IBM Security QRadar Vulnerability Manager Version Benutzerhandbuch SC

Transkript

1 IBM Security QRadar Vulnerability Manager Version Benutzerhandbuch SC

2 Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter Bemerkungen auf Seite 81 gelesen werden. Diese Veröffentlichung ist eine Übersetzung des Handbuchs IBM Security QRadar Vulnerability Manager, Version 7.2.3, User's Guide, IBM Form SC , herausgegeben von International Business Machines Corporation, USA Copyright International Business Machines Corporation 2012, 2014 Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen. Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und verfügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle. Änderung des Textes bleibt vorbehalten. Herausgegeben von: TSC Germany Kst August 2014 Copyright IBM Corporation 2012, 2014.

3 Inhaltsverzeichnis Einführung in IBM Security QRadar Vulnerability Manager vii Kapitel 1. Neuerungen für Benutzer in QRadar Vulnerability Manager V Kapitel 2. Installation und Implementierung von QRadar Vulnerability Manager Aktivierungsschlüssel für Schwachstellenprozessor- und -scanner-appliance Schwachstellendaten sichern und wiederherstellen Optionen zum Verschieben des Schwachstellenprozessors in Ihrer QRadar Vulnerability Manager-Implementierung 5 Dedizierte QRadar Vulnerability Manager-Prozessor-Appliance implementieren Schwachstellenprozessor auf einen verwalteten Host oder eine Konsole verschieben Prüfen, ob ein Schwachstellenprozessor implementiert ist Schwachstellenprozessor von Ihrer Konsole oder einem verwalteten Host entfernen Optionen zum Hinzufügen von Scannern in Ihrer QRadar Vulnerability Manager-Implementierung Dedizierte QRadar Vulnerability Manager-Scanner-Appliance implementieren Schwachstellenscanner auf einer QRadar-Konsole oder einem verwalteten Host implementieren Assets in Ihrer DMZ scannen Prüfen, ob ein Schwachstellenprozessor Ihrer Implementierung hinzugefügt wurde Unterstützte Web-Browser Kapitel 3. IBM Security QRadar Vulnerability Manager Schwachstellenscans Dashboard für die Verwaltung von Schwachstellen Schwachstellendaten auf dem Standarddashboard für die Schwachstellenverwaltung anzeigen Angepasstes Dashboard für die Schwachstellenverwaltung erstellen Kapitel 4. Integration von Sicherheitssoftware Integration von IBM Security QRadar Risk Manager und IBM Security QRadar Vulnerability Manager Integration mit IBM Endpoint Manager SSL für die IBM Endpoint Manager-Integration konfigurieren IBM Security QRadar Vulnerability Manager mit IBM Endpoint Manager integrieren Integration von IBM Security SiteProtector Verbindung mit IBM Security SiteProtector herstellen Kapitel 5. Schwachstellenscans Scanprofil erstellen Scanprofil manuell ausführen Asset per Rechtsklick erneut scannen Scanprofil-Details Scanzeitplan Domänen monatlich scannen Scans für neue, noch nicht gescannte Assets planen Ihre geplanten Scans im Kalenderformat überprüfen Ziele und Ausschlüsse von Netzscans Bestimmte Assets aus allen Scans ausschließen Scanausschlüsse verwalten Scanprotokolle und Ports Vollständigen Portbereich scannen Assets mit offenen Ports scannen Authentifizierte Patch-Scans Zentrale Berechtigungsnachweisgruppen Public-Key-Authentifizierung für Linux-Betriebssystem konfigurieren Authentifizierten Scan für das Betriebssystem Linux bzw. UNIX konfigurieren Authentifizierten Scan des Windows-Betriebssystems konfigurieren Intervall konfigurieren, in dem Scans erlaubt sind Copyright IBM Corp. 2012, 2014 iii

4 Während erlaubter Zeiten scannen Operative Fenster verwalten Operatives Fenster von einem Scanprofil trennen Dynamische Schwachstellenscans CIDR-Bereichen Schwachstellenscanner zuweisen CIDR-Bereiche mit verschiedenen Schwachstellenscannern scannen Scanrichtlinien Vorkonfigurierte Scanrichtlinie ändern Scanrichtlinie zum Verwalten Ihrer Schwachstellenscans konfigurieren Kapitel 6. Untersuchung von Schwachstellenscans Scanergebnisse durchsuchen Spaltenüberschriften in Assetsuchläufe miteinbeziehen Scanergebnisse verwalten Risikostufen und Schwachstellenkategorien für Assets Daten zu Assets, Schwachstellen und offenen Services Download-Status eines Asset-Patch anzeigen Risikostufe und PCI-Wertigkeit einer Schwachstelle beim Starten und Stoppen von Schwachstellensuchen an Asseteigner senden Kapitel 7. Verwaltung von Schwachstellen Risikobewertung von Schwachstellen untersuchen Details zur Risikobewertung Schwachstellendaten durchsuchen Suchparameter für Schwachstellendaten Schwachstellensuchkriterien speichern Gespeicherte Schwachstellensuchkriterien löschen Schwachstelleninstanzen Schwachstellendaten zum Netz Schwachstellendaten zu Assets Schwachstellendaten zu offenen Services Protokoll einer Schwachstelle untersuchen Anzahl der falsch-positiven Schwachstellen reduzieren Assets und Schwachstellen mit hohem Risiko untersuchen Schwachstellen mit hohem Risiko durch Risikorichtlinien priorisieren Angepasste Anzeigefarben für Risikobewertung konfigurieren Schwachstellen mit einem IBM Endpoint Manager-Patch ermitteln Patchstatus Ihrer Schwachstellen ermitteln Kapitel 8. Ausnahmeregeln für Schwachstellen Ausnahmeregel für Schwachstellen anwenden Ausnahmeregel für Schwachstellen verwalten Schwachstellendaten nach Ausnahmen durchsuchen Kapitel 9. Korrektur von Schwachstellen Technischen Benutzern einzelne Schwachstellen zur Korrektur zuweisen Technischen Benutzer als Eigner von Assetgruppen zuweisen Korrekturzeiten für die Schwachstellen in zugewiesenen Assets konfigurieren Kapitel 10. Schwachstellenberichte QRadar Vulnerability Manager-Standardbericht ausführen Berichte über zugewiesene Schwachstellen per an technische Benutzer senden PCI-Konformitätsberichte generieren Ihre Assetpläne zur Einhaltung und Softwaredeklarationen aktualisieren PCI-Konformitätsbericht erstellen Spaltenüberschriften in Assetsuchläufe miteinbeziehen iv QRadar Vulnerability Manager

5 Kapitel 11. Untersuchungen, Nachrichtenartikel und Sicherheitshinweise zu Schwachstellen Ausführliche Informationen zu veröffentlichten Schwachstellen anzeigen Sich über globale Entwicklungen im Bereich Sicherheit informieren Sicherheitshinweise von Softwareanbietern anzeigen Schwachstellen, Nachrichtenartikel und Sicherheitshinweise durchsuchen Bemerkungen Marken Hinweise zur Datenschutzrichtlinie Glossar A C D F H I K N O P R S T U V Index Inhaltsverzeichnis v

6 vi QRadar Vulnerability Manager

7 Einführung in IBM Security QRadar Vulnerability Manager Die Informationen in diesem Handbuch betreffen IBM Security QRadar Vulnerability Manager. QRadar Vulnerability Manager ist eine Scan-Plattform, mit der Sie Schwachstellen Ihrer Netzassets erkennen, verwalten und priorisieren. Dieses Handbuch enthält Anweisungen für die Konfiguration und Verwendung von QRadar Vulnerability Manager auf einer IBM Security QRadar SIEM- oder IBM Security QRadar Log Manager-Konsole. Zielgruppe Systemadministratoren, die IBM Security QRadar Vulnerability Manager konfigurieren müssen, benötigen Verwaltungszugriff auf IBM Security QRadar SIEM wie auch auf die Netzeinheiten und Firewalls in Ihrem Unternehmen. Zudem benötigen sie fundierte Kenntnisse über das Unternehmensnetz und Netztechnologien. Technische Dokumentation Informationen zum Zugriff auf weitere technische Dokumentation, technische Hinweise und Releaseinformationen finden Sie im Artikel Accessing IBM Security Documentation Technical Note ( &uid=swg ) (Technischer Hinweis zum Zugriff auf die Dokumentation zu IBM Security). Kontakt zur Kundenunterstützung Informationen zur Inanspruchnahme der Kundenunterstützung finden Sie im Artikel Support and Download Technical Note ( docview.wss?rs=0&uid=swg ) (Technischer Hinweis zur Kundenunterstützung und zu Downloads). Hinweis zu sinnvollen Sicherheitsmaßnahmen Zur Sicherheit von IT-Systemen gehört der Schutz von Systemen und Informationen in Form von Vorbeugung, Erkennung und Reaktion auf unbefugten Zugriff innerhalb des Unternehmens und von außen. Unbefugter Zugriff kann dazu führen, dass Informationen geändert, gelöscht, veruntreut oder missbräuchlich verwendet werden. Ebenso können Ihre Systeme beschädigt oder missbräuchlich verwendet werden, einschließlich zum Zweck von Attacken. Kein IT-System oder -Produkt ist absolut sicher und kein Produkt, kein Service und keine Sicherheitsmaßnahme bietet einen vollständigen Schutz vor nicht berechtigter Verwendung oder nicht berechtigtem Zugriff. IBM Systeme, Produkte und Services werden als Teil eines umfassenden Sicherheitskonzepts entwickelt, sodass die Einbeziehung zusätzlicher Betriebsprozesse erforderlich ist. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder Services vor zerstörerischen oder unzulässigen Handlungen Dritter geschützt sind oder dass Systeme, Produkte oder Services Ihr Unternehmen vor zerstörerischen oder unzulässigen Handlungen Dritter schützen. Copyright IBM Corp. 2012, 2014 vii

8 viii QRadar Vulnerability Manager

9 Kapitel 1. Neuerungen für Benutzer in QRadar Vulnerability Manager V7.2.3 IBM Security QRadar Vulnerability Manager V7.2.3 führt Erweiterungen für die Berichterstellung, Optionen von Sicherheitsrollen, die gemeinsame Nutzung von Dashboard und weiteren Funktionen ein. beim Starten und Stoppen einer Überprüfung an Asseteigner senden Sie können QRadar Vulnerability Manager so konfigurieren, dass beim Starten und Beenden einer Überprüfung automatisch eine an Asseteigner gesendet wird. Weitere Informationen... Angepasste Farben auf Basis der Risikobewertung Sie können unterschiedliche Hintergrundfarben auf Basis des Risikos einer Schwachstelle konfigurieren. Die Farben werden in den Assetdetails, in der Verwaltung von Schwachstellen und in Schwachstellenberichten angezeigt. formationen... Weitere In- Copyright IBM Corp. 2012,

10 2 QRadar Vulnerability Manager

11 Kapitel 2. Installation und Implementierung von QRadar Vulnerability Manager IBM Security QRadar Vulnerability Manager öffnen Sie über die Registerkarte Schwachstellen. Auf die Registerkarte "Schwachstellen" zugreifen Die Registerkarte Schwachstellen wird nicht in jedem Fall angezeigt. Dies ist abhängig vom installierten Produkt und davon, ob QRadar aktualisiert oder ein neues System installiert wurde. v v v Nach der Installation von QRadar SIEM ist die Registerkarte Schwachstellen standardmäßig aktiviert, allerdings nur mit einem temporären Lizenzschlüssel. Nach der Installation von QRadar Log Manager ist die Registerkarte Schwachstellen nicht aktiviert. Nach einer Aktualisierung von QRadar ist die Registerkarte Schwachstellen je nach Art der Aktualisierung nur unter Umständen aktiviert. Wenn Sie QRadar Vulnerability Manager nach einer Installation oder Aktualisierung verwenden möchten, müssen Sie einen gültigen Lizenzschlüssel hochladen und zuweisen. Weitere Informationen finden Sie im Verwaltungshandbuch Ihres Produkts. Weitere Informationen zur Aktualisierung finden Sie im IBM Security QRadar-Aktualisierungshandbuch. Schwachstellenverarbeitung und Scanimplementierung Wenn Sie QRadar Vulnerability Manager installieren und lizenzieren, wird auf Ihrer QRadar-Konsole automatisch ein Schwachstellenprozessor implementiert. Geben Sie hingegen auf der QRadar-Konsole einen Softwareaktivierungsschlüssel ein, wird der Prozessor nicht automatisch implementiert. Der Schwachstellenprozessor enthält standardmäßig eine Scankomponente. Bei Bedarf können Sie auch mehrere Scanner implementieren, entweder auf dedizierten, von QRadar Vulnerability Manager verwalteten Hostscanner-Appliances oder auf von QRadar verwalteten Hosts. Beispielsweise können Sie einen Schwachstellenprozessor in einem Event Collector oder QRadar QFlow Collector implementieren. Nicht implementiert werden kann ein Schwachstellenprozessor auf einem verwalteten HA-Host. Gegebenenfalls können Sie den Schwachstellenprozessor auch auf einen anderen verwalteten Host Ihrer Implementierung verschieben, um beispielsweise auf Ihrer QRadar-Konsole Plattenspeicher freizuhalten. Einschränkung: In Ihrer Implementierung darf nur ein Schwachstellenprozessor eingerichtet sein und dieser darf nur auf eine spezielle, von QRadar Vulnerability Manager verwaltete Hostprozessor-Appliance verschoben werden. Wenn Sie den Schwachstellenprozessor zwischen der Konsole und einem verwalteten Host verschieben, führt das System automatisch Prüfungen im Implementierungseditor durch. Copyright IBM Corp. 2012,

12 Wichtig: Nach einer Änderung der Schwachstellenprozessorimplementierung müssen Sie warten, bis Ihre Implementierung vollständig konfiguriert ist. Während der Konfiguration wird auf der Seite Scan Profiles (Scanprofile) folgende Nachricht angezeigt: QVM is in the process of being deployed (QVM wird gerade implementiert). Zur Konfiguration des Schwachstellenprozessors und der Scankomponenten müssen Sie den Implementierungseditor von QRadar verwenden. Dieser wird über die Registerkarte Verwaltung geöffnet. Stellen Sie sicher, dass folgende Anwendungen auf allen Desktopsystemen installiert sind, über die Sie auf die Benutzeroberfläche von QRadar zugreifen: v Java Runtime Environment (JRE) Version 1.7 oder IBM Laufzeitumgebung (64 Bit) für Java V7.0 v Adobe Flash Version 10.x Weitere Informationen zum Implementierungseditor finden Sie im Verwaltungshandbuch Ihres Produkts. Zugehörige Konzepte: Optionen zum Hinzufügen von Scannern in Ihrer QRadar Vulnerability Manager-Implementierung auf Seite 8 Wenn Sie ein großes Netz haben und flexible Scanoptionen benötigen, können Sie Ihrer IBM Security QRadar Vulnerability Manager-Implementierung auch mehrere Scanner hinzufügen. Optionen zum Verschieben des Schwachstellenprozessors in Ihrer QRadar Vulnerability Manager-Implementierung auf Seite 5 Gegebenenfalls können Sie den Schwachstellenprozessor von Ihrer QRadar-Konsole auf eine eigens hierfür dedizierte, von QRadar Vulnerability Manager verwaltete Host-Appliance verschieben. Aktivierungsschlüssel für Schwachstellenprozessor- und -scanner-appliance Zur Ermittlung und Verarbeitung von Schwachstellen verwenden Sie spezielle von QRadar Vulnerability Manager verwaltete Host-Appliances. Bei der Installation einer solchen verwalteten Prozessor- oder Scanner-Host-Appliance müssen Sie einen gültigen Aktivierungsschlüssel eingeben. Weitere Informationen zur Installation einer verwalteten Host-Appliance finden Sie im Installationshandbuch Ihres Produkts. Der Aktivierungsschlüssel ist eine 24-stellige, aus vier Teilen bestehende, alphanumerische Zeichenfolge, die Sie von IBM erhalten. Er gibt an, welche Softwaremodule für die beiden Appliance-Typen verwendet werden können: v v Die Prozessor-Appliance von QRadar Vulnerability Manager beinhaltet Komponenten für die Ermittlung und Verarbeitung von Schwachstellen. Die Scanner-Appliance von QRadar Vulnerability Manager beinhaltet nur eine Komponente für die Ermittlung von Schwachstellen. Den Aktivierungsschlüssel finden Sie wie folgt: v Wenn Sie einen Software- oder Virtuellen-Appliance-Download für QRadar Vulnerability Manager erworben haben, erhalten Sie angehängt an eine Bestäti- 4 QRadar Vulnerability Manager

13 v gungs- ein Dokument namens Getting Started (Erste Schritte), das eine Liste mit Aktivierungsschlüsseln enthält. Verwenden Sie aus diesem Dokument die Teilenummer der Appliance, die Ihnen zur Verfügung steht. Wenn Sie eine mit der QRadar Vulnerability Manager-Software vorinstallierte Appliance erworben haben, befindet sich der Aktivierungsschlüssel im Versandkarton oder auf der CD. Schwachstellendaten sichern und wiederherstellen Ihre Schwachstellendaten einschließlich der Schwachstellenkonfigurationen können Sie sichern und wiederherstellen. Sie können zum Beispiel Scanprofile sichern. Die Sicherung und Wiederherstellung in QRadar Vulnerability Manager wird auf der Registerkarte Verwaltung verwaltet. Weitere Informationen zur Sicherung und Wiederherstellung von Schwachstellendaten finden Sie im Verwaltungshandbuch Ihres Produkts. Optionen zum Verschieben des Schwachstellenprozessors in Ihrer QRadar Vulnerability Manager-Implementierung Gegebenenfalls können Sie den Schwachstellenprozessor von Ihrer QRadar-Konsole auf eine eigens hierfür dedizierte, von QRadar Vulnerability Manager verwaltete Host-Appliance verschieben. Dies ist zum Beispiel sinnvoll, wenn Ihnen die durch den Prozessor bedingten Speicheranforderungen auf der QRadar-Konsole zu hoch werden. Einschränkung: Pro Implementierung darf allerdings nur ein Schwachstellenprozessor eingerichtet sein. Zudem muss der Prozessor entweder auf einer QRadar- Konsole oder auf einer von QRadar Vulnerability Manager verwalteten Hostprozessor-Appliance implementiert sein. Wählen Sie zum Verschieben des Schwachstellenprozessors eine der folgenden Optionen: Option 1: Dedizierte QRadar Vulnerability Manager-Prozessor- Appliance implementieren Zur Implementierung einer Prozessor-Appliance führen Sie die folgenden Tasks aus: 1. Installieren Sie eine dedizierte, von QRadar Vulnerability Manager verwaltete Hostprozessor-Appliance. Weitere Informationen hierzu finden Sie im Installationshandbuch Ihres Produkts. 2. Fügen Sie die verwaltete Hostprozessor-Appliance mit dem Implementierungseditor zu Ihrer Implementierung hinzu. Wenn Sie die Option mit dem verwalteten Host im Implementierungseditor auswählen, wird der Prozessor automatisch von der QRadar-Konsole entfernt. Kapitel 2. Installation und Implementierung von QRadar Vulnerability Manager 5

14 Option 2: Schwachstellenprozessor von Ihrer Konsole auf Ihren verwalteten Host verschieben Wenn der Schwachstellenprozessor auf der QRadar-Konsole installiert wurde, können Sie ihn jederzeit auf eine bereits installierte, von QRadar Vulnerability Manager verwaltete Hostprozessor-Appliance verschieben. Auch die Verschiebung des Prozessors zurück auf die QRadar-Konsole ist jederzeit möglich. Dedizierte QRadar Vulnerability Manager-Prozessor-Appliance implementieren Sie können eine dedizierte, von QRadar Vulnerability Manager verwaltete Hostprozessor-Appliance implementieren. Wenn Sie Ihren Schwachstellenprozessor auf einem verwalteten Host implementieren, werden alle Schwachstellen von diesem verwalteten Host verarbeitet. Einschränkung: Nach der Implementierung der Verarbeitung auf einem dedizierten, von QRadar Vulnerability Manager verwalteten Host werden die von einem Prozessor auf der QRadar-Konsole erfassten Scans und Scanergebnisse nicht mehr angezeigt. Allerdings können Sie die Schwachstellendaten nach wie vor auf den Seiten Schwachstellen verwalten durchsuchen und anzeigen. Vorbereitende Schritte Stellen Sie sicher, dass ein dedizierter, von QRadar Vulnerability Manager verwalteter Host installiert ist und ein gültiger Aktivierungsschlüssel für eine Prozessor- Appliance angewendet wurde. Weitere Informationen hierzu finden Sie im Installationshandbuch Ihres Produkts. 1. Klicken Sie auf die Registerkarte Verwaltung. 2. Klicken Sie in der Symbolleiste auf Deployment Editor (Implementierungseditor). 3. Wählen Sie im Menü Aktionen > Add a Managed Host (Verwalteten Host hinzufügen) aus. Stellen Sie sicher, dass Sie im Assistenten zum Hinzufügen eines verwalteten Hosts die IP-Adresse der von QRadar Vulnerability Manager verwalteten Hostprozessor-Appliance angeben. Vermutlich müssen Sie einige Minuten warten, bis der verwaltete Host hinzugefügt ist. 4. Wählen Sie im Fenster Validation Error (Gültigkeitsfehler) den von QRadar Vulnerability Manager verwalteten Hostprozessor aus und klicken Sie auf OK. 5. Klicken Sie auf Ja. 6. Wählen Sie im Menü des Implementierungseditors Datei > Save and close (Speichern und schließen) aus. 7. Klicken Sie in der Symbolleiste der Registerkarte Verwaltung auf Erweitert > Gesamte Konfiguration implementieren. 8. Klicken Sie auf OK. Zugehörige Konzepte: 6 QRadar Vulnerability Manager

15 Aktivierungsschlüssel für Schwachstellenprozessor- und -scanner-appliance auf Seite 4 Zur Ermittlung und Verarbeitung von Schwachstellen verwenden Sie spezielle von QRadar Vulnerability Manager verwaltete Host-Appliances. Zugehörige Tasks: Prüfen, ob ein Schwachstellenprozessor implementiert ist auf Seite 8 In IBM Security QRadar Vulnerability Manager können Sie prüfen, ob Ihr Schwachstellenprozessor auf einer QRadar-Konsole oder auf einem von QRadar Vulnerability Manager verwalteten Host implementiert ist. Schwachstellenprozessor auf einen verwalteten Host oder eine Konsole verschieben Gegebenenfalls können Sie Ihren Schwachstellenprozessor von einer von QRadar Vulnerability Manager verwalteten Host-Appliance auf Ihre QRadar-Konsole verschieben. Vorbereitende Schritte Stellen Sie sicher, dass ein dedizierter, von QRadar Vulnerability Manager verwalteter Host installiert ist und ein gültiger Aktivierungsschlüssel für eine Prozessor- Appliance angewendet wurde. 1. Klicken Sie auf die Registerkarte Verwaltung. 2. Klicken Sie in der Symbolleiste auf Deployment Editor (Implementierungseditor). 3. Klicken Sie auf die Registerkarte Vulnerability View (Schwachstellenansicht). 4. Klicken Sie im Bereich Vulnerability Components (Schwachstellenkomponenten) auf QVM Processor (QVM-Prozessor). 5. Geben Sie für den neuen QVM-Prozessor einen Namen ein, den Sie sich leicht merken können, folgen Sie dann den Anweisungen der Benutzerschnittstelle und klicken Sie auf Weiter. 6. Wählen Sie im Fenster Adding a new component (Neue Komponente hinzufügen) den Host für die Konsole oder die verwaltete Host-Appliance aus. Wenn sich Ihr Prozessor auf dem verwalteten Host befindet, können Sie nur die QRadar-Konsole auswählen. 7. Klicken Sie auf Fertigstellen und dann auf Ja. 8. Wählen Sie im Menü des Implementierungseditors Datei > Save and close (Speichern und schließen) aus. 9. Wählen Sie im Fenster Validation Error (Gültigkeitsfehler) den Prozessor auf der Konsole oder auf dem verwalteten Host aus. Wenn Sie den Prozessor auf der Konsole auswählen, wird der Schwachstellenprozessor auf dem verwalteten Host während der Implementierung automatisch entfernt. Vermutlich müssen Sie einige Minuten warten, bis die Implementierung abgeschlossen ist. 10. Klicken Sie in der Symbolleiste der Registerkarte Verwaltung auf Erweitert > Gesamte Konfiguration implementieren. 11. Klicken Sie auf OK. Zugehörige Konzepte: Kapitel 2. Installation und Implementierung von QRadar Vulnerability Manager 7

16 Aktivierungsschlüssel für Schwachstellenprozessor- und -scanner-appliance auf Seite 4 Zur Ermittlung und Verarbeitung von Schwachstellen verwenden Sie spezielle von QRadar Vulnerability Manager verwaltete Host-Appliances. Prüfen, ob ein Schwachstellenprozessor implementiert ist In IBM Security QRadar Vulnerability Manager können Sie prüfen, ob Ihr Schwachstellenprozessor auf einer QRadar-Konsole oder auf einem von QRadar Vulnerability Manager verwalteten Host implementiert ist. 1. Melden Sie sich bei der QRadar-Konsole an. 2. Klicken Sie auf der Registerkarte Verwaltung auf Deployment Editor (Implementierungseditor). 3. Klicken Sie auf die Registerkarte Vulnerability View (Schwachstellenansicht). 4. Vergewissern Sie sich, dass der QVM-Prozessor im Bereich Vulnerability View (Schwachstellenansicht) angezeigt wird. Schwachstellenprozessor von Ihrer Konsole oder einem verwalteten Host entfernen Gegebenenfalls können Sie den Schwachstellenprozessor von Ihrer QRadar-Konsole oder einem von QRadar Vulnerability Manager verwalteten Host entfernen. 1. Melden Sie sich bei der QRadar-Konsole an. 2. Klicken Sie auf der Registerkarte Verwaltung auf Deployment Editor (Implementierungseditor). 3. Klicken Sie auf die Registerkarte Vulnerability View (Schwachstellenansicht). 4. Wählen Sie in der Schwachstellenansicht den QVM-Prozessor. 5. Klicken Sie im Fenster Warnung auf Ja. 6. Wählen Sie im Menü des Implementierungseditors Bearbeiten > Löschen aus. 7. Wählen Sie im Menü des Implementierungseditors Datei > Save and close (Speichern und schließen) aus. 8. Klicken Sie in der Symbolleiste der Registerkarte Verwaltung auf Erweitert > Gesamte Konfiguration implementieren. 9. Klicken Sie auf OK. Optionen zum Hinzufügen von Scannern in Ihrer QRadar Vulnerability Manager-Implementierung Wenn Sie ein großes Netz haben und flexible Scanoptionen benötigen, können Sie Ihrer IBM Security QRadar Vulnerability Manager-Implementierung auch mehrere Scanner hinzufügen. Ihr QRadar Vulnerability Manager-Prozessor wird automatisch mit einer Scankomponente implementiert. Durch Implementierung mehrerer Scanner erhöhen Sie die Flexibilität Ihrer Scanoperationen. Damit können Sie zum Beispiel bestimmte Bereiche Ihres Netzes mit unterschiedlichen Scannern und zu verschiedenen Zeiten scannen. 8 QRadar Vulnerability Manager

17 Dynamische Schwachstellenscans Die von Ihnen implementierten Schwachstellenscanner können möglicherweise nicht auf alle Bereiche Ihres Netzes zugreifen. In QRadar Vulnerability Manager können Sie den CIDR-Netzbereichen verschiedene Scanner zuweisen. Während eines Scans wird jedes Asset im CIDR-Bereich, das Sie scannen möchten, dynamisch dem richtigen Scanner zugeordnet. Wählen Sie zum Hinzufügen weiterer Schwachstellenscanner eine der folgenden Optionen: Implementieren Sie eine dedizierte, von QRadar Vulnerability Manager verwaltete Hostscanner-Appliance Ihre Schwachstellenscans können Sie mit einer dedizierten, von QRadar Vulnerability Manager verwalteten Hostscanner-Appliance ausführen. Zur Implementierung einer Scanner-Appliance führen Sie die folgenden Tasks aus: 1. Installieren Sie eine dedizierte, von QRadar Vulnerability Manager verwaltete Hostscanner-Appliance. 2. Fügen Sie die verwaltete Hostscanner-Appliance mit dem Implementierungseditor zu Ihrer Implementierung hinzu. Implementieren Sie einen QRadar Vulnerability Manager-Scanner auf Ihrer QRadar-Konsole oder auf einem verwalteten Host Wenn Sie Ihren Schwachstellenprozessor von der QRadar-Konsole auf einen dedizierten, von QRadar Vulnerability Manager verwalteten Host verschoben haben, können Sie der Konsole auch einen Scanner hinzufügen. Außerdem können Sie Schwachstellenprozessoren jedem bereits vorhandenen, von QRadar verwalteten Host Ihrer Implementierung hinzufügen. Sie können einen Scanner zum Beispiel einem Ereigniskollektor, einem Flusskollektor oder einem Ereignisprozessor hinzufügen. Einschränkung: Einem verwalteten HA-Host kann kein Schwachstellenscanner hinzugefügt werden. Konfigurieren Sie den Zugriff auf einen von IBM bereitgestellten Scanner (zum Scannen Ihrer DMZ) Sie können Zugriff auf einen von IBM bereitgestellten Scanner konfigurieren, mit dem Sie die Assets Ihrer DMZ scannen. Zugehörige Konzepte: Dynamische Schwachstellenscans auf Seite 43 In IBM Security QRadar Vulnerability Manager können Sie einen Scan so konfigurieren, dass er für bestimmte CIDR-Bereiche in Ihrem Netz bestimmte Schwachstellenscanner verwendet. Diese Scanner können Sie dann zum Beispiel so einrichten, dass sie nur auf bestimmte Netzbereiche zugreifen können. Zugehörige Tasks: CIDR-Bereichen Schwachstellenscanner zuweisen auf Seite 43 Wenn Sie in IBM Security QRadar Vulnerability Manager dynamische Scanvorgänge ausführen möchten, müssen Sie den verschiedenen Segmenten Ihres Netzes Schwachstellenscanner zuordnen. CIDR-Bereiche mit verschiedenen Schwachstellenscannern scannen auf Seite 44 In IBM Security QRadar Vulnerability Manager können Sie bestimmte Bereiche Ihres Netzes mit verschiedenen Schwachstellenscannern scannen. Kapitel 2. Installation und Implementierung von QRadar Vulnerability Manager 9

18 Dedizierte QRadar Vulnerability Manager-Scanner-Appliance implementieren Sie können eine dedizierte, von QRadar Vulnerability Manager verwaltete Hostscanner-Appliance implementieren. Vorbereitende Schritte Stellen Sie sicher, dass eine dedizierte, von QRadar Vulnerability Manager verwaltete Hostscanner-Appliance installiert ist und ein gültiger Appliance-Aktivierungsschlüssel angewendet wurde. 1. Klicken Sie auf die Registerkarte Verwaltung. 2. Klicken Sie in der Symbolleiste auf Deployment Editor (Implementierungseditor). 3. Wählen Sie im Menü Aktionen > Add a managed host (Verwalteten Host hinzufügen) aus. Stellen Sie sicher, dass Sie im Assistenten zum Hinzufügen eines verwalteten Hosts die IP-Adresse der von QRadar Vulnerability Manager verwalteten Hostscanner-Appliance angeben. Vermutlich müssen Sie einige Minuten warten, bis die Implementierung abgeschlossen ist. 4. Klicken Sie im Dialogfeld Adding Managed Host (Verwalteten Host hinzufügen) auf OK. 5. Wählen Sie im Menü des Implementierungseditors Datei > Save and close (Speichern und schließen) aus. 6. Klicken Sie in der Symbolleiste der Registerkarte Verwaltung auf Erweitert > Gesamte Konfiguration implementieren. 7. Klicken Sie auf OK. Zugehörige Konzepte: Aktivierungsschlüssel für Schwachstellenprozessor- und -scanner-appliance auf Seite 4 Zur Ermittlung und Verarbeitung von Schwachstellen verwenden Sie spezielle von QRadar Vulnerability Manager verwaltete Host-Appliances. Zugehörige Tasks: Prüfen, ob ein Schwachstellenprozessor Ihrer Implementierung hinzugefügt wurde auf Seite 13 In QRadar Vulnerability Manager können Sie prüfen, ob Ihrer Implementierung ein Schwachstellenscanner hinzugefügt wurde. Schwachstellenscanner auf einer QRadar-Konsole oder einem verwalteten Host implementieren Sie können einen QRadar Vulnerability Manager-Scanner auf einer QRadar-Konsole oder auf einem verwalteten Host implementieren. Zum Beispiel können Sie einen Scanner auf einem Flusskollektor, Flussprozessor, Ereigniskollektor oder Ereignisprozessor implementieren. 10 QRadar Vulnerability Manager

19 Vorbereitende Schritte Bevor Sie einen Scanner auf Ihrer QRadar-Konsole implementieren, müssen Sie den Schwachstellenprozessor auf eine dedizierte, von QRadar Vulnerability Manager verwaltete Host-Appliance verschieben. Zur Implementierung von Scannern auf von QRadar verwalteten Hosts müssen Sie hingegen sicherstellen, dass in Ihrer Implementierung entsprechende verwaltete Hosts zur Verfügung stehen. Weitere Informationen hierzu finden Sie im Installationshandbuch Ihres Produkts. 1. Klicken Sie auf der Registerkarte Verwaltung auf Deployment Editor (Implementierungseditor). 2. Klicken Sie auf die Registerkarte Vulnerability View (Schwachstellenansicht). 3. Klicken Sie im Bereich Vulnerability Components (Schwachstellenkomponenten) auf QVM Scanner (QVM-Scanner). 4. Geben Sie für den neuen QVM-Scanner einen eindeutigen Namen ein. Einschränkung: Der Name kann bis zu 20 Zeichen lang sein und Unterstriche und Bindestriche enthalten. 5. Klicken Sie auf Weiter. 6. Wählen Sie im Listenfeld Select a host (Host auswählen) die IP-Adresse der Konsole bzw. des von QRadar verwalteten Hosts aus. Einschränkung: Solange sich der Schwachstellenprozessor auf der QRadar- Konsole befindet, können Sie der Konsole keinen Scanner hinzufügen. Sie müssen den Schwachstellenprozessor zuvor auf einen von QRadar Vulnerability Manager verwalteten Host verschieben. 7. Klicken Sie auf Weiter. 8. Klicken Sie auf Fertigstellen. 9. Wählen Sie im Menü des Implementierungseditors Datei > Save and close (Speichern und schließen) aus. 10. Klicken Sie in der Symbolleiste der Registerkarte Verwaltung auf Erweitert > Gesamte Konfiguration implementieren. 11. Klicken Sie auf OK. Zugehörige Tasks: Schwachstellenprozessor auf einen verwalteten Host oder eine Konsole verschieben auf Seite 7 Gegebenenfalls können Sie Ihren Schwachstellenprozessor von einer von QRadar Vulnerability Manager verwalteten Host-Appliance auf Ihre QRadar-Konsole verschieben. Prüfen, ob ein Schwachstellenprozessor Ihrer Implementierung hinzugefügt wurde auf Seite 13 In QRadar Vulnerability Manager können Sie prüfen, ob Ihrer Implementierung ein Schwachstellenscanner hinzugefügt wurde. Assets in Ihrer DMZ scannen In IBM Security QRadar Vulnerability Manager können Sie eine Verbindung zu einem externen Scanner herstellen und die Assets Ihrer DMZ nach Schwachstellen scannen. Kapitel 2. Installation und Implementierung von QRadar Vulnerability Manager 11

20 Zum Scannen der Assets in Ihrer DMZ müssen Sie in der DMZ keinen Scanner implementieren. Stattdessen konfigurieren Sie QRadar Vulnerability Manager mit einem von IBM gehosteten Scanner, der sich außerhalb Ihres Netzes befindet. Die erkannten Schwachstellen werden entweder von dem Prozessor auf Ihrer QRadar-Konsole oder von dem Prozessor auf einem von QRadar Vulnerability Manager verwalteten Host verarbeitet. 1. Konfigurieren Sie Ihr Netz und Ihre Assets für externe Scans. 2. Konfigurieren Sie QRadar Vulnerability Manager so, dass es ihre externen Assets scannt. Netz und Assets für externe Scans konfigurieren Wenn Sie die Assets in Ihrer DMZ scannen möchten, müssen Sie Ihr Netz entsprechend konfigurieren und IBM mitteilen, welche Assets gescannt werden sollen. 1. Konfigurieren Sie abgehenden Internetverkehr auf Port Senden Sie die folgenden Informationen an QRadar-QVM-Hosted- v Die externe IP-Adresse Ihres Unternehmens Einschraenkung: Die IP-Adresse muss vor der Ausführung externer Scans konfiguriert werden. v Den IP-Adressbereich der Assets in Ihrer DMZ QRadar Vulnerability Manager für das Scannen externer Assets konfigurieren Wenn Sie die Assets in Ihrer DMZ scannen möchten, müssen Sie QRadar Vulnerability Manager mit dem Implementierungseditor konfigurieren. 1. Klicken Sie auf der Registerkarte Verwaltung auf Deployment Editor (Implementierungseditor). 2. Klicken Sie auf die Registerkarte Vulnerability View (Schwachstellenansicht). 3. Klicken Sie im Bereich Vulnerability Components (Schwachstellenkomponenten) auf External Scanner (Externer Scanner). 4. Geben Sie für den neuen externen Scanner einen eindeutigen Namen ein. 5. Klicken Sie auf Weiter. 6. Geben Sie Ihre externe IP-Adresse ein und klicken Sie auf Weiter. Einschränkung: Ohne Konfiguration Ihrer externen IP-Adresse können keine externen Assets gescannt werden. Vergessen Sie auch nicht, die entsprechenden Details Ihrer externen IP-Adresse via an IBM zu senden. 7. Optional: Wenn Ihr Netz einen Proxy-Server verwendet, geben Sie die Details dieses Servers ein und klicken Sie auf Weiter. 8. Klicken Sie auf Fertigstellen. 9. Wählen Sie im Menü des Implementierungseditors Datei > Save and close (Speichern und schließen) aus. 10. Klicken Sie in der Symbolleiste der Registerkarte Verwaltung auf Erweitert > Gesamte Konfiguration implementieren. 11. Klicken Sie auf OK. 12 QRadar Vulnerability Manager

21 Prüfen, ob ein Schwachstellenprozessor Ihrer Implementierung hinzugefügt wurde In QRadar Vulnerability Manager können Sie prüfen, ob Ihrer Implementierung ein Schwachstellenscanner hinzugefügt wurde. 1. Klicken Sie auf die Registerkarte Schwachstellen. 2. Wählen Sie im Navigationsfenster Administrative (Verwaltung) > Scan Profiles (Scanprofile) aus. 3. Klicken Sie in der Symbolleiste auf Aktionen > Erstellen. 4. Klicken Sie im Bereich Scan Profile Details (Scanprofil-Details) auf die Liste Scan Server (Scan-Server) und vergewissern Sie sich, dass Ihr Scanner angezeigt wird. Wenn der Scanner nicht aufgelistet wird, öffnen Sie den Implementierungseditor und prüfen Sie, ob Sie den Scanner hinzugefügt haben. Unterstützte Web-Browser Damit die Funktionen in IBM Security QRadar-Produkten ordnungsgemäß verwendet werden können, müssen Sie einen unterstützten Web-Browser verwenden. Wenn Sie auf das QRadar-System zugreifen, werden Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert. Der Benutzername und das Kennwort müssen im Vorfeld vom Administrator konfiguriert werden. In der folgenden Tabelle werden die unterstützten Web-Browser-Versionen aufgelistet. Tabelle 1. Unterstützte Web-Browser für QRadar-Produkte Web-Browser Mozilla Firefox Unterstützte Version 17.0 Extended Support Release 24.0 Extended Support Release 32-Bit-Version von Microsoft Internet Explorer mit aktiviertem Dokument- und Browsermodus Google Chrome Die am Freigabedatum der Produkte aus IBM Security QRadar V7.2.3 aktuelle Version Dokumentmodus und Browsermodus in Internet Explorer aktivieren Wenn Sie Microsoft Internet Explorer für den Zugriff auf IBM Security QRadar- Produkte verwenden, müssen Sie den Browser- und Dokumentmodus aktivieren. 1. Drücken Sie in Ihrem Internet Explorer-Web-Browser die Taste F12, um das Fenster Entwicklertools zu öffnen. 2. Klicken Sie auf Browsermodus und wählen Sie die Version Ihres Web-Browsers aus. 3. Klicken Sie auf Dokumentmodus. v Wählen Sie für Internet Explorer V9.0 den Eintrag Internet Explorer 9-Standards aus. Kapitel 2. Installation und Implementierung von QRadar Vulnerability Manager 13

22 v Wählen Sie für Internet Explorer V8.0 den Eintrag Internet Explorer 8-Standards aus. 14 QRadar Vulnerability Manager

23 Kapitel 3. IBM Security QRadar Vulnerability Manager Schwachstellenscans IBM Security QRadar Vulnerability Manager ist eine Plattform für Netzscans, die Schwachstellen Ihrer Anwendungen, Systeme und Einheiten in Ihrem Netz oder Ihrer DMZ erkennen. QRadar Vulnerability Manager nutzt intelligente Sicherheitsverfahren, die Ihnen bei der Verwaltung und Priorisierung der Schwachstellen in Ihrem Netz helfen. Beispielsweise können Sie Ihre Schwachstellen mit QRadar Vulnerability Manager ständig überwachen, die Ressourcenkonfiguration verbessern und Software-Patches erkennen. Ebenso können Sie Sicherheitslücken durch Korrelierung Ihrer Schwachstellendaten mit den Datenflüssen im Netz sowie den Daten von Protokollen, Firewalls und Intrusion-Prevention-Systemen (IPS) priorisieren. Die durch den integrierten QRadar Vulnerability Manager-Scanner oder durch Scanner von Drittanbietern erkannten Schwachstellen können Sie sich in Echtzeit anzeigen lassen. Dazu lassen sich in QRadar externe Scanner wie IBM Security EndPoint Manager, Guardium, AppScan, Nessus, ncircle und Rapid 7 integrieren. QRadar Vulnerability Manager bezieht sich in dieser Dokumentation immer auf IBM Security QRadar Vulnerability Manager, es sei denn, ein gegenteiliger Hinweis ist angegeben. QRadar bezieht sich auf IBM Security QRadar SIEM und IBM Security QRadar Log Manager, und SiteProtector bezieht sich auf IBM Security SiteProtector. In IBM Security QRadar Vulnerability Manager werden Schwachstellenscans durch Scanprofile gesteuert. In einem Scanprofil sind die zu scannenden Assets und der Scanzeitplan festgelegt. Schwachstellenprozessor Bei der Lizenzierung von QRadar Vulnerability Manager wird auf Ihrer QRadar- Konsole automatisch ein Schwachstellenprozessor implementiert. Der Prozessor enthält eine QRadar Vulnerability Manager-Scankomponente. Implementierungsoptionen Das Schwachstellen-Scanning kann auf verschiedene Weisen implementiert werden. Die Scanfunktion kann zum Beispiel auf einer von QRadar Vulnerability Manager verwalteten Hostscanner-Appliance oder auf einem von QRadar verwalteten Host implementiert werden. Konfigurationsoptionen Die Scans können vom Administrator wie folgt konfiguriert werden: v Ausführung der Scans nach einem Zeitplan, der den Betrieb der Netzassets möglichst nicht beeinträchtigt v Festlegen von Zeitfenstern, innerhalb derer keine Scans ausgeführt werden dürfen Copyright IBM Corp. 2012,

24 v v v Festlegen von Assets, die von den Scans ausgenommen werden sollen (diese Festlegung kann global oder für jeden Scan einzeln vorgenommen werden) Konfigurieren authentifizierter Patch-Scans für Linux, UNIX oder Windows Konfigurieren verschiedener Scanprotokolle sowie der zu scannenden Portbereiche Zugehörige Konzepte: Optionen zum Hinzufügen von Scannern in Ihrer QRadar Vulnerability Manager-Implementierung auf Seite 8 Wenn Sie ein großes Netz haben und flexible Scanoptionen benötigen, können Sie Ihrer IBM Security QRadar Vulnerability Manager-Implementierung auch mehrere Scanner hinzufügen. Optionen zum Verschieben des Schwachstellenprozessors in Ihrer QRadar Vulnerability Manager-Implementierung auf Seite 5 Gegebenenfalls können Sie den Schwachstellenprozessor von Ihrer QRadar-Konsole auf eine eigens hierfür dedizierte, von QRadar Vulnerability Manager verwaltete Host-Appliance verschieben. Dashboard für die Verwaltung von Schwachstellen Die Informationen zu Schwachstellen können Sie auf dem QRadar-Dashboard anzeigen. IBM Security QRadar Vulnerability Manager wird mit einem Standard-Dashboard für Schwachstellen bereitgestellt, in dem Sie sich schnell einen Überblick über die Sicherheitsrisiken in Ihrem Unternehmen verschaffen können. Sie können eigene Dashboards erstellen, diese verwalten und die Anzeigeeinstellungen der einzelnen Komponenten Ihrer Dashboards ändern. Weitere Informationen zu Dashboards finden Sie im Benutzerhandbuch Ihres Produkts. Schwachstellendaten auf dem Standarddashboard für die Schwachstellenverwaltung anzeigen Auf dem QRadar-Dashboard werden Standarddaten der Schwachstellenverwaltung angezeigt. Das Standarddashboard für die Schwachstellenverwaltung enthält Informationen zu Risiken, Schwachstellen und Scans. Sie können aber auch ein eigenes Dashboard mit anderen Elementen (z. B. gespeicherten Suchen) konfigurieren. 1. Klicken Sie auf die Registerkarte Dashboard. 2. Wählen Sie in der Symbolleiste in der Liste Dashboard anzeigen die Option Verwaltung von Schwachstellen aus. Angepasstes Dashboard für die Schwachstellenverwaltung erstellen In QRadar können Sie ein speziell an Ihre Anforderungen angepasstes Dashboard für die Schwachstellenverwaltung erstellen. 16 QRadar Vulnerability Manager

25 1. Klicken Sie auf die Registerkarte Dashboard. 2. Klicken Sie in der Symbolleiste auf Neues Dashboard. 3. Geben Sie einen Namen und eine Beschreibung für Ihr Schwachstellendashboard ein. 4. Klicken Sie auf OK. 5. Optional: Klicken Sie in der Symbolleiste auf Element hinzufügen > Verwaltung von Schwachstellen und wählen Sie eine der folgenden Optionen aus: v Wenn Sie in Ihrem Dashboard gespeicherte Standardsuchen anzeigen wollen, wählen Sie Vulnerability Searches (Schwachstellensuchen) aus. v Wenn Sie Website-Links zu Sicherheits- und Schwachstelleninformationen anzeigen möchten, wählen Sie Security News (Sicherheitsrelevante Nachrichten), Security Advisories (Sicherheitshinweise) oder Latest Published Vulnerabilities (Zuletzt veröffentlichte Schwachstellen) aus. v Wenn Sie Informationen zu abgeschlossenen oder noch aktiven Scans anzeigen möchten, wählen Sie Scans Completed (Abgeschlossene Scans) oder Scans In Progress (Aktive Scans) aus. Zugehörige Tasks: Schwachstellensuchkriterien speichern auf Seite 57 In IBM Security QRadar Vulnerability Manager können Sie Ihre Schwachstellensuchkriterien für die spätere Wiederverwendung speichern. Kapitel 3. IBM Security QRadar Vulnerability Manager 17

26 18 QRadar Vulnerability Manager

27 Kapitel 4. Integration von Sicherheitssoftware IBM Security QRadar Vulnerability Manager lässt sich mit anderen Sicherheitsprodukten integrieren, die Ihnen bei der Verwaltung und Priorisierung Ihrer Sicherheitsrisiken helfen. Integration von IBM Security QRadar Risk Manager und IBM Security QRadar Vulnerability Manager IBM Security QRadar Vulnerability Manager lässt sich mit QRadar Risk Manager integrieren. Dadurch lassen sich die Risiken und Schwachstellen in Ihrem Netz leichter priorisieren. QRadar Risk Manager wird als verwalteter Host installiert und mit dem Implementierungseditor zu Ihrer QRadar SIEM-Konsole hinzugefügt. Weitere Informationen zur Installation von QRadar Risk Manager finden Sie im IBM Security QRadar Risk Manager-Installationshandbuch. Priorisierung von Schwachstellen in Risikorichtlinien QRadar Vulnerability Manager wird durch die Definition und Überwachung von Risikorichtlinien für Assets oder Schwachstellen mit QRadar Risk Manager integriert. Bei Bestehen, aber auch bei Nichtbestehen der in QRadar Risk Manager definierten Risikorichtlinien wird die Risikobewertung der Schwachstellen in QRadar Vulnerability Manager angepasst. Der Anpassungsgrad richtet sich nach den in Ihrem Unternehmen eingerichteten Risikorichtlinien. Im Falle der Anpassung der Risikobewertung einer Schwachstelle in QRadar Vulnerability Manager haben Administratoren folgende Möglichkeiten: v Sie können sich sofort vom Nichtbestehen einer Risikorichtlinie benachrichtigen lassen. Diese Informationen können zum Beispiel auf dem QRadar-Dashboard angezeigt oder per zugesendet werden. v Sie können die Schwachstellen, die ihre unmittelbare Aufmerksamkeit erfordern, neu priorisieren. Zum Beispiel erkennt der Administrator anhand der Risikobewertung auf einen Blick, welche Schwachstellen mit einem erhöhten Risiko verbunden sind. Falls die Risikorichtlinien in QRadar Risk Manager auf Assetebene vergeben sind, wird die Risikobewertung aller Schwachstellen des jeweiligen Assets entsprechend angepasst. Weitere Informationen zum Erstellen und Überwachen von Risikorichtlinien finden Sie im IBM Security QRadar Risk Manager-Benutzerhandbuch. Zugehörige Tasks: Schwachstellen mit hohem Risiko durch Risikorichtlinien priorisieren auf Seite 61 In IBM Security QRadar Vulnerability Manager können Sie Administratoren durch Risikorichtlinien ganz besonders auf Schwachstellen mit höherem Risiko aufmerksam machen. Copyright IBM Corp. 2012,

28 Integration mit IBM Endpoint Manager IBM Security QRadar Vulnerability Manager lässt sich mit IBM Endpoint Manager integrieren. Dadurch lassen sich korrigierbare Schwachstellen leichter filtern und priorisieren. Integrationskomponenten Eine typische QRadar Vulnerability Manager IBM Endpoint Manager-Integration besteht aus den folgenden Komponenten: v Eine IBM Security QRadar-Konsole v Eine lizenzierte Installation von QRadar Vulnerability Manager v Eine IBM Endpoint Manager-Serverinstallation v Eine IBM Endpoint Manager-Agenteninstallation auf jedem der Scanziele in Ihrem Netz Korrektur von Schwachstellen Je nachdem, ob Sie IBM Endpoint Manager installiert und integriert haben, stellt QRadar Vulnerability Manager unterschiedliche Informationen zur Korrektur Ihrer Schwachstellen bereit. v Wenn IBM Endpoint Manager nicht installiert ist, stellt QRadar Vulnerability Manager Informationen zu allen Schwachstellen bereit, für die eine Korrektur zur Verfügung steht. QRadar Vulnerability Manager führt eine Liste mit Informationen zu Schwachstellenkorrekturen. Diese Korrekturinformationen werden mit dem Katalog der bekannten Schwachstellen korreliert. Mit der Suchfunktion von QRadar Vulnerability Manager können Sie alle Schwachstellen ermitteln, für die eine Korrektur verfügbar ist. v Wenn IBM Endpoint Manager installiert ist, stellt QRadar Vulnerability Manager ebenfalls gewisse Details zum Korrekturprozess von Schwachstellen bereit, zum Beispiel, dass ein Fix geplant ist oder die Korrektur für ein Asset installiert wurde. Der IBM Endpoint Manager-Server erfasst die Korrekturinformationen aller IBM Endpoint Manager-Agenten. Statusinformationen zu den Korrekturen werden in einem festgelegten Zeitintervall an QRadar Vulnerability Manager übertragen. Mit der Suchfunktion von QRadar Vulnerability Manager ermitteln Sie schnell, zu welchen Schwachstellen noch Korrekturen geplant sind und welche Schwachstellen bereits korrigiert sind. Zugehörige Tasks: Patchstatus Ihrer Schwachstellen ermitteln auf Seite 63 In IBM Security QRadar Vulnerability Manager können Sie den Patchstatus Ihrer Schwachstellen ermitteln. SSL für die IBM Endpoint Manager-Integration konfigurieren Wenn Sie QRadar Vulnerability Manager mit IBM Endpoint Manager integrieren möchten, müssen Sie SSL-Verschlüsselung (Secure Sockets Layer) konfigurieren. 1. Öffnen Sie zum Herunterladen des Public-Key-Zertifikats Ihren Web-Browser und geben Sie ein. 20 QRadar Vulnerability Manager