Qu’est-ce que la hiérarchie de réseau et comment l’utiliser dans IBM QRadar

La hiérarchie du réseau est une description du modèle interne du réseau de l’organisation. Le modèle de réseau vous permet de décrire tous les segments internes du réseau, y compris le segment de serveur, DMZ, segment utilisateur, Wi-Fi, etc. Ces données sont nécessaires pour enrichir les données des infractions enregistrées ; vous pouvez utiliser les données du modèle de réseau dans les règles, recherches, filtres et rapports, et elles sont également requises pour l’identification précise des ressources.
Pour configurer la hiérarchie du réseau dans QRadar, vous devez ouvrir la console WEB et aller dans Admin – Hiérarchie du Réseau.

Vous pouvez utiliser les groupes par défaut et simplement les remplir ou créer des groupes personnalisés.

Après avoir ajouté un groupe, vous devez effectuer un ‘Déploiement des modifications’.

Ensuite, vous pouvez utiliser ces réseaux pour rédiger des analyses, créer des recherches ou des filtres.
De plus, les informations sur le réseau sont affichées dans l’infraction enregistrée, ce qui vous permet de déterminer la source des événements.

Comment l’utiliser dans les règles
Allez à Infractions – onglet Règles. Choisissez Actions – Nouvelle Règle. Ensuite, dans l’éditeur graphique de règles, sélectionnez la condition (par exemple, ‘lorsque le réseau local est un des réseaux suivants’) et accédez à la sélection du réseau en cliquant sur le lien :

Vous devez sélectionner un réseau. Ici, vous pouvez également sélectionner tout réseau que vous avez ajouté à la hiérarchie du réseau.

L’utilisation d’une hiérarchie de réseau vous permet d’écrire des analyses plus flexibles pour détecter les anomalies et les incidents de sécurité de l’information dans l’infrastructure de l’organisation.

Si le contenu du groupe est modifié, vous n’avez pas besoin de modifier les règles, car la condition sera appliquée automatiquement aux nouvelles sources dans le groupe.

Comment l’utiliser dans Recherche
Allez à Activité des Journaux – Recherche – onglet Nouvelle Recherche.

Vous pouvez utiliser des conditions qui décrivent les réseaux dans les paramètres de recherche.

De plus, vous pouvez ajouter dans Recherche un regroupement ou simplement afficher par réseaux.

Les résultats de la recherche afficheront les réseaux décrits dans la hiérarchie du réseau.

Utilisation des Réseaux dans les Filtres
Allez à Activité des Journaux – onglet Ajouter un Filtre.

Le filtrage des événements pour des réseaux spécifiques vous permettra de prioriser les réponses aux événements liés à ces réseaux.

Hiérarchie du Réseau dans les Infractions
Allez à Infractions – onglet Toutes les Infractions.
Ouvrez l’infraction pour des informations détaillées.
Le champ ‘Réseau’ affichera des informations sur tous les réseaux affectés par l’infraction sélectionnée. Cela vous permettra de prendre des décisions rapides concernant les infractions enregistrées.