Activos y descripción de objetos críticos de infraestructura

Mientras se implementa y utiliza IBM QRadar, los usuarios a menudo preguntan lo siguiente: ¿qué son los Activos? ¿Para qué se necesitan? ¿Qué podemos hacer con ellos? ¿Cómo automatizar el llenado del modelo de Activos?
‘Activos’ es un modelo que describe la infraestructura y permite al sistema IBM QRadar reaccionar de manera diferente a los eventos que están asociados con los objetos especificados. El aumento en la magnitud y severidad, así como la respuesta, son al menos los primeros pasos para minimizar falsos positivos en el sistema y mejorar la respuesta a incidentes vinculados a objetos críticos en la infraestructura.
Antes de comenzar a llenar ‘Activos’, necesita configurar el Perfilador de Activos. Para hacer esto, vaya a Administrador – Configuración del Perfilador de ActivosEn el menú abierto, necesita especificar los parámetros que describirán la configuración:
Configuración del Perfil de Activos
Descubrimiento del Puerto de Servicio de Activos
Configuración del Perfilador de Activos
Configuración de Retención del Perfilador de Activos
Retención de Vulnerabilidades de QVMSi necesita crear reglas de exclusión en la identificación de Activos, es necesario crear una Búsqueda sin agrupar que describa los criterios de exclusión y añadir la Búsqueda a las excepciones en la pestaña Gestionar Exclusión de Identidad. Recomiendo hacer esto solo después de 6-9 meses de uso de IBM QRadar o si hay errores razonables en la identificación de Activos.

Llenado de Activos
Puedes llenar los Activos manualmente o automáticamente.

Llenado manual:
Vaya a Activos – Perfiles de Activos – Menú Agregar Activo.En la ventana abierta, necesita completar los campos que describen el Activo con la mayor precisión posible.
Es crucial introducir toda la información disponible sobre el Activo. También se recomienda completar las pestañas CVSS, Peso & Cumplimiento y Propietarios.El llenado de estos campos le permite identificar el Activo mientras crea reglas de correlación o en un Delito generado.

Búsqueda Automática de Activos
Vaya a Activos – Menú Descubrimiento del Servidor.
Esta función trabaja basada en Bloques de Construcción preconfigurados. Además, puede especificar puertos para buscar y restringir la búsqueda por jerarquía de red para obtener resultados más precisos.El llenado de datos sobre vulnerabilidades requiere un escáner de vulnerabilidades conectado.
Esto le permite introducir automáticamente información sobre los puertos abiertos, servicios y vulnerabilidades en el Activo.