My account

Зачем нужна сетевая иерархия, и как ее использовать в IBM QRadar


187
August 03, 2017

Сетевая иерархия – это описание внутренней модели сети организации. Сетевая модель позволяет описать все внутренние сегменты сети включая серверный, ДМЗ, пользовательский сегмент, Wi-Fi и тд. Это необходимо для обогащения данными зарегистрированных инцидентов, позволяет использовать данные сетевой модели в правилах, поисках, фильтрации и отчетах, а также необходимо для более точной идентификации ресурсов.
Настройка сетевой иерархии в QRadar производится из WEB-консоли, на странице Admin – Network Hierarchy.

Можно воспользоваться уже созданными группами по умолчанию и просто наполнить их или же создать свои.

После добавления группы необходимо выполнить “Deploy Changes”.

Добавленные сети можно использовать при написании аналитики, создании поисков или фильтров.
Также информация о сетях отображается в зарегистрированных Offense, что позволяет определять источник событий.

Использование в правилах
Необходимо перейти во вкладку Offenses – Rules. Выбрать Actions – New Rule. Далее в графическом редакторе условий правила, нужно выбрать условие (например “when the local network is one of the following networks”) и перейти в выбор сетей, нажав на ссылку:

Далее необходимо выбрать сеть. Можно выбрать и ту, которую вы добавили в сетевую иерархию.

Использование сетевой иерархии позволяет более гибко писать аналитику для обнаружения аномалий и инцидентов ИБ в инфраструктуре.

Если в будущем наполнение группы будет изменено, править правила не потребуется, так как условие будет применяться автоматически к новым источникам в группе.

При использовании Search
Перейдите во вкладку Log Activity – Search – New Search.

В параметрах поиска можно использовать условия, которые описывают сети.

Также в Search можно добавить группировку или просто отображение по сетям.

В результатах поиска будут отображаться сети, описанные в сетевой иерархии.

Использование сетей в фильтрах
Перейдите во вкладку Log Activity – Add Filter.

Использование фильтрации событий по определенным сетям позволит вам эффективнее приоритизировать расследование событий.

Сетевая иерархия в Offenses
Перейдите во вкладку Offenses – All Offenses.
Откройте инцидент для получения подробной информации.
В поле “Network” будет отображена информация по всем сетям, которые затронул выбранный инцидент. Это позволит вам быстрее принимать решения относительно зарегистрированных инцидентов.

Related Posts