21681046)v Windows 2012 R2 (http://www.ibm.com/support/

docview.wss?uid=swg21986943)

Adición de un explorador Microsoft SCCM

Antes de empezar

Asegúrese de que WMI está habilitado en el host explorador.

Procedimiento1. Pulse la pestaña Admin.2. Pulse el icono Exploradores de evaluación de vulnerabilidades.3. Pulse Añadir.4. Configure los siguientes parámetros de Microsoft SCCM:


Nombre de explorador Nombre que identifica la instancia delexplorador.

Host gestionado Host gestionado del despliegue de QRadarque gestiona la importación del explorador.

Tipo Microsoft SCCM

Nombre de host Dirección IP o nombre de host del servidorremoto que aloja los archivos de resultadosde la exploración.

Dominio Dominio que se utiliza para conectar con elservidor remoto.

5. Configure los parámetros restantes.6. Para configurar un rango de CIDR para el explorador, siga estos pasos:


https://support.microsoft.com//en-us/lifecycle/search

https://support.microsoft.com//en-us/lifecycle/search

http://www.ibm.com/support/docview.wss?uid=swg21678809



a. Escriba el rango de CIDR que desea que este explorador tenga en cuenta opulse Examinar para seleccionar un rango de CIDR de la lista de redes.

b. Pulse Añadir.7. Pulse Guardar.

Capítulo 13. Visión general del explorador Microsoft SCCM 47

Capítulo 14. Visión general del explorador nCircle IP360

QRadar da soporte a las versiones nCircle y Tripwire del explorador IP360. Losadministradores pueden importar informes de exploración XML2 de servidoresSSH que contienen información de vulnerabilidad de IP360.

QRadar no puede conectar directamente con los dispositivos nCircle. Puedeconfigurar un dispositivo de explorador nCircle IP360 para exportar los resultadosde la exploración en formato XML2 a un servidor SSH remoto. Para importar losresultados de exploración más recientes del servidor remoto a QRadar, puedeplanificar una exploración o realizar un sondeo en el servidor remoto paracomprobar si hay actualizaciones de los resultados de exploración.

Los resultados de exploración contienen información de identificación acerca de laconfiguración de exploración a partir de la cual se han generado. Se utilizan losresultados de exploración más recientes cuando QRadar importa una exploración.QRadar da soporte a los resultados de exploración exportados solamente delexplorador IP360 en formato XML2.

Para integrar un explorador nCircle IP360, siga estos pasos:1. En el explorador nCircle IP360, configure el explorador nCircle para exportar

informes de exploración. Consulte el apartado “Exportación de los resultadosde exploración de nCircle IP360 a un servidor SSH”.

2. En la consola de QRadar, añada un explorador nCircle IP360. Consulte elapartado “Adición de un explorador nCircle IP360” en la página 50.

3. En la consola de QRadar, cree una planificación de exploración para importarlos datos de resultados de la exploración. Consulte el Capítulo 24,“Planificación de una exploración de vulnerabilidades”, en la página 97.

Exportación de los resultados de exploración de nCircle IP360 a unservidor SSH

QRadar utiliza una función de exportación automatizada para publicar datos deexploración XML2 procedentes de dispositivos nCircle IP360. QRadar da soporte alas versiones de la IP360-6.5.2 a la 6.8.2.8 de VnE Manager.

Antes de empezar

Asegúrese de que el servidor remoto sea un sistema UNIX con SSH habilitado.

Procedimiento1. Inicie sesión en la interfaz de usuario de IP360 VNE Manager.2. En el menú de navegación, seleccione Administer > System > VNE Manager >

Automated Export.3. Pulse la pestaña Export to File.4. Configure los valores de exportación. La exportación debe estar configurada

para utilizar el formato XML2.5. Anote los valores de destino que se muestran en la interfaz de usuario para la

exportación de la exploración. Estos valores son necesarios para configurarQRadar de modo que se integre con el dispositivo nCircle IP360.


Adición de un explorador nCircle IP360QRadar utiliza Secure Shell (SSH) para acceder a un servidor remoto (servidor deexportación de SSH) con el fin de recuperar e interpretar los datos de exploraciónde los dispositivos nCircle IP360. QRadar da soporte a las versiones de laIP360-6.5.2 a la 6.8.2.8 de VnE Manager.

Antes de empezar

Esta configuración necesita los valores de destino que anotó al exportar los datosde exploración XML2 al servidor remoto.


Si el explorador está configurado para utilizar una contraseña, el servidor deexploración SSH al que QRadar se conecta debe dar soporte a la autenticación decontraseña. Si no es así, la autenticación SSH para el explorador falla. Asegúrese deque la línea siguiente aparece en el archivo sshd_config, que normalmente seencuentra en el directorio /etc/ssh del servidor SSH: PasswordAuthentication yes.Si el servidor de exploración no utiliza OpenSSH, la configuración puede variar.Para obtener más información, consulte la documentación del proveedor delexplorador.

Procedimiento1. Pulse la pestaña Admin.2. Pulse el icono Exploradores de evaluación de vulnerabilidades.3. Pulse Añadir.4. Configure los siguientes parámetros de nCircle IP360:


Nombre de explorador Nombre que identifica la instancia denCircle IP360.

Host gestionado Host gestionado del despliegue de QRadarque gestiona la importación del explorador.

Tipo nCircle IP360

SSH Server Host Name Dirección IP o nombre de host del servidorremoto que aloja los archivos de resultadosde la exploración.

SSH Port Número de puerto utilizado para conectarcon el servidor remoto.

Remote Directory Ubicación de los archivos de resultados deexploración.

File Pattern Expresión regular para filtrar la lista dearchivos que se especifican en el campoRemote Directory. Para listar todos losarchivos de formato XML2 que terminan porXML, utilice la entrada siguiente:XML2.*\.xml

5. Configure los parámetros restantes.6. Para configurar un rango de CIDR para su explorador:

a. Escriba el rango de CIDR que desea que este explorador tenga en cuenta opulse Examinar para seleccionar un rango de CIDR de la lista de redes.



Capítulo 14. Visión general del explorador nCircle IP360 51

Capítulo 15. Visión general del explorador Nessus

QRadar puede utilizar una relación de cliente y servidor Nessus para recuperarinformes de exploración de vulnerabilidades. También puede utilizar la API NessusXMLRPC o la API JSON para acceder a datos de exploración directamente desdeNessus.

Cuando se configura el cliente Nessus, debe crear una cuenta de usuario de Nessuspara el sistema de QRadar. Una cuenta de usuario exclusiva garantiza que QRadartiene las credenciales correctas para iniciar la sesión y comunicarse con el servidorde Nessus. Después de crear la cuenta de usuario, una prueba de conexión verificalas credenciales de usuario y el acceso remoto.

Nota: No instale software Nessus en un sistema crítico debido a los requisitos deCPU cuando las exploraciones están activas.

Opciones de recopilación de datos

Las opciones siguientes están disponibles para la recopilación de datos deinformación de vulnerabilidades de los exploradores Nessus:

Scheduled Live ScanLas exploraciones en tiempo real permiten que las exploracionespredefinidas se inicien remotamente sobre SSH en Nessus y que los datosse importen al final de la exploración.

Scheduled Results ImportLos archivos de resultados estáticos de las exploraciones completadas seimportan desde un repositorio a través de SSH que contiene los resultadosde exploración de Nessus.

Scheduled Live Scan - XMLRPC APIXMLRPC permite que las exploraciones predefinidas se inicienremotamente y se recopilen de forma activa mediante la API XMLRPC.

La API Nessus XMLRPC solo está disponible en los servidores y clientesde Nessus con el software de la versión 4.2 y versiones posteriores.

Scheduled Live Scan - JSON API Permite que las exploraciones predefinidas se inicien remotamente y serecopilen de forma activa mediante la API JSON.

Scheduled Completed Report Import - XMLRPC APIPermite que los informes completados se importen desde el servidor deNessus mediante la API XMLRPC.

Scheduled Completed Report Import - JSON APIPermite que los informes completados se importen desde el servidor deNessus

Certificados de servidor

Antes de añadir un explorador, se necesita un certificado de servidor para darsoporte a las conexiones HTTPS. QRadar da soporte a los certificados con las


extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado aldirectorio /opt/qradar/conf/trusted_certificates, seleccione una de las opcionessiguientes:v Copie manualmente el certificado en el directorio /opt/qradar/conf/

trusted_certificates mediante SCP (copia segura) o SFTP (protocolo detransferencia segura de archivos).

v Para descargar automáticamente el certificado en el directorio/opt/qradar/conf/trusted_certificates, abra una sesión de SSH en la consolao el host gestionado y especifique el mandato siguiente:/opt/qradar/bin/getcert.sh <IP_o_nombre_de_host><puerto_optional_(443_predeterminado)>.

Adición de una exploración en tiempo real de NessusUna exploración en tiempo real se ejecuta en el servidor de Nessus e importa losdatos de resultados desde un directorio temporal del cliente de Nessus quecontiene los datos de informe de exploración.


explorador Nessus.5. En la lista Host gestionado, seleccione el host gestionado que gestiona la

importación del explorador.6. En la lista Tipo, seleccione Nessus Scanner.7. En la lista Collection Type, seleccione Scheduled Live Scan.8. .9. Configure los siguientes parámetros:


Server Username Nombre de usuario para acceder al servidorNessus.

Server Password La contraseña del servidor de Nessus nodebe contener el signo de exclamación (!); delo contrario podrían producirse errores deautenticación a través de SSH.

Client Temp Dir Vía de acceso del directorio del cliente deNessus que QRadar puede utilizar paraalmacenar los archivos temporales.

QRadar utiliza el directorio temporal delcliente de Nessus para cargar los destinos deexploración y leer los resultados deexploración. Los archivos temporales seeliminarán del directorio temporal cuando laexploración finalice y el informe deexploración se descargue.

Nessus Executable Vía de acceso del directorio del archivoejecutable en el servidor de Nessus.



Nessus Configuration File Vía de acceso del directorio del archivo deconfiguración de Nessus en el cliente deNessus.

Client Hostname Nombre de host o dirección IP del cliente deNessus.

Client SSH Port Puerto SSH del servidor de Nessus que sepuede utilizar para recuperar los archivos deresultados de exploración.

Client Username Nombre de usuario para autenticar laconexión SSH.

Client Password Si el campo Enable Key Authentication estáhabilitado, la contraseña se pasa por alto.

Si el explorador está configurado parautilizar una contraseña, el servidor deexploración SSH que se conecta a QRadardebe dar soporte a la autenticación decontraseña. Si no es así, la autenticación SSHpara el explorador falla. Asegúrese de que lalínea siguiente aparece en el archivo/etc/ssh/sshd_config:PasswordAuthentication yes. Si el servidorde exploración no utiliza OpenSSH, consultela documentación del proveedor paraobtener información sobre la configuracióndel explorador.

Private Key File Vía de acceso del directorio del archivo declaves. Si no existe un archivo de claves,debe crear el archivo vis.ssh.key.

CIDR Mask El tamaño de la subred que desea explorar.El valor representa la parte más grande de lasubred que el explorador puede explorar deuna sola vez. La máscara segmenta laexploración para optimizar el rendimientode la exploración.

10. Para configurar un rango de CIDR para su explorador:a. Escriba el rango de CIDR que desea que este explorador tenga en cuenta o

pulse Examinar para seleccionar un rango de CIDR de la lista de redes.b. Pulse Añadir.


Adición de una importación de resultados planificada de NessusUna importación de resultados planificada recupera los informes de exploración deNessus completados de una ubicación externa.


Un informe de exploración completado se puede almacenar en un servidor Nessuso un repositorio de archivos. QRadar conecta con el servidor Nessus o elrepositorio de archivos mediante SSH y después importa los archivos de informesde exploración completados. Los informes se filtran por una expresión regular

Capítulo 15. Visión general del explorador Nessus 55

definida o por la antigüedad máxima del informe. QRadar da soporte a lasimportaciones de informes de exploración de Nessus en formato .nessus o deinformes de exploración que se exportan a un formato de salida de Nessus, comopor ejemplo XML2.


explorador Nessus.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione Nessus Scanner.7. En la lista Collection Type, seleccione Scheduled Results Import.8. En el campo Remote Results Hostname, escriba la dirección IP o el nombre

de host del cliente o el servidor de Nessus en el que se alojan los archivos deresultados de exploración de Nessus o XML2.




1. En el campo SSH Username, escriba elnombre de usuario que accederá alexplorador Nessus o al repositorio quealoja los archivos de resultados deexploración.

2. En el campo SSH Password, escriba lacontraseña que está asociada con elnombre de usuario.

La contraseña no debe contener el signo deexclamación (!). Este carácter podríaprovocar errores de autenticación a través deSSH.




El directorio predeterminado del archivo declaves es /opt/qradar/conf/vis.ssh.key. Sino existe un archivo de claves, debe crear elarchivo vis.ssh.key.

10. En el campo Remote Results Directory, escriba la ubicación del directorio delos archivos de resultados de la exploración. La vía de acceso del directoriopredeterminada es ./.

11. En el campo File Name Pattern, escriba una expresión regular para filtrar lalista de archivos del directorio remoto. Todos los archivos coincidentes se


incluyen en el proceso. De forma predeterminada, el campo Report NamePattern contiene .*\.nessus como patrón de expresión regular. El patrón.*\.nessus importa todos los archivos de resultados con formato de Nessusdel directorio remoto.





Adición de una exploración en tiempo real de Nessus con la APIXMLRPC

IBM Security QRadar puede utilizar la API XMLRPC para iniciar una exploraciónpreconfigurada basada en un nombre de exploración y un nombre de políticaopcional en el servidor de Nessus.


Para iniciar una exploración en tiempo real desde QRadar, debe especificar elnombre de la exploración y el nombre de la política correspondientes a los datosde exploración en tiempo real que desea recuperar. A medida que la exploración entiempo real avanza, puede colocar el puntero del ratón sobre el explorador Nessusen la ventana Planificación de la exploración para ver el porcentaje de laexploración en tiempo real que se ha llevado a cabo. Una vez que la exploraciónen tiempo real acaba, QRadar utiliza la API XMLRPC para recuperar los datos deexploración y actualizar la información de vulnerabilidades de los activos.

La API Nessus XMLRPC solo está disponible en los servidores y clientes de Nessuscon el software de la versión 4.2 y versiones posteriores.



QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione Nessus Scanner.7. En la lista Collection Type, seleccione Scheduled Live Scan - XMLRPC API.8. Configure los siguientes parámetros:


Hostname Dirección IP o nombre de host del servidorNessus.



Port Número de puerto del servidor Nessus.

Username Nombre de usuario necesario para accederal servidor Nessus

Password La contraseña del servidor de Nessus nodebe contener el signo de exclamación (!); delo contrario podrían producirse errores deautenticación a través de SSH.

Scan Name Nombre de la exploración que desea que sevisualice cuando la exploración en tiemporeal se ejecute en el servidor de Nessus.

Si este campo está vacío, la API intentainiciar una exploración en tiempo real parala exploración de QRadar. Este campo no dasoporte al uso del carácter ampersand (&) eneste campo.

Policy Name Escriba el nombre de una política delservidor de Nessus para iniciar unaexploración en tiempo real.

La política deberá existir en el servidor deNessus cuando el sistema intente iniciar laexploración. Si la política no existe, sevisualiza un error en la columna Status. Lossistemas pueden tener nombres de políticaspersonalizadas, pero se incluyan diversosnombres de políticas predeterminadas.External Network Scan, Internal NetworkScan, Web App Tests y Prepare for PCI DSSaudits son nombres de políticaspredeterminadas.




Adición de una importación de informes completados de Nessus conla API XMLRPC

Una importación de resultados planificada que utilice la API XMLRPC permitedescargar los informes de vulnerabilidades completados del servidor de Nessus.


QRadar se conecta al servidor de Nessus y descarga los datos de los informescompletados que coincidan con el filtro de nombre y antigüedad máxima delinforme. La API Nessus XMLRPC está disponible en los servidores y clientes deNessus en los que se utiliza el software de la versión 4.2 y versiones posteriores.



servidor de Nessus.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione Scheduled Completed Report Import - XMLRPC

API.7. En el campo Hostname, escriba la dirección IP o el nombre de host del

servidor Nessus que contiene las vulnerabilidades que desea recuperar con laAPI XMLRPC de Nessus.

8. En el campo Port, escriba el número de puerto del servidor de Nessus. Elvalor del puerto de API predeterminado es 8834 .

9. En el campo Username, escriba el nombre de usuario necesario para accederal servidor de Nessus.

10. En el campo Password, escriba la contraseña necesaria para acceder alservidor de Nessus.

11. En el campo Report Name Pattern, escriba la expresión regular necesaria parafiltrar la lista de archivos especificada en el campo Remote Directory. Todoslos archivos coincidentes se incluyen en el proceso. De forma predeterminada,el campo Report Name Pattern contiene .* como patrón de expresión regular.El patrón .* importa todos los archivos de resultados con formato de Nessusdel directorio remoto.





Adición de una exploración en tiempo real de Nessus con la API JSONIBM Security QRadar puede utilizar la API JSON para iniciar una exploraciónpreconfigurada basada en un nombre de exploración y un nombre de políticaopcional en el servidor de Nessus.


Para iniciar una exploración en tiempo real desde QRadar, debe especificar elnombre de la exploración y el nombre de la política correspondientes a los datosde exploración en tiempo real que desea recuperar. A medida que la exploración entiempo real avanza, puede colocar el puntero del ratón sobre el explorador Nessusen la ventana Planificación de la exploración para ver el porcentaje de laexploración en tiempo real que se ha llevado a cabo. Una vez que la exploración


en tiempo real acaba, QRadar utiliza la API JSON para recuperar los datos deexploración y actualizar la información de vulnerabilidades de los activos.

La API Nessus JSON solo está disponible en los servidores y clientes de Nessuscon el software de la versión 6.0 y versiones posteriores.



QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione Nessus Scanner.7. En la lista Collection Type, seleccione Scheduled Live Scan - JSON API.8. Configure los siguientes parámetros:





Password La contraseña del servidor de Nessus nodebe contener el signo de exclamación (!); delo contrario podrían producirse errores deautenticación.

Scan Name Nombre de la exploración que desea que sevisualice cuando la exploración en tiemporeal se ejecute en el servidor de Nessus.

Si este campo está vacío, la API intentainiciar una exploración en tiempo real parala exploración de QRadar. Este campo no dasoporte al uso del carácter ampersand (&) eneste campo.

Policy Name Escriba el nombre de una política delservidor de Nessus para iniciar unaexploración en tiempo real.

La política deberá existir en el servidor deNessus cuando el sistema intente iniciar laexploración. Si la política no existe, sevisualiza un error en la columna Status. Lossistemas pueden tener nombres de políticaspersonalizadas, pero se incluyan diversosnombres de políticas predeterminadas.External Network Scan, Internal NetworkScan, Web App Tests y Prepare for PCI DSSaudits son nombres de políticaspredeterminadas.



Nombre de exploradorSi hay más de un explorador Nessus en eldespliegue, especifique el nombre delexplorador en el que desea ejecutar lasexploraciones.




Adición de una importación de informes completados de Nessus conla API JSON

Una importación de resultados planificada recupera los informes de exploración deNessus completados de una ubicación externa mediante la API JSON.


Un informe de exploración completado se puede almacenar en un servidor Nessuso un repositorio de archivos. IBM Security QRadar conecta con el servidor Nessuso el repositorio de archivos mediante la API JSON y después importa los archivosde informes de exploración completados. Los informes se filtran por una expresióndefinida o por la antigüedad máxima del informe.

La API Nessus JSON solo está disponible en los servidores y clientes de Nessuscon el software de la versión 6.0 y versiones posteriores.



QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione Nessus Scanner.7. En la lista Collection Type, seleccione Scheduled Completed Report Import -

JSON API.8. Configure los siguientes parámetros:





Password Contraseña del servidor Nessus.



Report Name FilterFiltra la lista de archivos especificados enRemote Directory. Todos los archivoscoincidentes se incluyen en el proceso. Deforma predeterminada, el campo ReportName Pattern contiene .* como filtro.

Report Max Age (days)La antigüedad de archivo máxima para elarchivo de resultados de exploración. Losarchivos que sean más antiguos que los díasy la indicación de fecha y hora que estánespecificados en el archivo de informe seexcluyen cuando se inicia la exploraciónplanificada. El valor predeterminado es de 7días.





Capítulo 16. Visión general del explorador netVigilanceSecureScout

QRadar puede recopilar datos de vulnerabilidad de un base de datos SQL en elexplorador SecureScout mediante el sondeo de los datos con JDBC.

netVigilance SecureScout NX y SecureScout SP almacenan los resultados deexploración en una base de datos SQL. Esta base de datos puede ser de MicrosoftMSDE o SQL Server. Para recopilar las vulnerabilidades, QRadar se conecta a labase de datos remota para localizar los resultados de exploración más recientescorrespondientes a una dirección IP dada. Los datos devueltos actualizan el perfilde activo en QRadar con la dirección IP del activo, los servicios descubiertos y lasvulnerabilidades. QRadar da soporte a la versión 2.6 del software de exploradorSecureScout.

Se recomienda a los administradores crear un usuario especial en la base de datosde SecureScout para que QRadar sondee los datos de vulnerabilidad.

El usuario de base de datos que cree debe tener permisos de selección sobre lastablas siguientes:v HOSTv JOBv JOB_HOSTv SERVICEv TCRESULTv TESTCASEv PROPERTYv PROP_VALUEv WKSv IPSORT: el usuario de la base de datos debe tener permiso de ejecución sobre

esta tabla.

Para añadir una configuración de explorador, consulte el apartado “Adición de unaexploración de netVigilance SecureScout”.

Adición de una exploración de netVigilance SecureScoutLos administradores pueden añadir un explorador SecureScout para consultar losdatos de vulnerabilidad con JDBC.

Antes de empezar

Para consultar los datos de vulnerabilidad, QRadar debe tener el accesoadministrativo apropiado para sondear el explorador SecureScout con JDBC. Losadministradores también deben asegurarse de que los cortafuegos, incluidos loscortafuegos del host de SecureScout, permiten una conexión desde el hostgestionado responsable de la exploración hasta el explorador SecureScout.



servidor de SecureScout.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione SecureScout Scanner.7. En el campo Database Hostname, escriba la dirección IP o el nombre de host

del servidor de SecureScout que contiene el servidor SQL.8. En el campo Login Name, escriba el nombre de usuario necesario para

acceder a la base de datos SQL del explorador SecureScout.9. Opcional. En el campo Login Password, escriba la contraseña necesaria para

acceder a la base de datos SQL del explorador SecureScout.10. En el campo Database Name, escriba SCE.11. En el campo Database Port, escriba el puerto TCP en el que desea que el

servidor SQL supervise las conexiones. El valor predeterminado es 1433.12. Para configurar un rango de CIDR para su explorador:

a. En el campo de texto, escriba el rango de CIDR que desea que esteexplorador tenga en cuenta o pulse Examinar para seleccionar un rango deCIDR de la lista de redes.





Capítulo 17. Visión general del explorador Nmap

QRadar utiliza SSH para comunicarse con el servidor de Nmap para iniciarexploraciones de Nmap remotas o para descargar los resultados de lasexploraciones de Nmap completadas.

Restricción: Aunque hay un binario NMap en cada host QRadar, está reservadosolamente para uso de QRadar interno. La configuración de un explorador devulnerabilidades de NMap para utilizar un host gestionado de QRadar Console oQRadar como el explorador NMap remoto no está soportada y puede provocarinestabilidad.

Cuando los administradores configuran una exploración de Nmap, se puede crearuna cuenta de usuario de Nmap específica para el sistema de QRadar. Una cuentade usuario exclusiva garantiza que QRadar posee las credenciales necesarias parainiciar la sesión y comunicarse con el servidor de Nmap. Cuando se haya acabadode crear la cuenta de usuario, los administradores pueden probar la conexión deQRadar con el cliente de Nmap con SSH para verificar las credenciales de usuario.Esta prueba garantiza que cada sistema pueda comunicarse antes de intentardescargar datos de exploración de vulnerabilidades o iniciar una exploración entiempo real.

Las opciones siguientes están disponibles para la recopilación de datos deinformación de vulnerabilidades de los exploradores Nmap:v Exploración en tiempo real remota. Las exploraciones en tiempo real utilizan el

archivo binario de Nmap para iniciar exploraciones de forma remota. Cuando laexploración en tiempo real finaliza, los datos se importan a través de SSH.Consulte el apartado “Adición de una exploración en tiempo real remota deNmap” en la página 67.

v Importación remota de los resultados. Los datos de resultados de unaexploración completada anteriormente se importan a través de SSH. Consulte elapartado “Adición de una importación de resultados remota de Nmap”.

Adición de una importación de resultados remota de NmapUna importación de resultados remota recupera los informes de exploración deNmap completados a través de SSH.


Las exploraciones deben generarse en formato XML utilizando la opción -oX en elexplorador Nmap. Después de añadir el explorador Nmap, debe asignar unaplanificación de exploración para especificar la frecuencia con la que los datos devulnerabilidad se importan del explorador.


explorador Nmap.


5. En la lista Host gestionado, seleccione el host gestionado del despliegue deQRadar que gestiona la importación del explorador.

6. En la lista Tipo, seleccione Nessus Scanner.7. En la lista Collection Type, seleccione Remote Results Import.8. En el campo Server Hostname, escriba el nombre de host o la dirección IP del

sistema remoto que aloja el cliente de Nmap. Recomendamos que losadministradores alojen Nmap en un sistema UNIX en el que se hayahabilitado SSH.




1. En el campo Server Username, escriba elnombre de usuario necesario paraacceder al sistema remoto que aloja elcliente de Nmap.


La contraseña no debe contener el carácter(!). Este carácter podría provocar errores deautenticación a través de SSH.

Si el explorador está configurado parautilizar una contraseña, el servidor deexploración SSH al que QRadar se conectadebe dar soporte a la autenticación decontraseña.

Si no es así, la autenticación SSH para elexplorador falla. Asegúrese de que la líneasiguiente aparece en el archivo/etc/ssh/sshd_config:PasswordAuthentication yes.

Si el servidor de exploración no utilizaOpenSSH, consulte la documentación delproveedor para obtener información sobre laconfiguración del explorador.





10. En el campo Remote Folder, escriba la ubicación del directorio de los archivosde resultados de la exploración.


11. En el campo Remote File Pattern, escriba la expresión regular necesaria parafiltrar la lista de archivos especificada en el campo Remote Folder. Todos losarchivos coincidentes se incluyen en el proceso. El patrón de expresión regularpredeterminado para recuperar resultados de Nmap es .*\.xml. El patrón.*\.xml importa todos los archivos de resultado xml de la carpeta remota. Losinformes de exploración importados y procesados no se suprimen de lacarpeta remota. Recomendamos planificar un trabajo cron para suprimir losinformes de exploración procesados anteriormente.






Adición de una exploración en tiempo real remota de NmapQRadar supervisa el estado de la exploración en tiempo real en curso y espera aque el servidor de Nmap complete la exploración. Cuando la exploración finaliza,los resultados de vulnerabilidad se descargan a través de SSH.


Varios tipos de exploraciones de puerto de Nmap requieren que Nmap se ejecutecomo usuario root. Por lo tanto, QRadar debe tener acceso como usuario root obien debe deseleccionarse la casilla de verificación OS Detection. Para ejecutarexploraciones de Nmap con la detección de SO habilitada, debe proporcionar lascredenciales de acceso como usuario root a QRadar cuando se añada el explorador.Como alternativa, puede hacer que el administrador configure el archivo binariode Nmap con el setuid root. Consulte al administrador de Nmap para obtener másinformación.

Restricción: Aunque hay un binario NMap en cada host QRadar, está reservadosolamente para uso de QRadar interno. La configuración de un explorador devulnerabilidades de NMap para utilizar un host gestionado de QRadar Console oQRadar como el explorador NMap remoto no está soportada y puede provocarinestabilidad.


explorador Nmap.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.

Capítulo 17. Visión general del explorador Nmap 67

6. En la lista Tipo, seleccione Nmap Scanner.7. En la lista Scan Type, seleccione Remote Live Scan.8. En el campo Server Hostname, escriba la dirección IP o el nombre de host del

servidor de Nmap.9. Elija una de las opciones de autenticación siguientes:


Server Username Para la autenticación con un nombre deusuario y una contraseña:

1. En el campo Server Username, escriba elnombre de usuario necesario paraacceder al sistema remoto que aloja elcliente de Nmap mediante SSH.


Si la casilla de verificación OS Detectionestá seleccionada, el nombre de usuario debetener privilegios de usuario root.





Si el explorador está configurado parautilizar una contraseña, el servidor deexploración SSH al que QRadar se conectadebe dar soporte a la autenticación decontraseña.

Si no es así, la autenticación SSH para elexplorador falla. Asegúrese de que la líneasiguiente aparece en el archivo/etc/ssh/sshd_config:PasswordAuthentication yes.

Si el servidor de exploración no utilizaOpenSSH, consulte la documentación delproveedor para obtener información sobre laconfiguración del explorador.

10. En el campo Nmap Executable, escriba la vía de acceso completa deldirectorio y el nombre de archivo del archivo binario de Nmap. La vía deacceso del directorio predeterminada del archivo binario es /usr/bin/Nmap.

11. Seleccione una opción para la casilla de verificación Disable Ping. En algunasredes, el protocolo ICMP está inhabilitado parcial o totalmente. En los casos enlos que ICMP no está habilitado, puede seleccionar esta casilla de verificaciónpara inhabilitar los ping de ICMP para mejorar la precisión de la exploración.De forma predeterminada, la casilla de verificación no está seleccionada.


12. Seleccione una opción para la casilla de verificación OS Detection:v Seleccione esta casilla de verificación para habilitar la detección del sistema

operativo en Nmap. Debe proporcionar al explorador privilegios de usuarioroot para utilizar esta opción.

v Deseleccione esta casilla de verificación para recibir los resultados de Nmapsin la detección de sistema operativo.

13. En la lista Max RTT Timeout, seleccione un valor de tiempo de espera. Elvalor de tiempo de espera determina si una exploración debe detenerse ovolverse a emitir debido a la latencia entre el explorador y el destino deexploración. El valor predeterminado es de 300 milisegundos (ms). Siespecifica un periodo de tiempo de espera de 50 milisegundos, lerecomendamos que los dispositivos que se exploran estén en la red local. Losdispositivos de las redes remotas pueden utilizar un valor de tiempo deespera de 1 segundo.

14. Seleccione una opción en la lista Timing Template. Las opciones son:v Paranoid: Esta opción genera una evaluación lenta, no intrusiva.v Sneaky: Esta opción genera una evaluación lenta, no intrusiva, pero espera

15 segundos entre una exploración y la siguiente.v Polite: Esta opción es más lenta de lo normal y está pensada para aliviar la

carga en la red.v Normal: Esta opción es el comportamiento de exploración estándar.v Aggressive: Esta opción es más rápida que una exploración normal y utiliza

más recursos.v Insane: Esta opción no es tan precisa como las exploraciones lentas y

solamente es apta para las redes muy rápidas.v

15. En el campo CIDR Mask, escriba el tamaño de la subred explorada. El valorespecificado para la máscara representa la parte más grande de la subred queel explorador puede explorar de una sola vez. La máscara segmenta laexploración para optimizar el rendimiento de la exploración.






Capítulo 17. Visión general del explorador Nmap 69

Capítulo 18. Visión general de Explorador de vulnerabilidadesde Outpost24

IBM Security QRadar utiliza HTTPS para comunicarse con la API de explorador devulnerabilidades de Outpost24 para descargar datos de activos y de vulnerabilidadde exploraciones realizadas anteriormente.

La tabla siguiente muestra las especificaciones para el escáner de vulnerabilidad deOutpost24:

Tabla 3. Especificaciones de Explorador de vulnerabilidades de Outpost24

Especificación Valor

Nombre del explorador Explorador de vulnerabilidades deOutpost24

Versiones soportadas HIAB V4.1

OutScan V4.1

Tipo de conexión HTTPS

Más información Sitio web de Outpost24 (http://www.outpost24.com/)

Certificados de servidor

Antes de añadir un explorador, se necesita un certificado de servidor para darsoporte a las conexiones HTTPS. QRadar da soporte a los certificados con lasextensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado aldirectorio /opt/qradar/conf/trusted_certificates, seleccione una de las opcionessiguientes:v Copie manualmente el certificado en el directorio /opt/qradar/conf/

trusted_certificates mediante SCP (copia segura) o SFTP (protocolo detransferencia segura de archivos).

v Para descargar automáticamente el certificado en el directorio/opt/qradar/conf/trusted_certificates, abra una sesión de SSH en la consolao el host gestionado y especifique el mandato siguiente:/opt/qradar/bin/getcert.sh <IP_o_nombre_de_host><puerto_optional_(443_predeterminado)>.

Instalar Java Cryptography Extension sin restricciones

Los certificados predeterminados utilizados por OUTSCAN y HIAB utilizan clavesde 2048 bits. Como resultado, debe modificar la criptografía de Java cuando utilizaestos certificados. Para obtener más información, consulte “Instalación de JavaCryptography Extension sin restricciones” en la página 1.

Pasos de configuración

Para configurar QRadar para descarga datos de activos y vulnerabilidad de unexplorador de vulnerabilidades de Outpost24, siga estos pasos:


http://www.outpost24.com/

1. Si las actualizaciones automáticas no están habilitadas, descargue e instale laversión más reciente del RPM del Explorador de vulnerabilidades de Outpost24en el sistema QRadar.

2. El el explorador de vulnerabilidades de Outpost24, cree una señal de aplicaciónpara QRadar.

3. En la Consola de QRadar, añada el explorador de vulnerabilidades deOutpost24. Configure todos los parámetros necesarios y utilice la tablasiguiente para identificar valores de Outpost24 específicos:

Tabla 4. Parámetros del explorador de vulnerabilidades de Outpost24

Parámetro Valor

Tipo Explorador de vulnerabilidades deOutpost24

Nombre de host del servidor El nombre de host o la dirección IP deldispositivo de explorador devulnerabilidades de Outpost24.

Puerto 443

Señal de API Debe utilizar la señal de API creada en eldispositivo de explorador devulnerabilidades de Outpost24.

4. Planificar una exploración.Tareas relacionadas:“Creación de una señal de autenticación de API de Outpost24 para QRadar”Para habilitar IBM Security QRadar para utilizar la API de Outpost24 paradescargar los datos de activo y de vulnerabilidad, cree una señal de acceso deaplicación en el escáner de vulnerabilidad de Outpost24.Capítulo 24, “Planificación de una exploración de vulnerabilidades”, en la página97Las planificaciones de exploración son intervalos asignados a los exploradores quedeterminan cuándo se importan los datos de evaluación de vulnerabilidades desdelos dispositivos de exploración externos de la red. Las planificaciones deexploración también pueden definir los rangos de CIDR o las subredes que seincluyen en la importación de datos cuando se produce la importación de los datosde vulnerabilidad.

Creación de una señal de autenticación de API de Outpost24 paraQRadar

Para habilitar IBM Security QRadar para utilizar la API de Outpost24 paradescargar los datos de activo y de vulnerabilidad, cree una señal de acceso deaplicación en el escáner de vulnerabilidad de Outpost24.

Procedimiento1. Inicie la sesión en el escáner de vulnerabilidad de Outpost24.2. Seleccione Valores > Cuenta.3. Pulse la pestaña Política de seguridad.4. En el panel Señal de acceso de aplicación, pulse Nuevo.5. En la ventana Mantenimiento de señal de acceso de aplicación, asegúrese de

que el recuadro de selección Activo está seleccionado.6. Teclee un nombre para la aplicación, por ejemplo, QRadar.


7. Configure las restricciones de IP y los derechos de acceso de usuario.8. Pulse Guardar.9. Copie la señal de autenticación de 64 caracteres en un archivo.


En el sistema QRadar, añada el escáner de vulnerabilidad de Outpost24.

Capítulo 18. Visión general de Explorador de vulnerabilidades de Outpost24 73

Capítulo 19. Positive Technologies MaxPatrol

Puede añadir un explorador Positive Technologies MaxPatrol al despliegue de IBMSecurity QRadar.

A intervalos que están determinados por una planificación de exploración, QRadarimporta los resultados de archivos XML que contienen vulnerabilidades deMaxPatrol. El explorador MaxPatrol importa archivos desde un servidor remotoque contiene datos de exploración exportados.

En la tabla siguiente se proporcionan detalles del explorador Positive TechnologiesMaxPatrol:

Tabla 5. Detalles del explorador Positive Technologies MaxPatrol

Proveedor Positive Technologies

Nombre del explorador MaxPatrol

Versiones soportadas 8.24.4 y versiones posteriores

Siga los procedimientos siguientes para integrar Positive Technologies MaxPatrolcon QRadar.1. Configure el explorador Positive Technologies MaxPatrol para exportar los

informes de exploración. Habilite las exportaciones de vulnerabilidades dearchivos XML compatibles con QRadar. Para obtener los archivos necesarios ylos procedimientos de configuración, póngase en contacto con el soporte alcliente de Positive Technologies.

2. En la consola de QRadar, añada un explorador Positive TechnologiesMaxPatrol.

3. En la consola de QRadar, cree una planificación de exploración para importarlos datos de resultados de la exploración.

Integración de Positive Technologies MaxPatrol con QRadarProcedimientos necesarios para integrar Positive Technologies MaxPatrol conQRadar.

Procedimiento1. Configure el explorador Positive Technologies MaxPatrol para exportar los

informes de exploración. Habilite las exportaciones de vulnerabilidades dearchivos XML compatibles con QRadar. Para obtener los archivos necesarios ylos procedimientos de configuración, póngase en contacto con el soporte alcliente de Positive Technologies.

2. En la consola de QRadar, añada un explorador Positive TechnologiesMaxPatrol.

3. En la consola de QRadar, cree una planificación de exploración para importarlos datos de resultados de la exploración.

Adición de un explorador Positive Technologies MaxPatrolAñada un explorador Positive Technologies MaxPatrol al despliegue de IBMSecurity QRadar.


Antes de empezar

Asegúrese de que se cumplen los requisitos previos siguientes:v El sistema de Positive Technologies MaxPatrol está configurado para exportar los

informes de vulnerabilidades XML compatibles con QRadar.v Hay un recurso compartido SMB o SFTP configurado que contiene los informes

de vulnerabilidades XML exportadas.


En la tabla siguiente se describen los parámetros del explorador PositiveTechnologies MaxPatrol cuando se selecciona SFTP como método de importación:

Tabla 6. Propiedades de SFTP del explorador Positive Technologies MaxPatrol


Remote Hostname Dirección IP o nombre de host del servidorque contiene el archivo de resultado de laexploración.

Login Username Nombre de usuario que QRadar utiliza parainiciar la sesión en el servidor.

Enable Key Authentication Especifica que QRadar se autentica con unarchivo de autenticación basado en clave.

Remote directory Ubicación de los archivos de resultados deexploración.

Private Key File Vía de acceso completa del archivo quecontiene la clave privada. Si no existe unarchivo de claves, debe crear el archivovis.ssh.key.

File Name Pattern Expresión regular necesaria para filtrar lalista de archivos de Remote Directory. Elpatrón .*\.xml importa todos los archivosXML del directorio remoto.

En la tabla siguiente se describen los parámetros del explorador PositiveTechnologies MaxPatrol cuando se selecciona SMB como método de importación:

Tabla 7. Propiedades de recuso compartido SMB del explorador Positive TechnologiesMaxPatrol


Hostname Dirección IP o nombre de host del recursocompartido SMB.

Login Username Nombre de usuario que QRadar utiliza parainiciar la sesión en el recurso compartidoSMB.

Domain Dominio que se utiliza para conectar con elrecurso compartido SMB.

SMB Folder Path Vía de acceso completa al recursocompartido desde la raíz del host SMB.Utilice barras inclinadas; por ejemplo,/share/logs/.


Tabla 7. Propiedades de recuso compartido SMB del explorador Positive TechnologiesMaxPatrol (continuación)


File Name Pattern Expresión regular necesaria para filtrar lalista de archivos de Remote Directory.Elpatrón .*\.xml importa todos los archivosxml del directorio remoto.


explorador Positive Technologies MaxPatrol.5. En la lista Host gestionado, seleccione el host gestionado que gestiona la

importación del explorador.6. En la lista Tipo, seleccione Positive Technologies MaxPatrol Scanner.7. Configure los parámetros.8. Configure un rango de CIDR para el explorador.9. Pulse Guardar.

10. En la pestaña Admin, pulse Desplegar cambios.


Para obtener más información sobre la creación de una planificación deexploración, consulte el Capítulo 24, “Planificación de una exploración devulnerabilidades”, en la página 97.

Capítulo 19. Positive Technologies MaxPatrol 77

Capítulo 20. Visión general del explorador Qualys

QRadar puede recuperar la información de vulnerabilidades de la APIQualysGuard Host Detection List o descargar informes de exploracióndirectamente desde un dispositivo de QualysGuard. QRadar da soporte a laintegración con dispositivos de QualysGuard que utilicen las versiones de la 4.7 ala 8.1 del software.

Exploradores Qualys Detection

Añada un explorador Qualys Detection si desea utilizar la API QualysGuard HostDetection List para consultar varios informes de exploración con el fin de recopilarlos datos de vulnerabilidad de los activos. Los datos que la consulta devuelvecontienen las vulnerabilidades en forma de números de identificación, que QRadarcompara con la base de conocimiento de vulnerabilidades de Qualys más reciente.El explorador Qualys Detection no da soporte a las exploraciones en tiempo real,pero permite recuperar la información de vulnerabilidades agregada en variosinformes de exploración. QRadar da soporte a los parámetros de búsqueda declave para filtrar la información que desea recopilar. También puede configurar lafrecuencia con la que QRadar recupera y almacena en la memoria caché la base deconocimiento de vulnerabilidades de Qualys.

Exploradores Qualys

Añada un explorador Qualys si desea importar informes importados o en tiemporeal que incluyan datos de exploración o datos de activos. Cuando se añade unexplorador Qualys, puede elegir entre los tipos de recopilación siguientes:v Scheduled live - Scan Reportv Scheduled Import - Asset Data Reportv Scheduled Import - Scan Report

Instalación del certificado de QualysPara poder iniciar la sesión en Qualys, debe descargar el certificado de Qualys enIBM Security QRadar.

Procedimiento1. Póngase en contacto con Qualys para obtener un URL de cliente y sus

credenciales de inicio de sesión. Para obtener más información sobre el iniciode sesión en Qualys, consulte www.qualys.com/support (https://www.qualys.com/support/faq/login/).

2. Descargue el certificado mediante el mandato siguiente:getcert.sh <URL_cliente>

3. Copie el certificado descargado en /opt/qradar/conf/trusted_certificate.

Adición de un explorador Qualys DetectionAñada un explorador Qualys Detection si desea utilizar una API para consultarvarios informes de exploración con el fin de recopilar los datos de vulnerabilidadde los activos. El explorador Qualys Detection utiliza la API QualysGuard HostDetection List.


https://www.qualys.com/support/faq/login/


explorador Qualys Detection.5. En la lista Host gestionado, seleccione el host gestionado que gestiona la

importación del explorador.6. En la lista Tipo, seleccione Qualys Detection Scanner.7. Configure los siguientes parámetros:


Qualys Server Host Name Nombre de dominio completo (FQDN) odirección IP de la consola de gestión deQualysGuard. Si escribe el FQDN, el nombrede host y no el URL, por ejemplo, escribaqualysapi.qualys.com oqualysapi.qualys.eu.

Qualys Username El nombre de usuario que especifique debetener acceso para descargar la base deconocimiento de Qualys. Para obtener másinformación sobre la actualización de lascuentas de usuario de Qualys, consulte ladocumentación de Qualys.

Qualys Password La contraseña para el inicio de sesión enQualys.

Operating System Filter Expresión regular para filtrar los datos deexploración por sistema operativo.

Asset Group Names Lista separada por comas para consultar lasdirecciones IP por el nombre del grupo deactivos.

Host Scan Time Filter (Days) Las horas de exploración de host que seananteriores al número de días especificado seexcluyen de los resultados que Qualysdevuelve.

Qualys Vulnerability Retention Period(Days)

Número de días que desea que QRadaralmacene la base de conocimiento devulnerabilidades de Qualys. Si unaexploración está planificada y el periodo deretención ha caducado, el sistema descargauna actualización.

Force Qualys Vulnerability Update Hace que el sistema actualice la base deconocimiento de vulnerabilidades de Qualyspara cada exploración planificada.

8. Para configurar un proxy, seleccione la casilla de verificación Use Proxy yconfigure las credenciales del servidor proxy.

9. Para configurar un certificado de cliente, seleccione la casilla de verificaciónUse Client Certificate y configure el campo Certificate File Path y los camposCertificate Password.

10. Configure un rango de CIDR para su explorador, configure los parámetros derango de CIDR y pulse Add.


Restricción: La API QualysGuard Host Detection List acepta solamenterangos de CIDR hasta un máximo de una sola clase A o /8 y no debe abarcarla dirección IP del host local (127.0.0.1) o 0.0.0.0.

11. Pulse Guardar.12. En la pestaña Admin, pulse Desplegar cambios. Los cambios en la

configuración del proxy requieren que se utilice Desplegar configuracióncompleta.

Adición de una exploración en tiempo real de QualysAñada una exploración en tiempo real planificada para iniciar las exploracionespreconfiguradas en el explorador Qualys y después recopilar los resultados de lasexploraciones completadas.


explorador Qualys.5. En la lista Host gestionado, seleccione el host gestionado que gestiona la

importación del explorador.6. En la lista Tipo, seleccione Qualys Scanner.7. Configure los siguientes parámetros:





8. Opcional: Para configurar un proxy, seleccione la casilla de verificación UseProxy y configure las credenciales del servidor proxy.

9. Opcional: Para configurar un certificado de cliente, seleccione la casilla deverificación Use Client Certificate y configure el campo Certificate File Pathy los campos Certificate Password.

10. En la lista Collection Type, seleccione Scheduled Live - Scan Report.11. Configure los siguientes parámetros:

Capítulo 20. Exploradores Qualys 81


Nombre de explorador Para obtener el nombre del explorador,póngase en contacto con el administrador dela red. El dispositivo de exploración públicadebe borrar el nombre de este campo.

Option Profiles Nombre del perfil de opción que determinaqué exploración en tiempo real se inicia. Lasexploraciones en tiempo real solo dansoporte a un único nombre de perfil deopción para cada configuración deexplorador.

12. Opcional: Para configurar un rango de CIDR para su explorador, configure losparámetros de rango de CIDR y pulse Add.

13. Opcional: Para permitir que QRadar cree vulnerabilidades personalizadas apartir de los datos de exploración en tiempo real, seleccione la casilla deverificación Enable Custom Vulnerability Creation y seleccione las opcionesque desee incluir.



Adición de un informe de activos de importación planificada de QualysAñada una importación de datos de informe de activos para planificar QRadar demodo que recupere un único informe de activos del explorador Qualys.












10. En la lista Collection Type, seleccione Scheduled Import - Asset Data Report.11. Configure los siguientes parámetros:


Report Template Title Título de la plantilla de informe quesustituirá al título del informe de datos deactivos predeterminado.

Max Reports Age (Days) Los archivos que sean más antiguos que losdías y la indicación de fecha y hora queestán especificados en el archivo de informese excluyen cuando se inicia la exploraciónplanificada.

Import File Vía de acceso del directorio para descargar eimportar un único informe de activos deQualys. Si especifica una ubicación dearchivo de importación, QRadar descarga elcontenido del informe de activos de Qualysen un directorio local e importa el archivo.Si deja este campo en blanco o si el archivoo el directorio no se encuentra, el exploradorQualys utiliza la API para recuperar elinforme de activos utilizando el valor delcampo Report Template Title.





Adición de un informe de exploración de importación planificada deQualys

Añada una importación de datos de informe de exploración para planificar QRadarde modo que recupere los informes de exploración del explorador Qualys.

Procedimiento1. Pulse la pestaña Admin.2. Pulse el icono Exploradores de evaluación de vulnerabilidades.


3. Pulse Añadir.4. En el campo Nombre de explorador, escriba un nombre para identificar el









10. En la lista Collection Type, seleccione Scheduled Import - Scan Report.11. Configure los siguientes parámetros:


Option Profiles Nombre del perfil de opción que determinaqué exploración se inicia. QRadar recuperalos datos de exploración en tiempo realcompletada después de que se complete laexploración en tiempo real. Lasexploraciones en tiempo real solo dansoporte a un único nombre de perfil deopción por configuración de explorador.

Scan Report Name Pattern Expresión regular para filtrar la listainformes de exploración.

Max Reports Age (Days) Los archivos que sean más antiguos que losdías y la indicación de fecha y hora queestán especificados en el archivo de informese excluyen cuando se inicia la exploraciónplanificada.



Import File Vía de acceso del directorio para descargar eimportar un único informe de exploraciónde Qualys; por ejemplo,/qualys_logs/test_report.xml. Si especificauna ubicación de archivo de importación,QRadar descarga el contenido del informede activos de Qualys en un directorio local eimporta el archivo. Si deja este campo enblanco o si el archivo o el directorio no seencuentra, el explorador Qualys utiliza laAPI para recuperar el informe de activosutilizando el valor del campo OptionsProfile.








Capítulo 21. Visión general de los exploradores Rapid7NeXpose

Los exploradores Rapid7 NeXpose pueden proporcionar informes de datos desitios a QRadar para importar las vulnerabilidades conocidas de la red.

Las opciones siguientes están disponibles para recopilar información devulnerabilidades de los exploradores Rapid7 NeXpose:v Importación de sitios de informes ad hoc a través de la API de Rapid7. Consulte

el apartado “Adición de una importación de sitios de la API del exploradorRapid7 NeXpose”.

v Importación de sitios de un archivo local. Consulte el apartado “Adición de unaimportación de archivos locales del explorador Rapid7 NeXpose” en la página88.

Adición de una importación de sitios de la API del explorador Rapid7NeXpose

Las importaciones de la API permiten que QRadar importe desde los exploradoresRapid7 NeXpose los datos de informe ad hoc correspondientes a lasvulnerabilidades de los sitios. Los datos de sitio que la planificación de exploraciónimporta dependen del nombre del sitio.

Antes de empezar

Antes de añadir este explorador, se necesita un certificado de servidor para darsoporte a las conexiones HTTPS. QRadar da soporte a los certificados con lasextensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado aldirectorio /opt/qradar/conf/trusted_certificates, seleccione una de las opcionessiguientes:v Copie manualmente el certificado en el directorio /opt/qradar/conf/



Procedimiento1. Pulse la pestaña Admin.2. Pulse el icono Exploradores de evaluación de vulnerabilidades.3. Pulse Añadir.4. En el campo Nombre de explorador, escriba un nombre para identificar

fácilmente el explorador Rapid7 NeXpose.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione Rapid7 NeXpose Scanner.7. En la lista Import Type, seleccione una de las opciones siguientes:


v Import Site Data - Asset and Vulnerability data via SQL API - Opciónpredeterminada y sugerida para importar resultados.

v Import Site Data - Adhoc Report via API

8. En el campo Remote Hostname, escriba la dirección IP o el nombre de hostdel explorador Rapid7 NeXpose.

9. En el campo Login Username, escriba el nombre de usuario utilizado paraacceder al explorador Rapid7 NeXpose. El nombre de inicio de sesión debe serun usuario válido. El nombre de usuario puede obtenerse en la interfaz deusuario de Rapid7 NeXpose o se puede solicitar al administrador de Rapid7NeXpose.

10. En el campo Login Password, escriba la contraseña necesaria para acceder alexplorador Rapid7 NeXpose.

11. En el campo Port, escriba el número de puerto que se utiliza para conectar conla consola de seguridad de Rapid7 NeXpose. El número de puerto es el mismopuerto que se utiliza para conectarse a la interfaz de usuario de Rapid7NeXpose.

12. En el campo Site Name Pattern, escriba una expresión regular paradeterminar qué sitios de Rapid7 NeXpose se incluirán en la exploración. Seincluyen todos los sitios que coinciden con el patrón cuando se inicia laplanificación de exploración. La expresión regular predeterminada es .* paraimportar todos los nombres de sitio.

13. En el campo Cache Timout (Minutes), escriba el periodo de tiempo que losdatos del último informe de exploración generado se almacenan en lamemoria caché. Si el límite de tiempo de espera de caché caduca, se solicitannuevos datos de vulnerabilidad a la API cuando la exploración planificada seinicia.

14. Para configurar un rango de CIDR para el explorador, siga estos pasos:a. En el campo de texto, escriba el rango de CIDR para la exploración o pulse





Adición de una importación de archivos locales del explorador Rapid7NeXpose

La importación de datos de vulnerabilidad de sitios utilizando archivos localespermite que QRadar importe las exploraciones de vulnerabilidad completadasbasadas en informes de exploración completados copiados del explorador Rapid7NeXpose a QRadar.

Antes de empezar

Antes de añadir este explorador, se necesita un certificado de servidor para darsoporte a las conexiones HTTPS. QRadar da soporte a los certificados con las


extensiones de archivo siguientes: .crt, .cert o .der. Para copiar un certificado aldirectorio /opt/qradar/conf/trusted_certificates, seleccione una de las opcionessiguientes:v Copie manualmente el certificado en el directorio /opt/qradar/conf/




Las importaciones de archivos locales recopilan las vulnerabilidades de un sitiodesde un archivo local que se descarga. El archivo XML de Rapid7 NeXpose quecontiene la información de sitio y vulnerabilidades debe copiarse del dispositivo deRapid7 NeXpose a la consola o al host gestionado que especificó al añadir elexplorador a QRadar. El directorio del host gestionado debe existir para que elsistema pueda copiar informes de sitios en el host gestionado. Los administradorespueden configurar la copia de los archivos de sitio en el host gestionado medianteSCP (copia segura) o SFTP (protocolo de transferencia segura de archivos).

Nota: Los archivos de sitio que se importan no se suprimen de la carpeta deimportación, sino que se les cambia el nombre por .processed0. Losadministradores pueden crear un trabajo cron para suprimir los archivos de sitioprocesados anteriormente, si es preciso.

Procedimiento1. Pulse la pestaña Admin.2. Pulse el icono Exploradores de evaluación de vulnerabilidades.3. Pulse Añadir.4. En el campo Nombre de explorador, escriba un nombre para identificar

fácilmente el explorador Rapid7 NeXpose.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione Rapid7 NeXpose Scanner.7. En la lista Import Type, seleccione Import Site Data - Local File.8. En el campo Import Folder, escriba la vía de acceso del directorio de los datos

de vulnerabilidad XML. Si especifica una carpeta de importación, debe moverlos datos de vulnerabilidad del explorador Rapid7 NeXpose a QRadar.

9. En el campo Import Name Pattern, escriba un patrón de expresión regularpara determinar qué archivos XML de Rapid7 NeXpose se incluirán en elinforme de exploración. Todos los nombres de archivo que coincidan con elpatrón de la expresión regular se incluyen al importar el informe deexploración de vulnerabilidad. Debe utilizar un patrón de expresión regularválido en este campo. El valor predeterminado .*\.xml importa todos losarchivos de la carpeta de importación.



Capítulo 21. Exploradores Rapid7 NeXpose 89

Capítulo 22. Visión general del explorador SAINT

Los administradores pueden integrar sus exploradores de vulnerabilidades SecurityAdministrator's Integrated Network Tool (SAINT) con QRadar para losdispositivos de SAINT con software de la versión 7.4.x.

Los administradores pueden añadir exploradores SAINT a QRadar para recopilardatos de vulnerabilidad de SAINT de los hosts, incluida la información sobredirecciones Mac, puertos y servicios. El explorador SAINT identifica lasvulnerabilidades en función del nivel de exploración especificado y utilizaSAINTwriter para generar informes personalizados. Por lo tanto, el sistema SAINTdebe incluir una plantilla de informe SAINTwriter personalizada y exploracionesque se ejecuten con regularidad para asegurarse de que los resultados seanactuales.

Los siguientes tipos de recopilación de datos están soportados para lasconfiguraciones del explorador SAINT:v Live scan: Iniciar una exploración remota en el explorador SAINT. La

exploración en tiempo real genera un informe de vulnerabilidad basado en elnombre de la sesión, que se importa después de que la exploración acabe.

v Report only: Importar informes completados del explorador SAINT basados enel nombre de la sesión.

Para configurar una plantilla para el informe, consulte el apartado “Configuraciónde una plantilla SAINTwriter”.

Configuración de una plantilla SAINTwriterPara que los administradores puedan añadir vulnerabilidades a un exploradorSAINT e importarlas de este, debe configurarse una plantilla en SAINTwriter.

Procedimiento1. Inicie sesión en la interfaz de usuario de SAINT.2. En el menú de navegación, seleccione Data > SAINTwriter.3. Pulse Report Type.4. En la lista Type, seleccione Custom.5. En el campo File Name, escriba el nombre de un archivo de configuración.

Debe utilizarse el nombre del archivo de configuración que se crea cuando seañade el explorador SAINT a QRadar.

6. En la lista Template Type, seleccione Technical Details.7. Pulse Continue.8. Seleccione Lists.9. En la lista Columns to include in host, cambie una columna None por MAC

address.10. En la lista Columns to include in vulnerability, cambie una columna None

por Port.11. En la lista Columns to include in vulnerability, cambie una columna None

por Service.12. Pulse Guardar.



Ya está preparado para añadir una configuración de exploración a QRadar para elexplorador SAINT. Consulte el apartado “Adición de una exploración devulnerabilidades de SAINT”.

Adición de una exploración de vulnerabilidades de SAINTLos administradores pueden añadir una configuración de explorador SAINT pararecopilar informes específicos o iniciar exploraciones en el explorador remoto.


explorador SAINT.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione SAINT Scanner.7. En el campo Remote Hostname, escriba la dirección IP o el nombre de host

del explorador SAINT.8. Elija una de las opciones de autenticación siguientes:



1. En el campo Login Username, escriba unnombre de usuario que tenga acceso alhost remoto.





El directorio predeterminado del archivo declaves es /opt/qradar/conf/vis.ssh.key.

Si no existe un archivo de claves, debe crearel archivo vis.ssh.key.

9. En el campo SAINT Base Directory, escriba la vía de acceso del directorio deinstalación del explorador SAINT.

10. En la lista Scan Type, seleccione una de las opciones siguientes:v Live scan: Inicia una exploración de vulnerabilidades para generar datos de

informe basados en el nombre de sesión.


v Report Only: Genera un informe de exploración basado en el nombre desesión.

11. En las configuraciones de exploración en tiempo real (Live Scan), seleccioneuna opción para la casilla de verificación Ignore Existing Data.v Seleccione esta casilla de verificación para forzar la exploración en tiempo

real para recopilar nuevos datos de vulnerabilidad en la red. Esta opciónelimina todos los datos de la carpeta de sesión antes de que comience laexploración en tiempo real.

v Deseleccione la casilla de verificación para permitir que la exploración entiempo real utilice los datos existentes en la carpeta de sesión.

12. En la lista Scan Level, seleccione un nivel de exploración. Las opciones son:v Vulnerability Scan: Explorar todas las vulnerabilidades.v Port Scan: Explorar los servicios TCP o UDP a la escucha en la red.v PCI Compliance Scan: Explorar puertos y servicios con énfasis en la

conformidad con DSS PCI.v SANS Top 20 Scan: Explorar las 20 vulnerabilidades de seguridad críticas

más importantes.v FISMA Scan: Explorar todas las vulnerabilidades e incluir todas las

exploraciones personalizadas y los niveles de PCI.13. En el campo Session Name, escriba el nombre de sesión para la configuración

del explorador SAINT.14. En el campo SAINT Writer Config, escriba el nombre del archivo de

configuración de SAINTwriter.15. Para configurar un rango de CIDR para el explorador:

a. En el campo de texto, escriba el rango de CIDR para la exploración o pulseExaminar para seleccionar un rango de CIDR de la lista de redes.




Capítulo 22. Visión general del explorador SAINT 93

Capítulo 23. Visión general del explorador TenableSecurityCenter

Un explorador Tenable SecurityCenter se puede utilizar para planificar y recuperartodos los registros de informe de exploración de vulnerabilidades abiertos quehaya desde los exploradores de vulnerabilidades Nessus de la red. .

Para configurar un explorador Tenable SecurityCenter, consulte el “Adición de unaexploración de Tenable SecurityCenter”.

Adición de una exploración de Tenable SecurityCenterPuede añadir un explorador Tenable SecurityCenter para permitir que IBMSecurity QRadar recopile información de host y vulnerabilidades a través de la APIde Tenable.

Antes de empezar

Verifique la ubicación de la API en Tenable SecurityCenter.

Se necesita un certificado de servidor para dar soporte a las conexiones HTTPS.QRadar da soporte a los certificados con las extensiones de archivo siguientes: .crt,.cert o .der. Para copiar un certificado al directorio /opt/qradar/conf/trusted_certificates, seleccione una de las opciones siguientes:v Copie manualmente el certificado en el directorio /opt/qradar/conf/




explorador.5. En la lista Host gestionado, seleccione el host gestionado del despliegue de

QRadar que gestiona la importación del explorador.6. En la lista Tipo, seleccione Tenable SecurityCenter.7. En el campo Server Address, escriba la dirección IP de Tenable

SecurityCenter.8. En el campo API Location, escriba la vía de acceso de la API en Tenable

SecurityCenter.La vía de acceso predeterminada del archivo de la API para SecurityCenterVersión 4 es sc4/request.php.La vía de acceso predeterminada del archivo de la API para SecurityCenterVersión 5 es rest.


9. En la lista API Version, seleccione la versión de SecurityCenter. Por ejemploVersion 4 o Version 5.

10. En el campo User Name, escriba el nombre de usuario que accederá a la APITenable SecurityCenter.

11. En el campo Password, escriba la contraseña para acceder a la API de TenableSecurityCenter.

12. Configure un rango de CIDR para el explorador.a. En el campo de rangos de CIDR, escriba el rango de CIDR para la

exploración o pulse Examinar para seleccionar un rango de CIDR de lalista de redes.





Capítulo 24. Planificación de una exploración devulnerabilidades

Las planificaciones de exploración son intervalos asignados a los exploradores quedeterminan cuándo se importan los datos de evaluación de vulnerabilidades desdelos dispositivos de exploración externos de la red. Las planificaciones deexploración también pueden definir los rangos de CIDR o las subredes que seincluyen en la importación de datos cuando se produce la importación de los datosde vulnerabilidad.


Las planificaciones de exploración se crean para cada producto de explorador de lared y se utilizan para recuperar los datos de vulnerabilidad. No hay ningún límiteen cuanto al número de planificaciones de exploración que se pueden crear. Amenudo es útil crear varias exploraciones en la red para las vulnerabilidades de lared. Las importaciones de vulnerabilidades de gran tamaño pueden tardar muchotiempo en completarse y suelen consumir muchos recursos del sistema. No sepuede planificar una exploración hasta que el explorador se haya añadido.

Procedimiento1. Pulse la pestaña Admin.2. Pulse el icono Planificar exploradores de evaluación de vulnerabilidades.3. Pulse Añadir.4. En la lista Exploradores de evaluación de vulnerabilidades, seleccione el

explorador que requiere una planificación de exploración.5. Elija una de las opciones siguientes:


CIDR de red Seleccione esta opción para definir un rangode CIDR para la importación de datos.

Si un explorador incluye variasconfiguraciones de CIDR, el rango de CIDRse puede seleccionar en la lista.

Subred/CIDR Seleccione esta opción para definir unasubred o un rango de CIDR para laimportación de datos.

El valor de subred/CIDR definido por eladministrador debe ser un CIDR de red queesté disponible para el explorador.

6. En la lista Prioridad, seleccione el nivel de prioridad por asignar alexplorador.


Baja Indica que la exploración es de prioridadnormal. La prioridad baja es el valor deexploración predeterminado.



Alta Indica que la exploración tiene prioridadalta.

Las exploraciones con prioridad alta secolocan siempre por encima de lasexploraciones con prioridad baja en la colade exploración.

7. En el campo Puertos, escriba los puertos que se incluyen en la planificaciónde exploración. Los puertos que no estén en la planificación no se importan delos datos de vulnerabilidad. Los administradores pueden especificar valoresde puerto que estén comprendidos entre 1 y 65536. Los valores de puertoindividual pueden incluirse como valores separados por comas, junto con losrangos de puertos. Por ejemplo, 21,443, 445, 1024-2048.

8. Seleccione la hora de inicio de la planificación.9. En el campo Intervalo, escriba un intervalo de tiempo para indicar con qué

frecuencia desea que se repita esta exploración. Las planificaciones deexploración pueden contener intervalos por hora, día, semana o mes.

10. Pulse Guardar.


Capítulo 25. Visualización del estado de una exploración devulnerabilidades

La ventana de planificación de exploración proporciona a los administradores unavista del estado en la que se puede saber cuándo tiene planificada cada exploradorla recopilación de los datos de evaluación de vulnerabilidades de los activos de lared.


Se visualiza el nombre de cada exploración, junto con el rango de CIDR, el puertoo el rango de puertos, la prioridad, el estado y la hora de la siguiente ejecución.

Tabla 8. Estado de la planificación de exploración

Nombre decolumna Descripción

Explorador deevaluación devulnerabilidades

Visualiza el nombre de la exploración planificada.

CIDR Visualiza los rangos de direcciones CIDR que se incluyen en laimportación de datos de vulnerabilidad cuando la planificación deexploración se inicia.

Puertos Visualiza los rangos de puertos que se incluyen en la importación dedatos de vulnerabilidad cuando la planificación de exploración se inicia.

Las planificaciones de exploración pueden iniciar una exploraciónremota en un dispositivo de vulnerabilidad remoto de proveedoresespecíficos. Por ejemplo, NMap, Nessus o Nessus Scan Results Importer;los puertos listados en la columna Puertos son los puertos contenidos enla exploración.

Con la mayoría de los exploradores, el rango de puertos no se tiene encuenta al solicitar información de activos a un explorador.

Por ejemplo, los exploradores nCircle IP360 y Qualys notifican lasvulnerabilidades en todos los puertos, pero requieren que se especifiquequé información de puerto se extraerá del informe completo paravisualizarla en la interfaz de usuario.

Prioridad Visualiza la prioridad de la exploración.

Las planificaciones de exploración con prioridad alta se colocan alprincipio de la cola y se ejecutan antes que las exploraciones conprioridad baja.


Tabla 8. Estado de la planificación de exploración (continuación)

Nombre decolumna Descripción

Estado Visualiza el estado actual de la exploración. Cada campo de estadocontiene información exclusiva sobre el estado de la exploración.

v Las exploraciones nuevas se pueden editar hasta que el estadocambia.

v Las exploraciones pendientes deben esperar a que se complete otraexploración.

v Las exploraciones en curso proporcionan un porcentaje de finalizacióncon información en forma de ayuda contextual sobre la importaciónde los datos.

v Las exploraciones completadas proporcionan un resumen de lasvulnerabilidades importadas o de las importaciones parciales de datosque se hayan efectuado.

v Las exploraciones anómalas proporcionan un mensaje de error en elque se indica el motivo por el que las vulnerabilidades no se hanimportado.

Última hora definalización

Visualiza la última vez que la exploración importó satisfactoriamenteregistros de vulnerabilidad para la planificación.

Próxima hora deejecución

Muestra para cuándo está planificada la siguiente importación de datosde vulnerabilidad de la exploración. Las planificaciones de exploraciónque indican Nunca en la interfaz de usuario son exploraciones quesolamente se llevan a cabo una vez.

Procedimiento1. Pulse la pestaña Admin.2. Pulse el icono Planificar exploradores de evaluación de vulnerabilidades.3. Revise la columna Estado para saber el estado de los orígenes de registro.

La columna de estado de cada explorador proporciona un mensaje de estadoque indica si cada importación de vulnerabilidades ha sido correcta o si hafallado.


Capítulo 26. Exploradores de vulnerabilidades soportados

Los datos de vulnerabilidad se pueden recopilar con productos de seguridad dediversos fabricantes y proveedores. Si el explorador desplegado en la red no figuraen este documento, puede ponerse en contacto con su representante de ventas pararevisar el soporte correspondiente a su dispositivo.

Tabla 9. Exploradores de vulnerabilidades soportados

Proveedor Nombre del explorador Versiones soportadasNombre deconfiguración Tipo de conexión

BeyondSecurity

Automated VulnerabilityDetection System (AVDS)

AVDS Management V12 (versiónmenor 129) y versionessuperiores

Explorador BeyondSecurity AVDS

Importación de archivos de datos devulnerabilidad con SFTP

DigitalDefense Inc

AVS N/A Digital Defense IncAVS

HTTPS

eEye DigitalSecurity

eEye REM REM V3.5.6 Explorador eEye REM Escucha de condiciones de excepción deSNMP

eEye Retina CS Retina CS V3.0 a V4.0 Consultas de base de datos sobre JDBC

Genérico Axis N/A Explorador Axis Importación de archivos de datos devulnerabilidad con SFTP

IBM IBM AppScan Enterprise V8.6 Explorador IBMAppScan

Servicio web REST de IBM con HTTP oHTTPS

IBM InfoSphere Guardium v9.0 y versiones posteriores Explorador IBMGuardium SCAP


IBM BigFix V8.2x a V9.5.2 IBM BigFix Scanner API basada en SOAP con HTTP o HTTPS

IBM InfoSphere SiteProtector V2.9.x Explorador IBMSiteProtector

Consultas de base de datos sobre JDBC

IBM Tivoli Endpoint Manager

Conocido ahora comoIBM BigFix

JuniperNetworks

NetScreen SecurityManager (NSM) Profiler

2007.1r2 Explorador JuniperNSM Profiler


2007.2r2

2008.1r2

2009r1.1

2010.x

McAfee Vulnerability Manager V6.8 McAfee VulnerabilityManager

API basada en SOAP con HTTPS

V7.0 Importación de archivos XML

V7.5

Microsoft Microsoft System CenterConfiguration Manager(SCCM)

Microsoft Windows Microsoft SCCM DCOM debe estar configurado y habilitado

nCircle oTripwire

IP360 VnE Manager V6.5.2 a V6.8.28 Explorador nCircleip360


netVigilance SecureScout V2.6 ExploradorSecureScout


Códigoabierto

NMap V3.7 a V6.0 Explorador NMap Importación de archivos de datos devulnerabilidad a través de SFTP con laejecución de mandatos SSH

Outpost24 Outpost24 HIAB V4.1

OutScan V4.1

Outpost24 API sobre HTTPS

PositiveTechnologies

MaxPatrol 8.24.4 y versiones posteriores Positive TechnologiesMaxPatrol

Recurso compartido SFTP o SMB

Qualys QualysGuard V4.7 a V8.1 Explorador Qualys APIv2 sobre HTTPS

Qualys QualysGuard V4.7 a V8.1 Explorador QualysDetection

API Host Detection List sobre HTTPS


Tabla 9. Exploradores de vulnerabilidades soportados (continuación)

Proveedor Nombre del explorador Versiones soportadasNombre deconfiguración Tipo de conexión

Rapid7 NeXpose V4.x a V6.3.3 Explorador Rapid7NeXpose

RPC (llamada de procedimiento) sobreHTTPS

Importación de archivos locales XML através de SCP o SFTP a un directorio local

SaintCorporation

Security Administrator'sIntegrated Network Tool(SAINT)

V7.4.x Explorador Saint Importación de archivos de datos devulnerabilidad a través de SFTP con laejecución de mandatos SSH

TenableNetworkSecurity

SecurityCenter V4 y V5 Tenable SecurityCenter Solicitud JSON sobre HTTPS

TenableNetworkSecurity

Nessus Linux V4.0.2 a V4.4.x

Microsoft Windows V4.2 a V4.4.x

Explorador Nessus Importación de archivos a través de SFTPcon la ejecución de mandatos SSH

Linux V4.2 a V5.x

Microsoft Windows V4.2 a V5.x

XML-RPC API sobre HTTPS


Avisos

Esta información se ha desarrollado para productos y servicios ofrecidos enEstados Unidos.

Es posible que IBM no ofrezca en otros países los productos, servicios ocaracterísticas que se describen en este documento. Póngase en contacto con elrepresentante local de IBM, que le informará sobre los productos y serviciosdisponibles actualmente en su área. Las referencias hechas a productos, programaso servicios IBM IBM no pretenden afirmar ni dar a entender que únicamentepuedan utilizarse dichos productos, programas o servicios IBM. En su lugar sepuede utilizar cualquier producto, programa o servicio funcionalmente equivalenteque no infrinja ninguno de los derechos de propiedad intelectual de IBM. Noobstante, es responsabilidad del usuario evaluar y verificar el funcionamiento decualquier producto, programa o servicio que no sea de IBM.

IBM puede tener patentes o solicitudes de patente pendientes relacionadas con lostemas que se describen en este documento. La posesión de este documento no leconfiere ninguna licencia sobre dichas patentes. Puede enviar consultas sobrelicencias, por escrito, a:

IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785, EE. UU.

Para consultas sobre licencias en las que se solicite información sobre el juego decaracteres de doble byte (DBCS), póngase en contacto con el departamento dePropiedad intelectual de IBM de su país o envíe las consultas, por escrito, a:

Intellectual Property LicensingLegal and Intellectual Property LawIBM Japan Ltd.19-21, Nihonbashi-Hakozakicho, Chuo-kuTokio 103-8510, Japón

El párrafo siguiente no es aplicable en el Reino Unido ni en ningún otro país enel que tales disposiciones sean incompatibles con la legislación local:

INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONAESTA PUBLICACIÓN "TAL CUAL", SIN GARANTÍAS DE NINGUNA CLASE, NIEXPLÍCITAS NI IMPLÍCITAS, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LASGARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN DE DERECHOS,COMERCIABILIDAD O IDONEIDAD PARA UN FIN DETERMINADO. Algunaslegislaciones no contemplan la declaración de limitación de responsabilidad, niimplícita ni explícita, en determinadas transacciones, por lo que cabe la posibilidadde que esta declaración no sea aplicable en su caso.

Esta información podría incluir imprecisiones técnicas o errores tipográficos.Periódicamente se realizan cambios en la información aquí contenida; estoscambios se incorporarán en nuevas ediciones de la publicación. IBM puedeefectuar mejoras o cambios en los productos o programas descritos en estapublicación en cualquier momento y sin previo aviso.


Las referencias hechas en esta publicación a sitios web que no son de IBM seproporcionan sólo para la comodidad del usuario y no constituyen un aval deestos sitios web. El contenido de esos sitios web no forma parte del contenido deeste producto de IBM, por lo que la utilización de dichos sitios es responsabilidaddel usuario.

IBM puede utilizar o distribuir la información que se le suministre de cualquiermodo que considere adecuado sin incurrir por ello en ninguna obligación con elremitente.

Los titulares de licencias de este programa que deseen obtener información sobre elmismo con el fin de permitir:(i) el intercambio de información entre programascreados de forma independiente y otros programas (incluido éste) y (ii) el usomutuo de la información que se haya intercambiado, deberán ponerse en contactocon:

IBM Corporation170 Tracer Lane,Waltham MA 02451, EE. UU.

Esta información puede estar disponible, sujeta a los términos y condicionesadecuados, incluido, en algunos casos, el pago de una tarifa.

IBM proporciona el programa bajo licencia descrito en este documento y todo elmaterial bajo licencia disponible para el mismo bajo los términos del Acuerdo deCliente de IBM, el Acuerdo Internacional de Programas bajo Licencia de IBM ocualquier otro acuerdo equivalente entre IBM y el cliente.

Los datos de rendimiento incluidos en este documento se han obtenido en unentorno controlado. Por lo tanto, los resultados que se obtengan en otros entornosoperativos pueden variar significativamente. Algunas mediciones pueden haberserealizado en sistemas en nivel de desarrollo y no existe garantía alguna de queestas mediciones sean iguales en los sistemas de disponibilidad general. Además,es posible que algunas mediciones se hayan calculado mediante extrapolación. Losresultados reales pueden variar. Los usuarios de este documento deben verificarlos datos aplicables para su entorno específico.

La información relativa a productos no IBM se ha obtenido de los distribuidores dedichos productos, de anuncios publicados o de otras fuentes disponiblespúblicamente. IBM no ha probado esos productos y no puede confirmar laexactitud del rendimiento, la compatibilidad ni otras declaraciones referentes aproductos que no son de IBM. Las preguntas relativas a las prestaciones de losproductos que no son de IBM deberán dirigirse a los proveedores de dichosproductos.

Todas las declaraciones relativas a la orientación o intención futura de IBM estánsujetas a cambio o anulación sin previo aviso y representan solamente metas yobjetivos.

Todos los precios de IBM mostrados son precios de venta al público sugeridos porIBM, son actuales y están sujetos a cambios sin previo aviso. Los precios de losdistribuidores pueden variar.

Esta información contiene ejemplos de datos e informes utilizados en operacionesempresariales cotidianas. Para ilustrarlos de la manera más completa posible, losejemplos incluyen los nombres de personas, empresas, marcas y productos. Todos


esos nombres son ficticios y cualquier similitud con los nombres y direccionesutilizados por empresas reales es mera coincidencia.

Si está viendo esta información en copia software, es posible que las fotografías ylas ilustraciones en color no aparezcan.

Marcas registradasIBM, el logotipo de IBM e ibm.com son marcas registradas de InternationalBusiness Machines Corp en numerosas jurisdicciones de ámbito mundial. Otrosnombres de productos y servicios pueden ser marcas registradas de IBM o de otrasempresas. Puede encontrar una lista actual de marcas registradas de IBM en laWeb, en: www.ibm.com/legal/copytrade.shtml.

Linux es una marca registrada de Linus Torvalds en Estados Unidos o en otrospaíses.

UNIX es una marca registrada de The Open Group en Estados Unidos y en otrospaíses.

Java y todas las marcas y logotipos basados en Java son marcas comerciales omarcas registradas de Oracle y/o de sus filiales.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcasregistradas de Microsoft Corporation en Estados Unidos o en otros países.

Consideraciones sobre la política de privacidadLos productos de IBM Software, que incluyen software como soluciones deservicio, (“Ofertas de software”) pueden utilizar cookies u otras tecnologías pararecopilar información de uso del producto, ayudar a mejorar la experiencia delusuario final, adaptar las interacciones al usuario final u otros fines. En muchoscasos, las Ofertas de software no recopilan información de identificación personal.Algunas de nuestras Ofertas de software pueden ayudarle a recopilar informaciónde identificación personal. Si esta Oferta de software utiliza cookies para recopilarinformación de identificación personal, más adelante se proporciona informaciónespecífica sobre el uso de cookies por parte de la oferta de software.

En función de las configuraciones desplegadas, esta Oferta de software puedeutilizar cookies de sesión que recopilan el ID de sesión de cada usuario para lagestión y autenticación de sesiones. Estas cookies se pueden inhabilitar, pero si seinhabilitan también se elimina la función que estas cookies habilitan.

Si las configuraciones desplegadas para esta Oferta de software le ofrecen comocliente la posibilidad de recopilar información de identificación personal de losusuarios finales mediante cookies y otras tecnologías, debe buscar asesoramientojurídico sobre la legislación aplicable a esa recopilación de datos, que incluyecualquier requisito de aviso y consentimiento.

Para obtener más información sobre el uso de diversas tecnologías para estos fines,incluidas las cookies, consulte la política de privacidad de IBM enhttp://www.ibm.com/privacy y la declaración de privacidad en línea de IBM enhttp://www.ibm.com/privacy/details, la sección “Cookies, Web Beacons andOther Technologies” e “IBM Software Products and Software-as-a-Service PrivacyStatement” en http://www.ibm.com/software/info/product-privacy.

Avisos 105

http://www.ibm.com/legal/copytrade.shtml

http://www.ibm.com/privacy

http://www.ibm.com/privacy/details

http://www.ibm.com/software/info/product-privacy

Índice

Aadministrador de red viiañadir 9añadir explorador MaxPatrol 76Axis

añadir 3

Ccertificado de qualys 79

EeEye CS Retina

añadir exploraciones JDBC 13añadir exploraciones SNMP 11visión general 11

eEye REMañadir exploraciones JDBC 13añadir exploraciones SNMP 11visión general 11

exploradorBeyond Security AVDS 5IBM Security AppScan 16informe de activos de importación

planificada de Qualys 82informe de exploración de

importación planificada deQualys 83

Juniper NSM Profiler 33McAfee Vulnerability Manager 36,

38, 39Qualys Detection 80, 81Rapid7 NeXpose 87, 88Tenable SecurityCenter 95

explorador AXIS 3explorador Digital Defense AVS 9explorador Rapid7 NeXpose 87explorador SAINT 91explorador SecureScout

añadir 63explorador Tenable SecurityCenter 95exploradores de vulnerabilidades

soportados 101

IIBM AppScan Enterprise

añadir 17crear tipo de usuario 15publicar informes 17

IBM BigFix 31IBM InfoSphere Guardium 21

añadir 21IBM InfoSphere SiteProtector

añadir 25IBM Security BigFix 27IBM Security SiteProtector 25

integrarPositive Technologies MaxPatrol 75

introducción vii

JJava Cryptography Extension 1Juniper NSM Profiler 33

MMaxPatrol 75McAfee Vulnerability Manager 35

crear certificado 41importar certificados 42procesar certificados 42

Microsoft SCCM 45añadir 46

NnCircle IP360 49

añadir 27, 50exportar datos 49

Nessus 53adición de una exploración en tiempo

real ( JSON API) 59adición de una exploración en tiempo

real ( XMLRPC API) 57añadir exploración en tiempo real 54añadir importación de resultados

planificada 55, 65API XMLRPC para importación de

informes completados 58netVigilance SecureScout 63Nmap 65

añadir exploración en tiempo realremota 67

Oorígenes de registro 5

Pplanificación de exploración

estado 99ver 99

planificaciones de exploración 97Positive Technologies MaxPatrol 75

añadir 76

QQualys Detection 79

SSAINT

añadir 92configurar SAINTwriter 91

Ttipo de conexión 101Tripwire 49

Vvisión general 3, 5, 21, 25, 27, 31, 33, 35,

45, 49, 53, 63, 65, 79, 87, 91, 95visión general de evaluación de

vulnerabilidades 1


IBM®

Impreso en España

subsiguientes a menos que sea r eemplazado por una versión...

Documents

Transcript of subsiguientes a menos que sea r eemplazado por una versión...