Vermögenswerte und Beschreibung kritischer Infrastrukturobjekte

Bei der Implementierung und Nutzung von IBM QRadar stellen die Benutzer häufig folgende Fragen: Was sind Assets? Wofür werden sie benötigt? Was können wir mit ihnen tun? Wie kann man das Ausfüllen des Asset-Modells automatisieren?
‚Assets‘ ist ein Modell, das die Infrastruktur beschreibt und dem IBM QRadar-System ermöglicht, unterschiedlich auf die Ereignisse zu reagieren, die mit den angegebenen Objekten in Verbindung stehen. Die Zunahme der Schwere und Heftigkeit sowie die Reaktion sind zumindest die ersten Schritte, um Fehlalarme im System zu minimieren und die Reaktion auf Vorfälle zu verbessern, die mit kritischen Objekten in der Infrastruktur verbunden sind.
Bevor Sie beginnen, ‚Assets‘ auszufüllen, müssen Sie den Asset Profiler konfigurieren. Gehen Sie dazu zu Admin – Asset Profiler ConfigurationIm geöffneten Menü müssen Sie Parameter angeben, die die Konfiguration beschreiben:
Asset Profile Settings
Asset Service Port Discovery
Asset Profiler Configuration
Asset Profiler Retention Configuration
QVM Vulnerability RetentionWenn Sie Ausschlussregeln bei der Identifizierung von Assets erstellen müssen, ist es notwendig, eine Suche ohne Gruppierung zu erstellen, die Ausschlusskriterien beschreibt, und die Suche zu den Ausnahmen im Tab „Manage Identity Exclusion“ hinzuzufügen. Ich empfehle dies nur nach 6-9 Monaten Nutzung von IBM QRadar oder bei gerechtfertigten Fehlern in der Asset-Identifizierung zu tun.

Assets ausfüllen
Sie können Assets manuell oder automatisch ausfüllen.

Manuelle Eingabe:
Gehen Sie zum Menü Assets – Asset Profiles – Add Asset.Im geöffneten Fenster müssen Sie die Felder ausfüllen, die Asset so genau wie möglich beschreiben.
Es ist entscheidend, alle verfügbaren Informationen über Asset einzugeben. Es wird auch empfohlen, die Registerkarten CVSS, Gewicht & Compliance und Besitzer auszufüllen.Das Ausfüllen dieser Felder ermöglicht es Ihnen, Asset zu identifizieren, während Sie Korrelationsregeln erstellen oder in generierten Offenses.

Automatische Asset-Suche
Gehen Sie zum Menü Assets – Server Discovery.
Diese Funktion basiert auf vorkonfigurierten Bausteinen. Darüber hinaus können Sie Ports angeben, nach denen gesucht werden soll, und die Suche nach Netzwerkhierarchie einschränken, um genauere Ergebnisse zu erzielen.Das Ausfüllen von Daten zu Schwachstellen erfordert einen angeschlossenen Schwachstellenscanner.
Dies ermöglicht es Ihnen, Informationen über die offenen Ports, Dienste und Schwachstellen auf Asset automatisch einzugeben.