資産と重要インフラオブジェクトの説明

IBM QRadarを実装して使用する際に、ユーザーは以下の質問をよくします: アセットとは何ですか? それらは何のために必要ですか? どのように活用できますか? アセットモデルを自動で入力するにはどうすればいいですか?
‘アセット’はインフラストラクチャを説明するモデルで、指定されたオブジェクトに関連するイベントに対してIBM QRadarシステムが異なる反応をすることを可能にします。誤検知を最小限に抑え、インフラストラクチャ内の重要なオブジェクトに紐づくインシデントへの対応を改善するために、重大度とその応答の増加は少なくとも最初のステップです。
‘アセット’を入力する前に、アセットプロファイラを設定する必要があります。これを行うには、Admin – Asset Profiler Configurationに進みます。開いたメニューで、構成を記述するパラメータを指定する必要があります:
アセットプロファイル設定
アセットサービスポート検出
アセットプロファイラ構成
アセットプロファイラ保持構成
QVM脆弱性保持アセットの識別に除外ルールを作成する必要がある場合、グループ化なしで除外基準を記述する検索を作成し、Manage Identity Exclusionタブの例外に検索を追加する必要があります。これを行うのは、IBM QRadarを6-9ヶ月間使用した後、またはアセット識別に合理的な誤りがあるときのみをお勧めします。

アセットの入力
アセットは手動または自動で入力することができます。

手動入力:
アセット – アセットプロファイル – アセットの追加メニューに進みます。開いたウィンドウで、アセットをできるだけ正確に説明するフィールドを入力する必要があります。
アセットに関するすべての利用可能な情報を入力することは重要です。CVSS、重み付け & コンプライアンス、所有者タブも入力することをお勧めします。これらのフィールドを入力することで、コリレーションルールを作成するときや生成されたオフェンスでアセットを識別することができます。

自動アセット検索
アセット – サーバー検出メニューに進みます。
この機能は事前設定されたビルディングブロックに基づいて動作します。さらに、検索するポートを指定したり、より正確な結果を得るためにネットワーク階層で検索を制限することもできます。脆弱性に関するデータの入力には、接続された脆弱性スキャナーが必要です。
これにより、アセット上の開いているポート、サービス、および脆弱性に関する情報を自動で入力することができます。