Che cos’è la gerarchia di rete e come utilizzarla in IBM QRadar

La gerarchia di rete è una descrizione del modello interno della rete dell’organizzazione. Il modello di rete consente di descrivere tutti i segmenti interni della rete, inclusi il segmento server, la DMZ, il segmento utente, il Wi-Fi e così via. Questi dati sono necessari per arricchire i dati degli Offenses registrati; puoi utilizzare i dati del modello di rete nelle regole, nelle ricerche, nei filtri e nei report, ed è anche necessario per l’identificazione accurata delle risorse.
Per configurare la gerarchia di rete in QRadar, è necessario aprire la console WEB e andare su Admin – Gerarchia di Rete.

Puoi utilizzare i gruppi predefiniti e semplicemente riempirli o creare gruppi personalizzati.

Dopo aver aggiunto un gruppo, è necessario eseguire ‘Distribuisci Modifiche’.

Quindi puoi utilizzare quelle reti per scrivere analisi, creare ricerche o filtri.
Inoltre, le informazioni sulla rete sono mostrate nell’Offense registrato, il che ti consente di determinare la fonte degli eventi.

Come usare questo nelle regole
Vai alla scheda Offenses – Regole. Scegli Azioni – Nuova Regola. Successivamente, nell’editor grafico delle regole, seleziona la condizione (ad esempio, ‘quando la rete locale è una delle seguenti reti’) e vai alla selezione della rete cliccando sul link:

È necessario selezionare una rete. Qui puoi anche selezionare qualsiasi rete che hai aggiunto alla gerarchia di rete.

L’uso di una gerarchia di rete consente di scrivere analisi più flessibili per rilevare anomalie e incidenti di sicurezza informatica nell’infrastruttura dell’organizzazione.

Se il contenuto del gruppo viene modificato, non è necessario modificare le regole, poiché la condizione verrà applicata automaticamente alle nuove sorgenti nel gruppo.

Come usare questo nella Ricerca
Vai alla scheda Attività Log – Ricerca – Nuova Ricerca.

Puoi utilizzare condizioni che descrivano le reti nei parametri di ricerca.

Inoltre, puoi aggiungere nel raggruppamento di Ricerca o semplicemente visualizzare per reti.

I risultati della ricerca mostreranno le reti descritte nella gerarchia di rete.

Utilizzo delle Reti nei Filtri
Vai alla scheda Attività Log – Aggiungi Filtro.

Il filtraggio degli eventi per reti specifiche ti permetterà di dare priorità alle risposte agli eventi legati a queste reti.

Gerarchia di Rete negli Offenses
Vai alla scheda Offenses – Tutti gli Offenses.
Apri l’offense per informazioni dettagliate.
Il campo ‘Network’ mostrerà informazioni su tutte le reti interessate dall’offense selezionato. Questo ti permetterà di prendere decisioni rapide sugli Offenses registrati.