Was ist Netzwerkhierarchie und wie nutzt man sie in IBM QRadar

Netzwerkhierarchie ist eine Beschreibung des internen Modells des Netzwerks einer Organisation. Das Netzwerkmodell ermöglicht es Ihnen, alle internen Segmente des Netzwerks zu beschreiben, einschließlich Serversegment, DMZ, Benutzersegment, WLAN usw. Diese Daten sind notwendig, um die Daten der registrierten Vorfälle anzureichern; Sie können die Netzwerkmodelldaten in Regeln, Suchen, Filtern und Berichten verwenden und sie sind auch erforderlich für die genaue Identifizierung von Ressourcen.
Um die Netzwerkhierarchie in QRadar einzurichten, müssen Sie die WEB-Konsole öffnen und zu Admin – Netzwerkhierarchie gehen.

Sie können die Standardgruppen verwenden und einfach ausfüllen oder benutzerdefinierte Gruppen erstellen.

Nach dem Hinzufügen einer Gruppe müssen Sie ‚Änderungen bereitstellen‘ ausführen.

Dann können Sie diese Netzwerke bei der Erstellung von Analysen, Suchanfragen oder Filtern verwenden.
Außerdem wird die Netzwerkkennung im registrierten Vorfall angezeigt, was es ermöglicht, die Quelle der Ereignisse zu bestimmen.

Wie man dies in Regeln verwendet
Gehen Sie zu Vorfälle – Regeln-Tab. Wählen Sie Aktionen – Neue Regel. Wählen Sie anschließend im grafischen Regel-Editor die Bedingung (zum Beispiel ‚wenn das lokale Netzwerk eines der folgenden Netzwerke ist‘) und gehen Sie zur Netzwerkauswahl, indem Sie auf den Link klicken:

Sie müssen ein Netzwerk auswählen. Hier können Sie auch jedes Netzwerk auswählen, das Sie zur Netzwerkhierarchie hinzugefügt haben.

Die Verwendung einer Netzwerkhierarchie ermöglicht es Ihnen, flexiblere Analysen zu schreiben, um Anomalien und Sicherheitsvorfälle in der Infrastruktur der Organisation zu erkennen.

Wenn sich der Inhalt der Gruppe ändert, müssen Sie die Regeln nicht bearbeiten, da die Bedingung automatisch auf neue Quellen in der Gruppe angewendet wird.

Wie man das in der Suche verwendet
Gehen Sie zu Log-Aktivität – Suche – Neuer Such-Tab.

Sie können Bedingungen verwenden, die Netzwerke in den Suchparametern beschreiben.

Außerdem können Sie in der Suche Gruppen hinzufügen oder einfach nach Netzwerken anzeigen.

Die Suchergebnisse zeigen die Netzwerke, die in der Netzwerkhierarchie beschrieben sind.

Verwendung von Netzwerken in Filtern
Gehen Sie zu Log-Aktivität – Filter hinzufügen-Tab.

Die Ereignisfilterung für spezifische Netzwerke ermöglicht es Ihnen, Reaktionen auf Ereignisse, die mit diesen Netzwerken verbunden sind, zu priorisieren.

Netzwerkhierarchie bei Vorfällen
Gehen Sie zu Vorfälle – Alle Vorfälle-Tab.
Öffnen Sie den Vorfall für detaillierte Informationen.
Das ‚Netzwerk‘-Feld zeigt Informationen zu allen Netzwerken an, die vom ausgewählten Vorfall betroffen sind. Dies wird es Ihnen ermöglichen, schnelle Entscheidungen über registrierte Vorfälle zu treffen.