What is network hierarchy and how to use it in IBM QRadar

ネットワーク階層は、組織のネットワークの内部モデルの説明です。このネットワークモデルによって、サーバーセグメント、DMZ、ユーザーセグメント、Wi-Fiなど、ネットワークのすべての内部セグメントを記述できます。このデータは登録されたオフェンスのデータを充実させるために必要です。ルール、検索、フィルター、レポートにネットワークモデルデータを使用でき、また正確なリソースの特定のために必要です。
QRadarでネットワーク階層を設定するには、WEBコンソールを開いて管理 – ネットワーク階層に移動します。

デフォルトのグループを使用してそれを埋めるか、カスタムグループを作成できます。

グループを追加した後、「変更をデプロイ」を実行する必要があります。

その後、分析の記述や検索やフィルターの作成にこれらのネットワークを使用できます。
また、登録されたオフェンスにネットワーク情報が表示され、イベントの発生源を特定できます。

これをルールに使用する方法
オフェンス – ルールタブに移動します。アクション – 新しいルールを選択します。次に、グラフィカルルールエディタで条件 (例えば、「ローカルネットワークが以下のネットワークの1つである場合」) を選択し、リンクをクリックしてネットワーク選択に進みます:

ネットワークを選択する必要があります。ここでは、ネットワーク階層に追加した任意のネットワークを選択できます。

ネットワーク階層の活用により、組織のインフラストラクチャで異常や情報セキュリティインシデントを検出するための、より柔軟な分析を記述できます。

グループの内容が変更された場合でも、条件がグループ内の新しいソースに自動的に適用されるため、ルールを編集する必要はありません。

これを検索で使用する方法
ログアクティビティ – 検索 – 新規検索タブに移動します。

ネットワークを記述する条件を検索パラメータに使用できます。

また、検索のグルーピングに追加したり、単にネットワークによって表示することもできます。

検索結果には、ネットワーク階層で記述されたネットワークが表示されます。

フィルターでのネットワークの使用
ログアクティビティ – フィルタの追加タブに移動します。

特定のネットワークのイベントフィルタリングにより、これらのネットワークに関連するイベントへの対応を優先できます。

オフェンスにおけるネットワーク階層
オフェンス – すべてのオフェンスタブに移動します。
詳細情報のためにオフェンスを開きます。
「ネットワーク」フィールドには、選択されたオフェンスに影響を与えたすべてのネットワークの情報が表示されます。これにより、登録されたオフェンスについて迅速に決定を下すことができます。