¿Qué es la jerarquía de red y cómo usarla en IBM QRadar

[post-views]
agosto 03, 2017 · 2 min de lectura
¿Qué es la jerarquía de red y cómo usarla en IBM QRadar

La jerarquía de red es una descripción del modelo interno de la red de la organización. El modelo de red te permite describir todos los segmentos internos de la red, incluidos el segmento de servidores, DMZ, segmento de usuarios, Wi-Fi, etc. Estos datos son necesarios para enriquecer los datos de los delitos registrados; puedes utilizar los datos del modelo de red en reglas, búsquedas, filtros e informes, y también es necesario para la identificación precisa de recursos.
Para configurar la jerarquía de red en QRadar, necesitas abrir la consola WEB y acceder a Admin – Jerarquía de Red.

Puedes usar grupos predeterminados y simplemente completarlos o crear grupos personalizados.

Después de agregar un grupo, necesitas realizar ‘Implementar Cambios’.

Luego puedes usar esas redes para escribir análisis, crear búsquedas o filtros.
Además, la información de la red se muestra en el Delito registrado, lo que te permite determinar la fuente de los eventos.

Cómo usar esto en reglas
Ve a Ofensas – pestaña Reglas. Elige Acciones – Nueva Regla. Luego, en el editor gráfico de reglas, selecciona la condición (por ejemplo, ‘cuando la red local es una de las siguientes redes’) y ve a la selección de red haciendo clic en el enlace:

Necesitas seleccionar una red. Aquí también puedes seleccionar cualquier red que hayas agregado a la jerarquía de red.

El uso de una jerarquía de red te permite escribir análisis más flexibles para detectar anomalías e incidentes de seguridad de la información en la infraestructura de la organización.

Si el contenido del grupo se cambia, no necesitas editar las reglas, porque la condición se aplicará automáticamente a las nuevas fuentes en el grupo.

Cómo usar esto en Búsqueda
Ve a Actividad de Registro – Buscar – pestaña Nueva Búsqueda.

Puedes usar condiciones que describan redes en los parámetros de búsqueda.

Además, puedes agregar en la Búsqueda agrupamientos o simplemente mostrar por redes.

Los resultados de búsqueda mostrarán las redes descritas en la jerarquía de red.

Usando Redes en Filtros
Ve a Actividad de Registro – pestaña Agregar Filtro.

El filtrado de eventos para redes específicas te permitirá priorizar respuestas a eventos relacionados con estas redes.

Jerarquía de Red en Ofensas
Ve a Ofensas – pestaña Todas las Ofensas.
Abre la ofensa para obtener información detallada.
El campo ‘Red’ mostrará información sobre todas las redes que se ven afectadas por la ofensa seleccionada. Esto te permitirá tomar decisiones rápidas sobre las ofensas registradas.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas