Asset e descrizione degli oggetti di infrastruttura critica

[post-views]
Agosto 10, 2017 · 2 min di lettura
Asset e descrizione degli oggetti di infrastruttura critica

Durante l’implementazione e l’uso di IBM QRadar, gli utenti spesso pongono le seguenti domande: cosa sono gli Asset? A cosa servono? Cosa possiamo fare con essi? Come automatizzare il riempimento del modello Assets?
‘Assets’ è un modello che descrive l’infrastruttura e consente al sistema IBM QRadar di reagire in modo diverso agli eventi associati agli oggetti specificati. L’aumento di magnitudine e gravità, così come la risposta, sono almeno i primi passi per ridurre al minimo i falsi positivi nel sistema e migliorare la risposta agli incidenti legati a oggetti critici nell’infrastruttura.
Prima di iniziare a riempire ‘Assets’, è necessario configurare Asset Profiler. Per fare ciò, vai su Admin – Configurazione Asset ProfilerNel menu aperto, è necessario specificare i parametri che descriveranno la configurazione:
Impostazioni Profilo Asset
Rilevamento Porta Servizio Asset
Configurazione Asset Profiler
Configurazione Retention Asset Profiler
Retention Vulnerabilità QVMSe è necessario creare regole di esclusione nell’identificazione degli Asset, è necessario creare una Ricerca senza raggruppamento che descriva i criteri di esclusione e aggiungere la Ricerca alle eccezioni nella scheda Gestisci Esclusione Identità. Raccomando di farlo solo dopo 6-9 mesi di utilizzo di IBM QRadar o se ci sono errori ragionevoli nell’identificazione degli Asset.

Riempimento Asset
È possibile riempire gli Asset manualmente o automaticamente.

Riempimento manuale:
Vai al menu Assets – Profili Asset – Aggiungi Asset.Nella finestra aperta, è necessario compilare i campi che descrivono Asset nel modo più accurato possibile.
Inserire tutte le informazioni disponibili sull’Asset è cruciale. Si raccomanda inoltre di compilare le schede CVSS, Peso & Conformità e Proprietari.Compilare questi campi consente di identificare Asset mentre crei regole di correlazione o in un Offense generato.

Ricerca Automatica degli Asset
Vai al menu Assets – Server Discovery.
Questa funzione funziona basandosi su Building Blocks preconfigurati. Inoltre, puoi specificare le porte da cercare e limitare la ricerca per gerarchia di rete per risultati più accurati.Il riempimento dei dati sulle vulnerabilità richiede uno scanner di vulnerabilità collegato.
Questo consente di immettere automaticamente informazioni sulle porte aperte, sui servizi e sulle vulnerabilità sull’Asset.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati