Actifs et description des objets d’infrastructures critiques

Lors de l’implémentation et de l’utilisation d’IBM QRadar, les utilisateurs posent souvent les questions suivantes : que sont les Ressources ? Pourquoi sont-elles nécessaires ? Que pouvons-nous faire avec elles ? Comment automatiser le remplissage du modèle des Ressources ?
Les ‘Ressources’ est un modèle qui décrit l’infrastructure et permet au système IBM QRadar de réagir différemment aux événements associés aux objets spécifiés. L’augmentation de la magnitude et de la gravité, ainsi que la réponse, sont au moins les premières étapes pour minimiser les faux positifs dans le système et améliorer la réponse aux incidents liés aux objets critiques dans l’infrastructure.
Avant de commencer à remplir les ‘Ressources’, vous devez configurer le Profiler de Ressources. Pour cela, allez dans Admin – Configuration du Profiler de RessourcesDans le menu qui s’ouvre, vous devez spécifier les paramètres qui décriront la configuration :
Paramètres de Profil de Ressource
Découverte de Port de Service de Ressource
Configuration du Profiler de Ressources
Configuration de la Rétention du Profiler de Ressources
Rétention des Vulnérabilités QVMSi vous devez créer des règles d’exclusion dans l’identification des Ressources, il est nécessaire de créer une Recherche sans regroupement qui décrit les critères d’exclusion et d’ajouter la Recherche aux exceptions dans l’onglet Gérer l’Exclusion d’Identité. Je recommande de ne le faire qu’après 6 à 9 mois d’utilisation d’IBM QRadar ou s’il y a des erreurs raisonnables dans l’identification des Ressources.

Remplissage des Ressources
Vous pouvez remplir les Ressources manuellement ou automatiquement.

Remplissage manuel :
Allez dans le menu Ressources – Profils de Ressource – Ajouter une Ressource.Dans la fenêtre qui s’ouvre, vous devez remplir les champs qui décrivent la Ressource aussi précisément que possible.
Saisir toutes les informations disponibles sur la Ressource est crucial. Il est également recommandé de remplir les onglets CVSS, Poids & Conformité et Propriétaires.Remplir ces champs vous permet d’identifier la Ressource lorsque vous créez des règles de corrélation ou dans une infraction générée.

Recherche automatique des Ressources
Allez dans le menu Ressources – Découverte de Serveur.
Cette fonction fonctionne sur la base de Blocs de Construction préconfigurés. De plus, vous pouvez spécifier des ports à rechercher et restreindre la recherche par hiérarchie de réseau pour des résultats plus précis.Le remplissage des données sur les vulnérabilités nécessite un scanner de vulnérabilités connecté.
Cela vous permet de saisir automatiquement des informations sur les ports ouverts, les services et les vulnérabilités sur la Ressource.